LIETUVOS RESPUBLIKOS
RYŠIŲ REGULIAVIMO TARNYBOS
DIREKTORIUS
ĮSAKYMAS
DĖL NUMERIŲ IR KODŲ VALDYMO BEI TEISĖS VARTOTI DOMENUS SU LIETUVOS VARDU IR ELEKTRONINIŲ RYŠIŲ PASLAUGŲ IR TINKLŲ TEIKĖJŲ SĄRAŠO ADMINISTRAVIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR
Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos SAUGOS NUOSTATŲ PATVIRTINIMO
2015 m. gegužės 29 d. Nr. 1V-656
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu ir 30 straipsnio 1 ir 2 dalimis, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“:
1. Tvirtinu:
1.1. Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos nuostatus (pridedama);
2. Skiriu:
2.1. Dovydą Jančauską, Lietuvos Respublikos ryšių reguliavimo tarnybos Administracinio departamento Informacinių technologijų skyriaus vyriausiąjį specialistą, Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos administratoriumi;
2.2. Laimį Tamošiūną, Lietuvos Respublikos ryšių reguliavimo tarnybos Administracinio departamento Informacinių technologijų skyriaus vyriausiąjį specialistą, Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos saugos įgaliotiniu.
3. Pavedu Lietuvos Respublikos ryšių reguliavimo tarnybos Tinklų reguliavimo departamento Tinklų ir prieigų skyriui per 5 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti, suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir pateikti tvirtinti:
3.1. Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
3.2. Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos veiklos tęstinumo valdymo planą;
L. e. direktoriaus pareigas Mindaugas Žilinskas
SUDERINTA SUDERINTA
Lietuvos Respublikos vidaus reikalų Informacinės visuomenės plėtros komiteto
ministerijos 2015 m. gegužės 12 d. prie Susisiekimo ministerijos
raštu Nr. 1D-4393 2015 m. gegužės 7 d. raštu Nr. S-585
SUDERINTA
Valstybinės duomenų apsaugos
inspekcijos 2015 m. gegužės 7 d. raštu
Nr. 2R-2691 (3.33.E)
PATVIRTINTA
Lietuvos Respublikos ryšių
reguliavimo tarnybos direktoriaus
2015 m. gegužės 29 d. įsakymu Nr. 1V-656
Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos (toliau – IS) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir IS naudotojų supažindinimo su saugos dokumentais principus.
2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti elektroninę informaciją, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. IS saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo, saugos priemonių projektavimo ir diegimo principus.
3. Saugos nuostatai apibrėžia IS elektroninės informacijos saugos politiką (toliau – IS saugos politika), kuri įgyvendinama pagal šiuos Lietuvos Respublikos ryšių reguliavimo tarnybos (toliau – Tarnyba) tvirtinamus teisės aktus (toliau – IS saugos politiką įgyvendinantys dokumentai):
4. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.
5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
7. Tarnyba, kaip IS valdytoja ir IS tvarkytoja, atlieka šias funkcijas:
7.3. rengia ir tvirtina teisės aktus, susijusius su elektroninės informacijos tvarkymu bei IS sauga, ir prižiūri, kaip jų laikomasi;
7.5. skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis) ir IS administratorių (toliau – administratorius);
8. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas IS saugos politikos įgyvendinimą, atlieka šias funkcijas:
8.1. teikia Tarnybos direktoriui pasiūlymus dėl administratoriaus skyrimo ir reikalavimų administratoriui nustatymo, IS saugos politiką įgyvendinančių dokumentų priėmimo ir (ar) keitimo, Tarnybos informacinių technologijų saugos atitikties vertinimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;
8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
8.3. teikia administratoriui ir IS naudotojams (toliau – naudotojai) privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos politikos įgyvendinimu;
8.5. periodiškai inicijuoja naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problematiką;
10. Administratorius atlieka šias funkcijas:
10.3. atsako už IS veikimą užtikrinančios techninės ir programinės įrangos administravimą ir jos tinkamą funkcionavimą, pažeidžiamų vietų nustatymą, saugos priemonių parinkimą ir jų atitiktį IS saugos politiką įgyvendinančių dokumentų reikalavimams;
10.4. atnaujina techninę ir programinę įrangą, pagal poreikį nustato automatinio atnaujinimo procedūras;
10.5. ne rečiau kaip kartą per šešis mėnesius tikrina atsarginių elektroninės informacijos kopijų atitiktį originalams ir ne rečiau kaip kartą per šešis mėnesius atlieka elektroninės informacijos atkūrimo iš atsarginių kopijų bandymus;
10.6. seka pranešimus apie techninės ir programinės įrangos operacinių ir valdymo sistemų klaidas, informuoja saugos įgaliotinį apie pažeidžiamas IS vietas ir imasi visų būtinų priemonių galimiems gedimams išvengti;
10.7. informuoja saugos įgaliotinį apie IS saugos politiką įgyvendinančių dokumentų pažeidimus, neveikiančias ar netinkamai veikiančias IS saugos užtikrinimo priemones;
10.8. rengia ir saugos įgaliotiniui teikia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir saugos užtikrinimo;
10.10. atlieka būtinus techninės ir programinės įrangos priežiūros, diegimo ir atnaujinimo darbus, taip pat smulkius techninės įrangos modernizavimo darbus, jei tokia galimybė numatyta techninės įrangos gamintojo;
10.12. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu;
11. Tvarkant elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi:
11.4. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
11.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);
11.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
11.7. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. IS tvarkoma elektroninė informacija priskirtina žinybinės elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.3 papunkčiu.
13. IS priskirtina trečiajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu.
14. IS asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms 7.2 papunkčiu.
15. Saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja IS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį IS rizikos įvertinimą.
16. IS rizikos įvertinimo rezultatai išdėstomi IS rizikos įvertinimo ataskaitoje, kuri pateikiama Tarnybos direktoriui. IS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:
16.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, IS saugumo pažeidimai, vagystės ir kita);
16.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
17. IS rizikos veiksniai vertinami nustatant jų įtakos elektroninės informacijos saugai laipsnius:
17.1. žemas (Ž) – elektroninės informacijos pažeidimo poveikis yra nedidelis, padariniai nepavojingi – elektroninė informacija išsiųsta kitam adresatui, įvesta netiksli elektroninė informacija, dingo dalis elektroninės informacijos ar ji buvo prarasta po paskutinio kopijavimo ir ją galima greitai atstatyti iš turimų atsarginių kopijų, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;
17.2. vidutinis (V) – elektroninės informacijos pažeidimo poveikis didelis, padariniai rimti – elektroninė informacija netiksli ar sugadinta, bet ją įmanoma atstatyti iš turimų atsarginių kopijų, IS duomenų bazės įrašai pakeisti, sunku rasti klaidas ir suklastotą elektroninę informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema serveriuose;
17.3. aukštas (A) – elektroninės informacijos pažeidimo poveikis labai didelis, padariniai labai rimti – elektroninė informacija visiškai sugadinta, dėl vagystės, gaisro, užliejimo ar kitų veiksnių prarasta ne tik elektroninė informacija iš IS duomenų bazės, bet ir jos atsarginės kopijos, neveikia visa IS.
18. IS rizikos įvertinimo metu atliekami darbai:
19. Tarnyba, atsižvelgdama į IS rizikos įvertinimo ataskaitą, prireikus tvirtina IS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis IS rizikos valdymo priemonėms įgyvendinti.
20. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
20.2. elektroninės informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos elektroninės informacijos vertei;
21. Siekiant užtikrinti Saugos nuostatuose ir kituose IS saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus, vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos patvirtinta metodika, organizuojamas informacinių technologijų saugos atitikties vertinimas.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Programinės įrangos, skirtos IS apsaugoti nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
22.1. serveriuose ir kompiuterizuotose darbo vietose su „Microsoft Windows“ operacine sistema privalo būti įdiegta centralizuotai valdoma apsauga nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos ir panašiai);
22.2. apsaugai naudojama programinė įranga privalo automatiškai atsinaujinti ne rečiau kaip kartą per 24 valandas;
22.3. apsaugos sistema privalo automatiškai elektroniniu paštu informuoti atsakingus asmenis apie kompiuterizuotas darbo vietas ir serverius, kuriuose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;
23. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
24. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
24.1. Tarnybos kompiuteriniai tinklai turi būti atskirti nuo viešųjų ryšių tinklų ir interneto užkardomis, naudojama paslaugos trikdymo (angl. Denial of Service) ir paskirstytųjų paslaugos trikdymo (angl. Distributed Denial of Service) atakų prevencijai skirta įranga, taip pat įsilaužimų aptikimo ir jų prevencijos įranga;
25. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
26. Atsarginių kopijų darymo ir atkūrimo reikalavimai:
26.1. elektroninės informacijos saugai užtikrinti daromos, IS duomenų bazėje kaupiamos ir saugomos elektroninės informacijos atsarginės kopijos;
26.2. atsarginės kopijos daromos kiekvienos darbo dienos pabaigoje (toliau – dienos atsarginės kopijos), kiekvienos savaitės pabaigoje (toliau – savaitės atsarginės kopijos), kiekvieno mėnesio pabaigoje (toliau – mėnesio atsarginės kopijos) ir kiekvienų metų pabaigoje (toliau – metų atsarginės kopijos);
26.9. atsarginės kopijos turi būti daromos automatiškai, jas atkurti turi teisę tik administratorius;
26.10. periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
IV. REIKALAVIMAI PERSONALUI
27. Naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais. Naudotojai, pagal kompetenciją atsakingi už elektroninės informacijos tvarkymą, taip pat privalo Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos nuostatų nustatyta tvarka mokėti tvarkyti elektroninę informaciją.
28. Naudotojai, pažeidę Saugos nuostatų ar IS saugos politiką įgyvendinančių dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
29. Saugos įgaliotinis privalo turėti aukštąjį universitetinį ar jam prilygintą informacinių technologijų krypties išsilavinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama IS saugos politika. Saugos įgaliotinis privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
30. Administratorius privalo turėti aukštąjį universitetinį ar jam prilygintą išsilavinimą, išmanyti darbą su kompiuterių tinklais, duomenų bazėmis, mokėti užtikrinti jų saugumą, taip pat mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais.
V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
32. Už naudotojų supažindinimą su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose įtvirtintų reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.
33. Saugos įgaliotinis raštu informuoja naudotojus apie tai, kur jie gali susipažinti su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais. Naudotojai gali naudotis IS tik patvirtinę savo susipažinimą su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais.
34. Saugos nuostatai, Lietuvos Respublikos kibernetinio saugumo įstatymas ir IS saugos politiką įgyvendinantys dokumentai skelbiami viešai naudotojams pasiekiamoje interneto svetainėje.
PATVIRTINTA
Lietuvos Respublikos ryšių
reguliavimo tarnybos direktoriaus
2015 m. gegužės 29 d. įsakymu Nr. 1V-656
NUMERIŲ IR KODŲ VALDYMO BEI TEISĖS VARTOTI DOMENUS SU lIETUVOS VARDU IR ELEKTRONINIŲ RYŠIŲ PASLAUGŲ IR TINKLŲ TEIKĖJŲ SĄRAŠO ADMINISTRAVIMO INFORMACINĖS SISTEMOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Numerių ir kodų valdymo bei teisės vartoti domenus su Lietuvos vardu ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo administravimo informacinės sistemos (toliau – IS) steigimo teisinį pagrindą, tikslą, uždavinius, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų naudojimo tvarką, bendruosius duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
2. IS steigimo teisinis pagrindas – Lietuvos Respublikos elektroninių ryšių įstatymo 29 straipsnio 3, 7 dalys ir 48 straipsnio 1 dalis, Lietuvos vardo vartojimo interneto domenų varduose taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2009 m. spalio 7 d. nutarimu Nr. 1272 „Dėl Lietuvos vardo vartojimo interneto domenų varduose taisyklių patvirtinimo“, (toliau – Lietuvos vardo vartojimo interneto domenų varduose taisyklės) 5 punktas.
3. IS kuriama ir tvarkoma vadovaujantis:
3.4. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);
3.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
3.7. Telefono ryšio numerių skyrimo ir naudojimo taisyklėmis, patvirtintomis Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2005 m. gruodžio 13 d. įsakymu Nr. 1V-1104 „Dėl Telefono ryšio numerių skyrimo ir naudojimo taisyklių ir Nacionalinio telefono ryšio numeracijos plano patvirtinimo“;
3.8. Nacionaliniu telefono ryšio numeracijos planu, patvirtintu Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2005 m. gruodžio 13 d. įsakymu Nr. 1V-1104 „Dėl Telefono ryšio numerių skyrimo ir naudojimo taisyklių ir Nacionalinio telefono ryšio numeracijos plano patvirtinimo“;
3.9. Abonento teisės išlaikyti abonentinį numerį, keičiant viešųjų telefono ryšio paslaugų teikėją, paslaugų teikimo vietą arba būdą, užtikrinimo sąlygų ir tvarkos aprašu, patvirtintu Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2011 m. balandžio 29 d. įsakymu Nr. 1V-460 „Dėl Abonento teisės išlaikyti abonentinį numerį, keičiant viešųjų telefono ryšio paslaugų teikėją, paslaugų teikimo vietą arba būdą, užtikrinimo sąlygų ir tvarkos aprašo patvirtinimo“;
3.10. Tarptautinių signalizacijos taškų kodų, nacionalinių signalizacijos taškų kodų, viešųjų judriojo ryšio tinklų kodų, viešųjų duomenų perdavimo tinklų identifikavimo kodų, originalaus tinklo identifikavimo kodų, tinklo identifikavimo kodų, paslaugų identifikavimo kodų ir paslaugų teikėjų išleidžiamų atsiskaitymo kortelių identifikacinių numerių skyrimo ir naudojimo taisyklėmis, patvirtintomis Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2012 m. rugpjūčio 23 d. įsakymu Nr. 1V-1103 „Dėl Tarptautinių signalizacijos taškų kodų, nacionalinių signalizacijos taškų kodų, viešųjų judriojo ryšio tinklų kodų, viešųjų duomenų perdavimo tinklų identifikavimo kodų, originalaus tinklo identifikavimo kodų, tinklo identifikavimo kodų, paslaugų identifikavimo kodų ir paslaugų teikėjų išleidžiamų atsiskaitymo kortelių identifikacinių numerių skyrimo ir naudojimo taisyklių patvirtinimo ir kai kurių Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus įsakymų pripažinimo netekusiais galios“;
3.11. Bendrųjų vertimosi elektroninių ryšių veikla sąlygų aprašu, patvirtintu Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2005 m. balandžio 8 d. įsakymu Nr. 1V-340 „Dėl Bendrųjų vertimosi elektroninių ryšių veikla sąlygų aprašo patvirtinimo“;
3.12. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
4. IS tikslas – informacinių technologijų priemonėmis valdyti elektroninių ryšių bei kitų išteklių duomenis ir administruoti Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašą.
5. IS uždaviniai:
5.1. automatizuoti telefono ryšio numerių (toliau – numeriai), tarptautinių signalizacijos taškų kodų, nacionalinių signalizacijos taškų kodų, viešųjų judriojo ryšio tinklų kodų, viešųjų duomenų perdavimo tinklų identifikavimo kodų, originalaus tinklo identifikavimo kodų, tinklo identifikavimo kodų, paslaugų identifikavimo kodų ir paslaugų teikėjų išleidžiamų atsiskaitymo kortelių identifikacinių numerių (toliau visi kartu – kodai) valdymą;
5.2. automatizuoti teisės vartoti Lietuvos vardą antrojo lygio domenų varduose prieš aukščiausiojo lygio domeną „.lt“ (toliau – teisė vartoti domeną su Lietuvos vardu) ir Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašo duomenų tvarkymą ir administravimą;
6. IS funkcijos:
6.1. apdoroti, sisteminti ir saugoti duomenis apie numerius bei kodus ir asmenis, kuriems suteikta teisė juos naudoti;
6.2. apdoroti, sisteminti ir saugoti duomenis apie antrojo lygio domenų vardus, kuriuose prieš aukščiausiojo lygio domeną „.lt“ yra vartojamas Lietuvos vardas, (toliau – domenas su Lietuvos vardu) ir asmenis, kuriems suteikta teisė juos vartoti;
6.3. apdoroti, sisteminti ir saugoti duomenis, reikalingus Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašui sudaryti ir tvarkyti;
6.5. teikti informacijos gavimo elektroniniu būdu paslaugas, nurodytas Nuostatų 12 punkte, turintiems teisę jas gauti asmenims;
7. Asmens duomenys IS tvarkomi asmens tapatybės nustatymo, apskaitos, ataskaitų formavimo ir komunikavimo tikslais.
II. IS ORGANIZACINĖ STRUKTŪRA
9. IS valdytojas ir asmens duomenų valdytojas yra Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – Tarnyba), kuri:
9.1. rengia ir priima teisės aktus, susijusius su IS funkcionavimu, duomenų tvarkymu ir sauga, prižiūri juose nustatytų reikalavimų laikymąsi;
9.2. tvirtina IS kūrimo ir plėtros planus, kontroliuoja jų vykdymą, įgyvendina investicijų projektus;
9.3. nagrinėja pasiūlymus dėl IS veiklos tobulinimo, sprendžia IS modernizavimo ir plėtros klausimus;
9.5. atlieka su asmens duomenų valdymu susijusias funkcijas ir vykdo pareigas, nustatytas Asmens duomenų teisinės apsaugos įstatyme;
10. IS tvarkytojas ir asmens duomenų tvarkytojas yra Tarnyba, kuri:
10.1. užtikrina, kad IS būtų tvarkoma vadovaujantis Valstybės informacinių išteklių valdymo įstatymu, Nuostatais ir kitais teisės aktais;
10.2. techninėmis ir organizacinėmis priemonėmis užtikrina IS duomenų apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto tvarkymo;
10.4. atlieka su asmens duomenų tvarkymu IS susijusias funkcijas ir vykdo pareigas, nustatytas Asmens duomenų teisinės apsaugos įstatyme;
12. IS naudojantys asmenys – Elektroninių ryšių paslaugų ir tinklų teikėjų sąraše įrašyti viešųjų telefono ryšio paslaugų teikėjai (fiziniai asmenys arba juridinių asmenų įgaliotieji atstovai), kurie turi teisę peržiūrėti duomenis apie viešųjų telefono ryšio paslaugų teikėjui paskirtus numerius ir kodus bei laisvus numerius ir kodus, taip pat kitas teisės aktų nustatytas teises ir pareigas.
III. IS INFORMACINĖ STRUKTŪRA
14. IS duomenų bazėje kaupiami IS duomenys:
14.4. fizinio asmens:
14.5. juridinio asmens:
14.6. paraiškos, kurios pagrindu asmeniui skirtas numeris, kodas arba suteikta teisė vartoti domeną su Lietuvos vardu, data ir numeris;
14.7. Tarnybos direktoriaus įsakymo, kuriuo asmeniui skirtas numeris, kodas arba suteikta teisė vartoti domeną su Lietuvos vardu, data ir numeris;
14.8. Tarnybos direktoriaus įsakymo, kuriuo asmeniui panaikinta teisė naudoti numerį, kodą arba vartoti domeną su Lietuvos vardu, data ir numeris;
14.9. viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikėjo:
IV. IS FUNKCINĖ STRUKTŪRA
16. IS dalys ir jų atliekamos funkcijos yra:
16.1. duomenų tvarkymo modulis, kurio pagrindinės funkcijos yra apdoroti, sisteminti ir saugoti duomenis:
16.1.2. apie numerių ir kodų skyrimą, teisės juos naudoti panaikinimą ir (ar) perleidimą, taip pat teisės vartoti domeną su Lietuvos vardu suteikimą ar panaikinimą;
16.2. duomenų paieškos modulis, kurio pagrindinė funkcija – pagal nustatytus paieškos ir filtrų parametrus vykdyti paiešką IS;
16.3. ataskaitų modulis, kurio pagrindinė funkcija – pagal nustatytus paieškos ir filtrų parametrus formuoti ataskaitas;
16.5. viešųjų telefono ryšio paslaugų teikėjų savitarnos modulis, kurio pagrindinė funkcija – Elektroninių ryšių paslaugų ir tinklų teikėjų sąraše įrašytiems viešųjų telefono ryšio paslaugų teikėjams sudaryti galimybę jungtis prie IS ir gauti IS kaupiamus duomenis apie jiems paskirtus numerius ir kodus bei laisvus numerius ir kodus;
V. IS duomenų teikimas ir naudojimas
17. IS duomenys yra vieši ir teikiami valstybės institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai).
18. Viešai skelbiami šie IS duomenys:
20. Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams IS duomenys teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
21. IS duomenys teikiami tokio turinio ir tokios formos, kokie Tarnyboje jau naudojami ir nereikia papildomo jų apdorojimo. Jei IS duomenų turinys ir forma neatitinka duomenų gavėjo poreikių, Tarnyba, esant techninėms galimybėms, gali IS duomenis pateikti kita forma, kuri turi būti numatyta IS duomenų teikimo sutartyje.
23. Duomenų gavėjams IS duomenys teikiami pagal IS duomenų teikimo sutartis (daugkartinio teikimo atveju), kuriose turi būti nurodytas IS duomenų naudojimo tikslas, IS duomenų teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų IS duomenų apimtis, arba pagal prašymus (vienkartinio teikimo atveju), kuriuose turi būti nurodytas IS duomenų naudojimo tikslas, IS duomenų teikimo ir gavimo teisinis pagrindas ir prašomų pateikti IS duomenų apimtis.
24. Duomenų gavėjams IS duomenys teikiami:
26. Duomenų gavėjas, gaunantis IS duomenis pagal IS duomenų teikimo sutartį arba prašymą, gautus IS duomenis privalo naudoti tik tokia tvarka ir tik tokiu tikslu, kaip apibrėžta IS duomenų teikimo sutartyje arba prašyme.
27. IS kaupiami Nuostatų 14 punkte nurodyti IS duomenys, išskyrus asmens duomenis, naudojami tik elektroninių ryšių veiklos priežiūros, elektroninių ryšių išteklių valdymo, teisės vartoti domeną su Lietuvos vardu suteikimo, abonentinių numerių perkėlimo ir statistikos tikslais.
28. Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Tarnyba, gavusi šį reikalavimą ir patikrinusi jo pagrįstumą, privalo ištaisyti duomenis per 5 darbo dienas nuo prašymo gavimo Tarnyboje dienos ir raštu informuoti apie tai prašymą pateikusį asmenį ir duomenų gavėjus, kuriems buvo perduoti netikslūs duomenys. Tarnyba, prašymą pakeisti duomenis atmetusi kaip nepagrįstą, privalo informuoti apie tai prašymą pateikusį asmenį per 5 darbo dienas nuo prašymo gavimo Tarnyboje dienos ir nurodyti prašymo atmetimo motyvus.
29. Tarnyba, gavusi iš asmens informacijos apie duomenų, kurie kaupiami IS apie jį, pasikeitimą, ne vėliau kaip per 5 darbo dienas nuo informacijos gavimo Tarnyboje dienos pasikeitusius duomenis perkelia į IS duomenų bazės archyvą, o vietoje jų suveda patikslintus duomenis ir apie tai praneša asmeniui tokia forma, kokia buvo gauta informacija apie duomenų pasikeitimą.
30. Tarnybos atsisakymą pateikti IS duomenis asmenys gali skųsti Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
31. Duomenų rinkmenos, kuriose pateikiami nuasmeninti ir apibendrinti duomenys apie paskirtus numerius, kodus, domenus su Lietuvos vardu, kuriuos vartoti suteikta teisė, Elektroninių ryšių paslaugų ir tinklų teikėjų sąrašas ir numerių perkėlimo statistika, yra skelbiamos Tarnybos interneto svetainėje teisės aktų nustatyta tvarka.
VI. IS SAUGA
32. IS sauga užtikrinama vadovaujantis:
32.1. Tarnybos patvirtintais IS saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka;
32.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
32.4. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
32.5. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;
34. IS duomenų bazės atsarginės kopijos daromos, saugomos ir sunaikinamos vadovaujantis teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymą valstybės informacinėse sistemose.
35. Asmenys, tvarkantys asmens duomenis IS, privalo saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas ar pasibaigus darbo ar sutartiniams santykiams.
36. Duomenų gavėjai ir IS naudotojai privalo rūpintis gautų IS duomenų saugumu ir užtikrinti, kad jie būtų naudojama tik tuo tikslu, kuriuo jiems suteikti.
37. IS duomenys IS duomenų bazėje saugomi 10 metų nuo jų įregistravimo. Pasibaigus šiam terminui, duomenys perkeliami į IS duomenų bazės archyvą ir saugomi jame 5 metus, jeigu teisės aktai nenustato kitokio termino, išskyrus asmens kodą, kuris yra pašalinamas. IS duomenys sunaikinami Lietuvos vyriausiojo archyvaro tarnybos nustatyta tvarka.
VII. IS FINANSAVIMAS
VIII. IS MODERNIZAVIMAS IR LIKVIDAVIMAS
39. IS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir kitų teisės aktų nustatyta tvarka.
IX. BAIGIAMOSIOS NUOSTATOS
41. Už perduotų į IS duomenų teisingumą ir tikslumą teisės aktų nustatyta tvarka atsako duomenų teikėjai.
42. Fizinių asmenų, kurių asmens duomenys tvarkomi IS, teisės, susijusios su informavimu apie jų asmens duomenų tvarkymą, susipažinimu su tvarkomais jų asmens duomenimis ir reikalavimu ištaisyti, sunaikinti jų asmens duomenis arba sustabdyti, išskyrus saugojimą, jų asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų nuostatų, įgyvendinamos vadovaujantis Asmens duomenų teisinės apsaugos įstatymu.