LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO 2020 M. RUGPJŪČIO 19 D. ĮSAKYMO NR. 3-461 „DĖL PASIENIO KONTROLĖS PUNKTŲ INFORMACINĖS SISTEMOS MODERNIZAVIMO, TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2021 m. liepos 21 d. Nr. 3-361
Vilnius
P a k e i č i u Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymą Nr. 3-461 „Dėl Pasienio kontrolės punktų informacinės sistemos modernizavimo, Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugos nuostatų patvirtinimo“:
1. Pakeičiu įsakymo antraštę ir ją išdėstau taip:
2. Pakeičiu nurodytu įsakymu patvirtintus Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatus ir juos išdėstau nauja redakcija (pridedama)
3. Pakeičiu nurodytu įsakymu patvirtintus Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugos nuostatus ir juos išdėstau nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461
(Lietuvos Respublikos susisiekimo ministro
2021 m. liepos 21 d. įsakymo Nr. 3-361
redakcija)
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS
NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, asmens duomenų tvarkymo tikslą, organizacinę, informacinę ir funkcinę struktūras, duomenų naudojimo, teikimo ir saugos, finansavimo, modernizavimo ir likvidavimo tvarką.
2. Nuostatuose vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokio duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
3. EVIS steigimo teisinis pagrindas – Lietuvos Respublikos transporto veiklos pagrindų įstatymo 131 straipsnis.
4. Kuriant ir tvarkant EVIS vadovaujamasi:
4.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);
4.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
4.10. Lietuvos Respublikos Vyriausybės 2005 m. kovo 21 d. nutarimu Nr. 296 „Dėl Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos steigimo“;
4.11. Lietuvos Respublikos susisiekimo ministro tvirtinamais Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos nuostatais;
5. Pagrindinis EVIS tikslas – informacinių technologijų priemonėmis formuoti motorinių kelių transporto priemonių (toliau – transporto priemonės), laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eiles, užtikrinti sklandų šių transporto priemonių patekimą į pasienio kontrolės punktus (toliau – PKP).
6. Asmens duomenų tvarkymo tikslas – identifikuoti asmenis, kuriems informacinių ir ryšių technologijų (toliau – IRT) kanalais ir priemonėmis nuotoliniu būdu teikiama transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, išankstinio eilės rezervavimo paslauga (toliau – EVIS elektroninė paslauga), valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis ir turinčius teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti, bei juridinių asmenų darbuotojus ar asmenis, kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduodamos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos, turinčius teisę naudotis EVIS ištekliais sutartiniams įsipareigojimams vykdyti (toliau – EVIS naudotojai), prižiūrėti ir valdyti EVIS procesus, fiksuojant šių asmenų EVIS atliekamus veiksmus, taip pat identifikuoti mokėtojus, jiems atliekant mokėjimus už EVIS elektroninę paslaugą.
7. Pagrindiniai EVIS uždaviniai yra šie:
7.1. automatizuoti transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eilių valdymą;
8. Pagrindinės EVIS funkcijos yra šios:
8.3. formuoti mokėjimo už EVIS elektroninę paslaugą ruošinius ir pateikti juos asmenims, kuriems teikiama EVIS elektroninė paslauga;
8.4. sudaryti transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, virtualią eilę ir skelbti šios eilės tvarkaraštį;
8.5. vykdyti transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eismo valdymą iki įvažiavimo į PKP:
8.5.1. valdyti šviesoforus, pakeliamuosius užtvarus, elektroninius ženklus, taip pat automatiškai valdyti šiuos įrenginius pagal iš anksto suprogramuotą loginį sprendinį;
II SKYRIUS
ORGANIZACINĖ STRUKTŪRA
9. EVIS valdytoja ir asmens duomenų valdytoja yra Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius) (toliau – EVIS valdytojas).
10. EVIS tvarkytoja yra Pasienio kontrolės punktų direkcija prie Susisiekimo ministerijos (toliau – Direkcija) (Gedimino pr. 26, 01104 Vilnius).
11. EVIS valdytojas vykdo Reglamente (ES) 2016/679 nustatytas duomenų valdytojo teises ir pareigas ir atlieka šias funkcijas:
11.2. koordinuoja Direkcijos darbą ir užtikrina, kad EVIS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Nuostatais;
11.5. tvirtina EVIS kūrimo ir plėtros planus, analizuoja pasiūlymus dėl EVIS veikimo, priima sprendimus dėl EVIS tobulinimo ir modernizavimo ir kontroliuoja jų vykdymą;
12. Direkcijos funkcijos:
12.5. teikti EVIS valdytojui pasiūlymus dėl EVIS veikimo ir tobulinimo, organizuoti EVIS valdytojo priimtų sprendimų dėl EVIS tobulinimo ir modernizavimo įgyvendinimą;
12.6. pagal kompetenciją registruoti EVIS naudotojus, tvarkyti jų duomenis, prieigos teises ir klasifikatorius;
12.9. konsultuoti EVIS naudotojus ir EVIS elektroninės paslaugos gavėjus su EVIS veikimu susijusiais klausimais;
12.13. Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka organizuoti pirkimo procedūras ir sudaryti sutartis su juridiniais asmenimis ar asmenimis (asmenų grupėmis), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduodamos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai);
14. Direkcija vykdo Reglamente (ES) 2016/679 nustatytas duomenų tvarkytojo teises ir pareigas ir įgyvendina duomenų subjektų teises, numatytas Reglamento (ES) 2016/679 III skyriuje. Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytos duomenų tvarkytojo prievolės duomenų valdytojo atžvilgiu detaliai aptariamos asmens duomenų tvarkymo sutartyje, sudarytoje tarp EVIS valdytojo ir Direkcijos.
15. EVIS paslaugos teikėjas (-ai) yra EVIS tvarkytojas (-ai) ir EVIS duomenų tvarkytojo (-ų) pasitelktas kitas asmens duomenų tvarkytojas (-ai), kuris (-ie):
15.1. Direkcijos pavedimu tvarko asmens duomenis ir vykdo Reglamento (ES) 2016/679
28 straipsnio 3 dalyje nustatytas prievoles. Detalios Reglamento (ES) 2016/679 28 straipsnio 4 dalyje nustatytos sąlygos nurodomos asmens duomenų tvarkymo sutartyje (-yse), sudarytoje (-ose) tarp Direkcijos ir EVIS paslaugos teikėjo (-ų);
15.2. atlieka Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos tvarkytojui nustatytas funkcijas ir įgyvendina šio įstatymo 34 straipsnio 6 dalies 1–6 ir 12 punktuose nurodytas teises ir pareigas;
17. EVIS naudojantys asmenys:
18. EVIS elektroninės paslaugos gavėjų teisės ir pareigos:
18.1. kiekvienas EVIS elektroninės paslaugos gavėjas turi teisę kreiptis į EVIS valdytoją ir (ar) Direkciją ir susipažinti su EVIS tvarkomais duomenimis, kurie EVIS elektroninės paslaugos gavėjo prašymu jam gali būti pateikti elektroninių ryšių priemonėmis;
III SKYRIUS
INFORMACINĖ STRUKTŪRA
19. EVIS transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, duomenys:
19.4. transporto priemonės valstybinis registracijos numeris (jeigu transporto priemonę sudaro vilkikas ir priekaba (-os) – vilkiko valstybinis registracijos numeris);
19.5. transporto priemonės judėjimo duomenys (transporto priemonės atvykimo į nurodytą laukimo vietą (toliau – laukimo aikštelė) priešais PKP laikas ir data, įvažiavimo į PKP teritoriją laikas ir data);
20. EVIS elektroninės paslaugos gavėjų duomenys:
22. Laukimo aikštelės duomenys (pavadinimas, adresas, žemėlapis (paveikslėlis), kontaktiniai duomenys).
23. Rezervacijos ir virtualios Lietuvos Respublikos valstybės sienos kirtimo eilės duomenys (rezervacijos būsena (rezervuota / nerezervuota / sumokėta / atšaukta / iškviesta / įvažiavęs į PKP), data, laikas, transporto priemonių skaičius, kviečiamų kirsti valstybės sieną transporto priemonių sąrašas, eilės tipas).
24. EVIS elektroninės paslaugos duomenys (EVIS elektroninės paslaugos aprašymas, naudojimosi sąlygos, teisės aktai ir kita, su EVIS elektroninės paslaugos teikimu susijusi informacija).
25. Duomenų apdorojimo procesų rezultatai:
25.1. EVIS naudotojų ir EVIS elektroninės paslaugos gavėjų EVIS atliktų veiksmų duomenys: veiksmo data, laikas, tipas (duomenų įrašymas, koregavimas, naikinimas);
25.2. patekimo į PKP įrenginių (informacinių švieslenčių, pakeliamųjų kelio užtvarų, vaizdo stebėjimo ir įrašymo įrenginių, numerių skenavimo įrenginių ir vietinės pagalbos linijos priemonių) programinės įrangos duomenys ir jų atvaizdavimo parametrai;
26. Mokėjimo už EVIS elektroninę paslaugą (toliau – mokėjimas) duomenys:
IV SKYRIUS
FUNKCINĖ STRUKTŪRA
28. EVIS funkcinę struktūrą sudaro šie komponentai:
28.2. EVIS transporto priemonių, kertančių Lietuvos Respublikos valstybės sieną, eilių valdymo modulis, kurį sudaro šie komponentai:
28.2.1. EVIS elektroninės paslaugos teikimo modulis, kurį sudaro:
28.2.1.1. EVIS elektroninės paslaugos gavėjų identifikavimo ir teisių valdymo komponentas; jo pagrindinės funkcijos – EVIS elektroninės paslaugos gavėjų identifikavimas, profilių kūrimas, administravimas, teisių nustatymas;
28.2.1.2. EVIS elektroninės paslaugos užsakymo komponentas; jo pagrindinės funkcijos – duomenų surinkimas ir kaupimas, rezervuojant Lietuvos Respublikos sienos kirtimo datą, laiką ir vietą transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eilėje;
28.2.1.3. EVIS elektroninės paslaugos teikimo eigos stebėsenos komponentas; jo pagrindinės funkcijos – EVIS elektroninės paslaugos gavėjų užsakytos paslaugos vykdymo ir suteikimo veiksmų ir paslaugų rezultatų pateikimo registravimas, užsakymo duomenų keitimas;
28.2.2. EVIS informacijos įvedimo modulis; jo pagrindinė funkcija – sudaryti sąlygas EVIS elektroninės paslaugos gavėjams ir EVIS naudotojams įvesti informaciją;
28.2.3. EVIS duomenų tvarkymo modulis; jo pagrindinės funkcijos – rinkti, kaupti, saugoti, pertvarkyti, apdoroti, archyvuoti ir teikti duomenis, valdyti duomenų bazes ir duomenų analizės įrankius, formuoti ataskaitas;
28.2.4. EVIS administravimo modulis; jo pagrindinės funkcijos – registruoti EVIS naudotojus ir administruoti jų teises, valdyti EVIS veikimo parametrus, registruoti EVIS atliekamus veiksmus, veikimo sutrikimus, formuoti ataskaitas;
28.2.5. patekimo į pasienio kontrolės punktą įrenginių, valdomų EVIS, duomenų tvarkymo modulis; jo pagrindinės funkcijos – rinkti duomenis iš įrenginių ir juos tvarkyti, stebėti įrenginių būklę, registruoti įrenginių gedimus, skelbti transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eilės tvarkaraštį, informaciją kintamos informacijos ženkluose ir ją stebėti.
V SKYRIUS
EVIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS, NETIKSLIŲ, NETEISINGŲ, NEIŠSAMIŲ DUOMENŲ IŠTAISYMAS
29. EVIS duomenys, išskyrus asmens duomenis, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai), jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.
30. Viešai skelbiama transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną išvykstant iš Lietuvos Respublikos, eilė ir kita informacija apie transporto priemonių eiles pasienyje, kurios įstatymai ir kiti teisės aktai nedraudžia skelbti viešai. Asmens duomenys viešai neskelbiami.
31. EVIS duomenys, įskaitant asmens duomenis, teikiami pagal Direkcijos ir duomenų gavėjo sudarytą duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje nurodomas EVIS duomenų, įskaitant asmens duomenis, naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka, teikiamų EVIS duomenų, įskaitant asmens duomenis, apimtis, formatas, gavimo būdas ir teikimo terminai. Prašyme nurodomas EVIS duomenų, įskaitant asmens duomenis, naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti EVIS duomenų, įskaitant asmens duomenis, apimtis ir formatas, gavimo būdas.
32. EVIS duomenis, įskaitant asmens duomenis, duomenų gavėjas gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nurodyti duomenų gavėjo prašyme arba duomenų teikimo sutartyje.
34. EVIS duomenys gali būti:
34.1. pateikiami peržiūrėti leidžiamosios kreipties būdu internetu ar kitais elektroninių ryšių tinklais;
35. Direkcija teikia EVIS duomenų išrašus, pagal EVIS duomenis parengtas ataskaitas, apibendrintą, susistemintą ar kitaip apdorotą informaciją, duomenų teikėjų pateiktus dokumentus ir (arba) jų kopijas. Duomenų gavėjams teikiami tokio turinio ir tokio formato EVIS duomenys, kurie Direkcijos jau naudojami ir kurių nereikia papildomai apdoroti.
36. Jeigu parengtinis perduodamų EVIS duomenų turinys ar formatas neatitinka prašančiojo registro ar valstybės informacinės sistemos tvarkytojo poreikių arba prašantysis registro ar valstybės informacinės sistemos tvarkytojas neturi techninių galimybių reikiamai apdoroti gautų EVIS duomenų, jeigu dėl sąsajų tarp registro ir (arba) informacinės sistemos nebuvimo nėra galimybės perduoti reikalingų duomenų, Direkcija Vyriausybės nustatyta tvarka sukuria priemones, reikalingas prašomam EVIS duomenų formatui ar turiniui parengti ir (arba) apdoroti. Šių priemonių sukūrimo sąnaudų tinkamumą ir pagrįstumą vertina Vyriausybės įgaliota institucija ir šios priemonės finansuojamos iš valstybės biudžeto lėšų Vyriausybės nustatyta tvarka.
38. EVIS duomenys, įskaitant asmens duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Reglamentu (ES) 2016/679 ir Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
39. EVIS duomenų teikimas gali būti apribotas Valstybės informacinių išteklių valdymo įstatymo 27 straipsnio 7 dalyje numatytais atvejais.
40. Kai atsisakoma teikti EVIS duomenis, asmeniui, pateikusiam prašymą gauti EVIS duomenis, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.
41. EVIS duomenų gavėjai, EVIS duomenų teikėjai ir kiti asmenys, pastebėję netikslumų, turi teisę reikalauti EVIS valdytojo ir (arba) Direkcijos ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis ar apriboti EVIS duomenų tvarkymą, apie tai raštu pranešdami EVIS valdytojui ir (arba) Direkcijai. Direkcija, gavusi reikalavimą dėl netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymo, per 5 darbo dienas nuo informacijos gavimo (motyvuotu Direkcijos vadovo sprendimu terminas gali būti pratęstas iki
30 darbo dienų) patikrina EVIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisiusi netikslius duomenis, Direkcija per vieną darbo dieną nuo jų ištaisymo apie tai praneša EVIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.
VI SKYRIUS
EVIS DUOMENŲ SAUGA
42. EVIS duomenų saugą nustato EVIS valdytojo patvirtinti Saugos nuostatai ir saugos politikos įgyvendinamieji dokumentai, kurie rengiami, derinami ir tvirtinami Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.
43. Už EVIS duomenų ir elektroninės informacijos saugą pagal kompetenciją Lietuvos Respublikos įstatymų nustatyta tvarka atsako EVIS valdytojas ir EVIS tvarkytojai. EVIS valdytojas ir EVIS tvarkytojai atsako už duomenų tvarkymo teisėtumą ir pagal kompetenciją privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas EVIS esantiems duomenims apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų EVIS duomenų pobūdį, aprėptį, kontekstą ir tikslus, taip pat EVIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.
44. Asmenys, tvarkantys asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį ir už neteisėtą asmens duomenų atskleidimą atsako Lietuvos Respublikos įstatymų nustatyta tvarka. Ši atsakomybė išlieka ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo, sutartiniams ar kitiems santykiams.
45. EVIS duomenys, įskaitant asmens duomenis, duomenų bazėje saugomi 12 mėnesių nuo paskutinio pakeitimo (papildymo). Praėjus šiam laikui, duomenys sunaikinami. Už duomenų sunaikinimą atsakinga Direkcija.
46. EVIS tvarkomų duomenų saugumas užtikrinamas vadovaujantis:
46.5. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
46.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
46.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
46.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
46.9. Lietuvos standartais LST ISO/IEC 27001, ISO/IEC 27002 ir kitais Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
VII SKYRIUS
EVIS FINANSAVIMAS
VIII SKYRIUS
EVIS MODERNIZAVIMAS IR LIKVIDAVIMAS
48. EVIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
50. Detali duomenų subjekto teisių įgyvendinimo tvarka nustatyta susisiekimo ministro tvirtinamame Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos susisiekimo ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos apraše.
SUDERINTA Lietuvos Respublikos vidaus reikalų ministerijos 2021 m. birželio 30 d. raštu Nr. 1D-3762
|
SUDERINTA Lietuvos Respublikos ekonomikos ir inovacijų ministerijos 2021 m. birželio 21 d. raštu Nr. 3-2938 |
SUDERINTA Valstybinės duomenų apsaugos inspekcijos 2021 m. birželio 29 d. raštu Nr. 2R-3383
|
SUDERINTA Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2021 m. birželio 29 d. raštu Nr. (4.1E) 6K-518 |
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461
(Lietuvos Respublikos susisiekimo ministro
2021 m. liepos 21 d. įsakymo Nr. 3-361
redakcija)
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), kurių tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti EVIS duomenis ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.
2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarime Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu
Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, ir Lietuvos Respublikos standartuose LST ISO/IEC 27002 ir LST ISO/IEC 27001.
3. EVIS saugos politiką nustato šie Lietuvos Respublikos susisiekimo ministro patvirtinti teisės aktai (toliau – saugos politikos įgyvendinamieji dokumentai):
3.1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės;
3.2. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos naudotojų administravimo taisyklės;
4. Saugos nuostatai kartu su saugos politikos įgyvendinamaisiais dokumentais sudaro saugos dokumentus.
5. EVIS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – EVIS elektroninės informacijos sauga) užtikrinimo tikslai – sudaryti sąlygas saugiai automatizuotomis priemonėmis tvarkyti EVIS elektroninę informaciją, užtikrinti EVIS elektroninės informacijos patikimumą, konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterinės, programinės ir ryšių įrangos funkcionavimą.
6. EVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
6.4. fizinė EVIS elektroninės informacijos tvarkymo priemonių (tarnybinių stočių, informacijos perdavimo įrangos, programinės įrangos) ir patalpų apsauga;
7. Saugos nuostatais privalo vadovautis:
7.1. Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – Direkcija) valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, – EVIS saugos įgaliotinis (toliau – saugos įgaliotinis), EVIS administratorius, EVIS duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis);
7.2. Direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai), darbuotojai, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys EVIS elektroninę informaciją (toliau – EVIS paslaugos teikėjo (-ų) darbuotojai);
8. EVIS valdytoja yra Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius), EVIS tvarkytojai yra Direkcija (Gedimino pr. 26, 01104 Vilnius) ir EVIS paslaugos teikėjas (-ai).
9. EVIS valdytojo funkcijos ir atsakomybė:
9.1. atsako už EVIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
9.2. tvirtina EVIS saugos dokumentus, prižiūri ir kontroliuoja, kad EVIS būtų tvarkoma vadovaujantis šiais dokumentais, EVIS nuostatais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;
9.3. nagrinėja Direkcijos pasiūlymus dėl EVIS elektroninės informacijos saugos tobulinimo ir priima dėl jų sprendimus;
9.4. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą;
9.6. prireikus tvirtina EVIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;
9.9. paveda Direkcijai paskirti saugos įgaliotinį, duomenų valdymo įgaliotinį, EVIS administratorių;
10. Direkcijos funkcijos ir atsakomybė:
10.1. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir EVIS saugos reikalavimų atitiktį Saugos nuostatams ir saugos politikos įgyvendinamiesiems dokumentams;
10.6. rūpinasi EVIS duomenų saugumu, užtikrina tinkamą EVIS administravimą ir nepertraukiamą EVIS veiklą;
10.7. koordinuoja ir kontroliuoja valstybės tarnautojų ar darbuotojų, dirbančių pagal darbo sutartis ir EVIS naudojančių paskirtoms funkcijoms vykdyti bei EVIS paslaugos teikėjo (-ų) darbuotojų veiklą (toliau – EVIS vidiniai naudotojai);
10.8. pagal kompetenciją atsako už EVIS elektroninės informacijos tvarkymo teisėtumą, saugumą ir užtikrina EVIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir Saugos nuostatams;
11. EVIS paslaugos teikėjo (-ų) vadovas (-ai) paskiria administratorių (-ius) (toliau – EVIS paslaugos teikėjo administratorius), jis nurodomas Direkcijos ir EVIS paslaugų teikėjo (-ų) sudarytoje (-ose) sutartyje (-yse).
12. Saugos įgaliotinio (kibernetinio saugumo vadovo) funkcijos ir atsakomybė:
12.1. teikia pasiūlymus Direkcijos vadovui dėl:
12.1.2. EVIS informacinių technologijų saugos atitikties vertinimo atlikimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 43 punkte nurodytoje Lietuvos Respublikos krašto apsaugos ministro tvirtinamoje Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;
12.3. organizuoja EVIS rizikos įvertinimą, prireikus – neeilinį EVIS rizikos įvertinimą ir EVIS informacinių technologijų saugos atitikties vertinimą;
12.5. teikia EVIS administratoriui, EVIS paslaugos teikėjo administratoriui ir EVIS vidiniams naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
12.6. koordinuoja saugos dokumentų nuostatų pažeidimų ir (ar) elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) tyrimus;
12.7. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
12.9. pasirašytinai supažindina EVIS administratorių, EVIS paslaugos teikėjo (-ų) administratorių (-ius) ir EVIS vidinius naudotojus su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių dokumentų reikalavimų nesilaikymą;
12.10. periodiškai inicijuoja EVIS administratoriaus, EVIS paslaugos teikėjo (-ų) administratoriaus (-ių) ir EVIS vidinių naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas (teminiai seminarai, atmintinės priimtiems naujiems darbuotojams ir pan.);
14. EVIS administratoriaus funkcijos ir atsakomybė:
14.1. atlieka EVIS vidiniams naudotojams priskirtų funkcijų ir suteiktų teisių atitikties vertinimą, administruoja šias teises;
14.2. rengia ir tikrina EVIS sudarančių komponentų sąranką, teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
14.3. ne rečiau kaip kartą per metus ir (arba) atlikus EVIS pakeitimus tikrina (peržiūri) EVIS sąranką ir EVIS būsenos rodiklius;
14.4. pagal kompetenciją reaguoja į saugos incidentus, registruoja juos ir informuoja saugos įgaliotinį apie nustatytus saugos politikos pažeidimus, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja saugos įgaliotinį apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
14.7. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su EVIS duomenų saugos užtikrinimu;
14.8. įregistruoja ir išregistruoja EVIS vidinius naudotojus, atsako už prieigos prie EVIS teisių nustatymą;
14.10. tikrina pranešimus apie serverių operacinių sistemų ir duomenų bazių valdymo sistemų klaidas ir imasi būtinų priemonių, kad būtų išvengta galimų gedimų;
14.12. teikia Direkcijos vadovui ir saugos įgaliotiniui pasiūlymus dėl EVIS kūrimo, funkcionalumo užtikrinimo, priežiūros ir duomenų saugos klausimų;
14.13. dalyvauja atkuriant EVIS elektroninę informaciją iš elektroninės informacijos atsarginių kopijų;
15. EVIS paslaugos teikėjo administratoriaus funkcijos ir atsakomybė:
15.1. vykdo EVIS paslaugos teikėjo darbuotojų, EVIS naudojančius sutartiniams įsipareigojimams vykdyti, EVIS atliekamų veiksmų kontrolę;
15.2. rengia ir tikrina EVIS sudarančių komponentų sąranką, teikia EVIS administratoriui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
15.3. prižiūri EVIS sudarančias dalis (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimo aptikimo sistemas, duomenų perdavimo tinklus ir kt.), kontroliuoja EVIS ir ją sudarančių komponentų nepertraukiamą veikimą ir už tai atsako;
15.4. reaguoja į saugos incidentus, registruoja juos ir informuoja EVIS administratorių apie nustatytus saugos politikos pažeidimus, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja EVIS administratorių apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
15.8. tikrina pranešimus apie serverių operacinių sistemų ir duomenų bazių valdymo sistemų klaidas ir imasi būtinų priemonių, kad būtų išvengta galimų gedimų;
15.11. atsako už EVIS elektroninės informacijos atsarginių kopijų darymą, tinkamumą ir saugojimą bei naikinimą;
16. Teisės aktų, kuriais vadovaujamasi tvarkant EVIS elektroninę informaciją ir užtikrinant jų saugumą, sąrašas:
16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
16.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
16.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
16.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
16.7. Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, Lietuvos ir tarptautiniai „Informacinės technologijos. Saugumo metodai“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;
II SKYRIUS
EVIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos klasifikavimo gairių aprašas), 10 punktu, EVIS tvarkoma informacija priskiriama mažiausios svarbos informacijos kategorijai.
18. Vadovaujantis Elektroninės informacijos klasifikavimo gairių aprašo 12.4 papunkčiu, EVIS pagal joje tvarkomos informacijos svarbą priskiriama ketvirtajai kategorijai (kurioje tvarkoma mažiausios svarbos informacija).
19. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacinės technologijos. Saugumo metodai“ grupės standartus, kasmet organizuoja EVIS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. EVIS rizikos įvertinimas atliekamas pagal kokybinį rizikos vertinimo metodą. Kartu su pagrindiniu EVIS rizikos įvertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos EVIS kibernetiniam saugumui, vertinimas. EVIS tvarkytojo rašytiniu pavedimu EVIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
20. EVIS rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje ir ji pateikiama EVIS tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:
20.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis EVIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
20.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
21. Rizikos įvertinimo metu atliekamos veiklos:
22. Atsižvelgdamas į rizikos įvertinimo ataskaitą, EVIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis EVIS rizikos valdymo priemonėms įgyvendinti.
23. Pagrindiniai EVIS elektroninės informacijos saugos priemonių parinkimo principai yra šie:
24. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas EVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
25. Siekiant užtikrinti Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per 2 metus organizuojamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.
26. Atliekant EVIS informacinių technologijų saugos atitikties vertinimą:
26.1. įvertinama esamos EVIS elektroninės informacijos saugos situacijos atitiktis EVIS saugos dokumentams ir kitiems elektroninės informacijos saugą reglamentuojantiems teisės aktams;
26.3. peržiūrima EVIS administratoriui, EVIS paslaugos teikėjo administratoriui, EVIS vidiniams naudotojams ir EVIS elektroninės paslaugos gavėjams (Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“,
8.6 papunktis) (toliau – EVIS išoriniai naudotojai) suteiktų teisių atitiktis jų atliekamoms funkcijoms;
26.4. duomenų saugos požiūriu patikrinama EVIS techninė ir programinė įranga: visos tarnybinės stotys ir ne mažiau kaip 10 proc. atsitiktinai parinktų EVIS vidinių naudotojų darbo vietų;
27. Atlikus EVIS informacinių technologijų saugos atitikties vertinimą, parengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir pateikiama Direkcijos vadovui, taip pat parengiamas pastebėtų trūkumų šalinimo planas. EVIS valdytojo vadovas patvirtina šį planą, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus.
28. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas EVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
29. Prireikus saugos įgaliotinis gali organizuoti neeilinį EVIS informacinių technologijų saugos atitikties vertinimą.
30. Neeilinis EVIS informacinių technologijų saugos atitikties vertinimas atliekamas:
30.1. įvykus EVIS techninės ar programinės įrangos pokyčiams, kurie gali turėti įtakos EVIS veikimui;
30.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė EVIS techninei, programinei įrangai ar EVIS tvarkomai elektroninei informacijai;
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
32. Nustatomi šie EVIS naudojamos programinės įrangos reikalavimai:
32.1. EVIS naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus.
32.2. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose.
32.4. Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus.
32.5. Prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.
33. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie EVIS:
33.1. EVIS vidiniai naudotojai ir EVIS išoriniai naudotojai (toliau – EVIS naudotojai) privalo turėti galimybę naudotis tik tokiomis teisėmis ir tais duomenimis, kurie jiems numatyti nustačius prieigos prie EVIS teises, įgyvendinant principą „būtina žinoti“.
33.2. EVIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą EVIS administratoriaus ar EVIS paslaugos teikėjo administratoriaus klasifikatorių, kuriuo naudojantis nebūtų galima atlikti EVIS naudotojo funkcijų.
33.3. Kiekvienas EVIS naudotojas turi būti EVIS unikaliai identifikuojamas. EVIS vidinis naudotojas arba EVIS išorinis naudotojas, kuris yra susikūręs savo paskyrą EVIS, turi patvirtinti savo tapatybę slaptažodžiu, EVIS vidiniam naudotojui suteiktas pirminis slaptažodis turi būti pakeistas pirmo prisijungimo metu.
33.4. EVIS turi registruoti paskutinį EVIS elektroninės informacijos pakeitimą atlikusį EVIS naudotoją ir pakeitimo laiką.
33.5. Prieigą prie EVIS suteikia, apriboja ir panaikina pagal savo kompetenciją EVIS administratorius ar EVIS paslaugos teikėjo administratorius.
33.7. Patalpose, kuriose yra EVIS duomenų centras, turi būti įrengti ir prie pastato signalizacijos ir apsaugos tarnybų prijungti gaisro ir įsilaužimo jutikliai.
34. Programinės įrangos, skirtos EVIS ir kompiuterizuotoms darbo vietoms (toliau – KDV) apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos:
34.1. EVIS turi būti naudojama antivirusinė programinė įranga, skirta EVIS apsaugoti nuo kenksmingos programinės įrangos.
34.2. Antivirusinė programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per parą.
34.3. EVIS vidinių naudotojų kompiuteriuose naudojama įranga, skirta KDV apsaugoti nuo kenksmingos programinės įrangos, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV.
34.4. Atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta EVIS ir KDV apsaugoti nuo kenksmingos programinės įrangos.
34.5. KDV esančios programinės įrangos, skirtos EVIS ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas.
34.7. Apsaugos sistema privalo automatiškai informuoti EVIS paslaugos teikėjo administratorių apie KDV ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.
34.8. EVIS operacinės sistemos ir naudojami programinės įrangos gamintojų rekomenduojami atnaujinimai turi būti įdiegiami operatyviai – ne vėliau kaip per 5 darbo dienas nuo programinės įrangos paketo išleidimo.
35. Programinės įrangos, įdiegtos KDV ir tarnybinėse stotyse, naudojimo nuostatos:
35.2. Draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą EVIS vidinio naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri EVIS paslaugos teikėjo administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik EVIS paslaugos teikėjo administratoriaus prižiūrimi.
35.3. Diegti ir naudoti programinę įrangą, nesusijusią su EVIS valdytojo ar EVIS tvarkytojų veikla ar EVIS vidinio naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programas ir kt.), draudžiama.
36. Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos ir metodai, kuriais užtikrinamas saugus EVIS duomenų teikimas ir (ar) gavimas:
36.1. EVIS išoriniai naudotojai naudojasi prieiga prie EVIS per išorinį portalą. EVIS išoriniams naudotojams prisijungimo laikas nėra ribojamas.
36.3. EVIS vidiniam naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai EVIS vidinis naudotojas atostogauja, vykdomas EVIS vidinio naudotojo veiklos tyrimas ir pan. Pasibaigus tarnybos (darbo) santykiams, EVIS vidinio naudotojo teisė naudotis EVIS turi būti panaikinta.
36.4. Baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo EVIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą.
37. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy ir kt.) pagrindinės naudojimo nuostatos:
37.1. Techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose minimos priemonės ir duomenų šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN).
37.2. EVIS vidiniams naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie EVIS galimybė.
37.3. Kompiuterinis tinklas, prie kurio prijungtos EVIS tarnybinės stotys ir EVIS vidinių naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirtas ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga, už kurios administravimą ir priežiūrą atsakingas EVIS paslaugos teikėjo administratorius.
37.4. Visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos.
38. Kompiuterių (įskaitant nešiojamuosius) naudojimo reikalavimai:
38.1. Stacionarieji ir nešiojamieji EVIS vidinių naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Iš kompiuterių, kurie perduodami remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo EVIS elektroninė informacija.
38.2. Visiems EVIS vidinių naudotojų kompiuteriams turi būti naudojamos papildomos saugos priemonės, kuriomis patvirtinama kompiuterio naudotojo tapatybė.
38.3. EVIS vidiniai naudotojai, darbo funkcijoms atlikti naudojantys nešiojamuosius kompiuterius, išnešdami juos iš EVIS tvarkytojų patalpų, norėdami EVIS duomenis perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti duomenų šifravimą, papildomą naudotojo tapatybės patvirtinimą, rakinimo įrenginį. Nešiojamojo kompiuterio pagrindinė įvesties ir išvesties sistema (BIOS) turi būti apsaugota slaptažodžiu ir nurodytas kietasis diskas kaip pirminis paleidimo įrenginys. Iš išorės prie EVIS duomenų bazės prisijungimas ribojamas. Nešiojamuosiuose kompiuteriuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami. EVIS vidiniai naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.
39. Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas šifruotas VPN arba Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT). Elektronine informacija keičiamasi per saugųjį HTTP (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą (HTTPS) žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis tik pagal duomenų teikimo sutartyje nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.
40. Metodai, kuriais gali būti užtikrinamas saugus EVIS elektroninės informacijos teikimas ir (ar) gavimas:
40.1. EVIS elektroninė informacija perduodama automatiniu būdu (naudojant TCP/IP protokolą) realiuoju laiku arba asinchroniniu režimu pagal EVIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.
40.2. Už EVIS elektroninės informacijos teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas saugos įgaliotinis.
41. Pagrindiniai atsarginių EVIS elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
41.3. EVIS administratorius privalo turėti galimybę inicijuoti elektroninės informacijos atkūrimo iš rezervinės kopijos procedūrą pasirinktinai iš turimų rezervinių kopijų sąrašo. Atkūrus elektroninę informaciją privalo būti užtikrintas ir išlaikytas elektroninės informacijos vientisumas ir integralumas.
41.4. EVIS elektroninė informacija EVIS naudotojams turi būti prieinama ne mažiau kaip
99,30 proc. laiko per mėnesį.
41.5. Jeigu neveikia EVIS ar jos dalis ir dėl to nutrūksta transporto priemonių eilių elektroninis reguliavimas, ne vėliau kaip per 2 valandas turi būti atkurtas EVIS funkcionalumas. Poste priešais pasienio kontrolės punktą sutartinius įsipareigojimus vykdantiems EVIS paslaugos teikėjo darbuotojams turi būti sudaryta galimybė nuolat gauti duomenis apie registruotas transporto priemones iš atsarginio informacijos šaltinio, kuriame reguliariai išsaugomi duomenys apie registruotas transporto priemones. Vadovaudamiesi šiais duomenimis, EVIS paslaugos teikėjo darbuotojai leis įvažiuoti transporto priemonėms į pasienio kontrolės punktą, kol bus atkurtas EVIS funkcionalumas.
41.6. Elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų).
41.7. EVIS elektroninės informacijos atsarginės kopijos yra daromos ir saugomos taip, kad jos nebūtų prieinamos tretiesiems asmenims, kurie neturi teisės su jomis dirbti.
41.8. EVIS atsarginės elektroninės informacijos kopijos turi būti laikomos atskiroje (nuo pagrindinių duomenų) patalpoje ir saugomos užrakintoje nedegioje spintoje. Už atsarginių kopijų darymą ir atkūrimą atsakingas EVIS paslaugos teikėjo administratorius.
42. Nustatomi duomenų naikinimo ir šalinimo reikalavimai:
42.1. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinta visa joje esanti elektroninė informacija, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pvz., DVD laikmenos), duomenų laikmenos turi būti fiziškai sunaikinamos be galimybės atkurti duomenis.
42.2. Prieš šalinant laikmenas, turi būti atlikti visų šalinamų laikmenų daugybiniai programinės įrangos perrašymai.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
43. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus ir metodus, rizikų valdymą, kiekvienais metais tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis Reglamentu (ES) 2016/679, saugos dokumentais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Informacinių technologijų saugos atitikties vertinimo metodika ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą, kibernetinį saugumą, taip pat būti susipažinęs su esminiais EVIS elektroninės informacijos saugos reikalavimais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika.
44. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo nuobaudos paskyrimo praėję mažiau kaip vieni metai.
45. EVIS administratorius ar EVIS paslaugos teikėjo administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą, būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.
47. EVIS vidiniai naudotojai privalo rūpintis tvarkomų duomenų saugumu. EVIS vidiniai naudotojai turi būti susipažinę su Reglamentu (ES)2016/679, Saugos nuostatais ir saugos politiką reglamentuojančiais teisės aktais. Tvarkyti EVIS elektroninę informaciją gali tik EVIS vidiniai naudotojai, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.
48. EVIS vidiniai naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias EVIS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti EVIS administratoriui, o jo nesant – saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame punkte nurodytus pažeidimus, EVIS administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus.
V SKYRIUS
EVIS VIDINIŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS
PRINCIPAI
50. Direkcijos vadovas užtikrina, kad EVIS vidiniai naudotojai būtų supažindinti su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą ir atsakomybę už šių teisės aktų nuostatų pažeidimus.
51. Už EVIS vidinių naudotojų, EVIS administratoriaus ir EVIS paslaugos teikėjo (-ų) administratoriaus (-ių) supažindinimą su saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo, atsakingas saugos įgaliotinis.
52. EVIS administratorių ir EVIS paslaugos teikėjo (-ų) administratorių (-ius) su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodymą, supažindina saugos įgaliotinis per 10 darbo dienų nuo EVIS administratoriaus ar EVIS paslaugos teikėjo administratoriaus (-ių) paskyrimo.
53. EVIS vidinius naudotojus su saugos dokumentais ir teisės aktais, reglamentuojančiais EVIS elektroninės informacijos saugą, saugos įgaliotinis pasirašytinai supažindina prieš sukurdamas EVIS vidinio naudotojo prisijungimo duomenis.
54. Pakartotinai su saugos dokumentais ir teisės aktais, reglamentuojančiais EVIS elektroninės informacijos saugą, saugos įgaliotinis pasirašytinai supažindina EVIS vidinius naudotojus ir EVIS administratorių ar EVIS paslaugos teikėjo (-ų) administratorių (-ius) kitą darbo dieną po saugos dokumentų ir teisės aktų, reglamentuojančių EVIS elektroninės informacijos saugą, priėmimo (išdėstymo nauja redakcija), pakeitimo ar pripažinimo netekusiais galios.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
55. Saugos įgaliotinis organizuoja saugos dokumentų persvarstymą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, pasikeitus saugos politiką reglamentuojantiems teisės aktams, įvykus esminiams organizaciniams, technologiniams ar kitiems EVIS pokyčiams, po įvykusio kibernetinio incidento.
56. Saugos įgaliotinis, EVIS administratorius, EVIS paslaugos teikėjo (-ų) administratorius
(-iai), EVIS vidiniai naudotojai ir kiti subjektai, kuriems taikomi Saugos nuostatų reikalavimai, pažeidę saugos dokumentų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą, reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.