Projektas

LOŠIMŲ PRIEŽIŪROS TARNYBOS

PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS DIREKTORIUS

ĮSAKYMAS

DĖL LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS NUOSTATŲ IR LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2018 m. rugpjūčio 20 d. Nr. DI-416

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsnio 1 ir 2 dalimis, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1. T v i r t i n u:

1.1. Lošimo automatų kontrolės informacinės sistemos nuostatus (pridedama);

1.2. Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatus (pridedama).

2. S k i r i u:

2.1. Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vedėją Simą Levulį Lošimo automatų kontrolės informacinės sistemos saugos įgaliotiniu;

2.2. Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos Teisėkūros, personalo ir bendrųjų reikalų skyriaus vedėją Arnoldą Dilbą Lošimo automatų kontrolės informacinės sistemos duomenų valdymo įgaliotiniu.

3. P a v e d u Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos Lošimo įrenginių tipų tvirtinimo ir registro skyriui per 5 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos direktoriui tvirtinti Lošimo automatų kontrolės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo plano ir Lošimo automatų kontrolės informacinės sistemos naudotojų administravimo taisyklių projektus.

Direktorius Virginijus Daukšys

SUDERINTA

Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos susisiekimo ministerijos

2018 m. rugpjūčio 16 d. raštu Nr. S-640

Lietuvos Respublikos vidaus reikalų ministerijos

2018 m. liepos 26 d. raštu Nr. 10-3820

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos

2018 m. rugpjūčio 10 d. raštu Nr. (4.2)6K-482

PATVIRTINTA
Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos direktoriaus

2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lošimo automatų kontrolės informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Lošimo automatų kontrolės informacinės sistemos (toliau – LAKIS) steigimo teisinį pagrindą, tikslus, uždavinius ir pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, bendruosius reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.

2. LAKIS steigimo pagrindas – Lietuvos Respublikos azartinių lošimų įstatymo 28 straipsnio 5 punktas.

3. Pagrindiniai teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma informacinė sistema:

3.1. Lietuvos Respublikos azartinių lošimų įstatymas (2017 m. lapkričio 15 d. įstatymo Nr. XIII-771 redakcija);

3.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (toliau –Įstatymas);

3.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

3.4. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymas;

3.5. Bendrųjų elektorinės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

3.6. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas).

4. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.

5. LAKIS tikslas – tvarkyti elektroninės automatų duomenų valdymo sistemos perduodamus lošimo automatų (toliau – automatas) identifikacinius, veikimo, elektroninių skaitiklių duomenis ir lošimus lošimo namuose (kazino) organizuojančių bendrovių perduodamus prie lošimo stalų įmokėtų sumų ir žetonų inventorizacijos rezultatų duomenis.

6. LAKIS uždaviniai:

6.1. automatizuoti automatų identifikacinių, veikimo, elektroninių skaitiklių duomenų surinkimą, apdorojimą ir pateikimą analizei;

6.2. automatizuoti prie lošimo stalų įmokėtų sumų ir žetonų inventorizacijos rezultatų duomenų surinkimą, apdorojimą ir pateikimą analizei.

7. Pagrindinės LAKIS funkcijos:

7.1. rinkti ir kaupti automatų identifikacinių, veikimo, elektroninių skaitiklių duomenis;

7.2. rinkti ir kaupti prie lošimo stalų įmokėtų sumų ir žetonų inventorizacijos rezultatų duomenis;

7.3. atlikti gautų duomenų analizę ir formuoti ataskaitas.

II SKYRIUS

LAKIS ORGANIZACINĖ STRUKTŪRA

8. LAKIS valdytoja ir tvarkytoja – Lošimų priežiūros tarnyba prie Lietuvos Respublikos finansų ministerijos.

9. LAKIS valdytoja ir tvarkytoja atlieka Įstatyme numatytas funkcijas, turi teises ir vykdo pareigas, nustatytas Įstatyme.

10. Duomenų teikėjai:

10.1. stalo lošimus ir lošimus A kategorijos automatais organizuojančios bendrovės, kurios duomenis teikia naudodamos LAKIS ir Elektroninę automatų duomenų valdymo sistemą (toliau – EADVS).

10.2. lošimus B kategorijos automatais organizuojančios bendrovės, kurios duomenis teikia naudodamos EADVS.

10.3. Lošimų priežiūros tarnyba prie Lietuvos Respublikos finansų ministerijos, kuri teikia duomenis iš Lietuvos lošimo įrenginių registro.

III SKYRIUS

LAKIS INFORMACINĖ STRUKTŪRA

11. LAKIS struktūrą sudaro:

11.1. automato identifikaciniai duomenys:

11.1.1. automato serija;

11.1.2. automato numeris.

11.2. automato veikimo duomenys:

11.2.1. automato programinės įrangos versija;

11.2.2. automato įjungimo faktas;

11.2.3. automato išjungimo faktas;

11.2.4. automato durelių atidarymo faktas lošimų organizavimo vietoje;

11.2.5. automato durelių uždarymo faktas lošimų organizavimo vietoje.

11.3. Nuostatų 11.2 papunktyje nurodytų duomenų pasikeitimo data ir laikas.

11.4. automato elektroninių skaitiklių duomenys:

11.4.1. už dalyvavimą lošime įmokėti kredito arba piniginiai vienetai;

11.4.2. laimėti kredito arba piniginiai vienetai;

11.4.3. lošimo namų (kazino) kasoje apmokėti kredito arba piniginiai vienetai (jeigu tokia funkcija įdiegta automate);

11.4.4. automatų salono kasoje apmokėti kredito arba piniginiai vienetai (jeigu tokia funkcija įdiegta automate);

11.4.5. A kategorijos automatu laimėto kaupiamojo fondo kredito arba piniginiai vienetai (jeigu tokia funkcija įdiegta automate);

11.4.6. automatu loštų lošimų skaičius.

11.5. elektroninės lošimo automatų duomenų valdymo sistemos automatinio tikrinimo duomenys (programinės įrangos komponentai ir jų versijos);

11.6. automato duomens pakeitimo tikslas;

11.7. lošimų organizavimo vietos, kurioje automatas yra eksploatuojamas, adresas;

11.8. elektroninės lošimo automatų duomenų valdymo sistemos dalių unikalūs numeriai;

11.9. lošimo namuose (kazino) įmokėtų sumų ir žetonų inventorizacijos (toliau – inventorizacija) rezultatų duomenys:

11.9.1. lošimo namų (kazino), kuriuose atlikta inventorizacija, adresas;

11.9.2. inventorizacijos atlikimo data;

11.9.3. inventorizuoto lošimo stalo serija ir numeris;

11.9.4. pajamos už parduotus žetonus prie lošimo stalo;

11.9.5. pajamos už parduotus žetonus kasoje;

11.9.6. kasoje išmokėtų laimėjimų suma.

12. Lietuvos lošimo įrenginių registras į LAKIS teikia Nuostatų 11.1, 11.7 ir 11.9.3 papunkčiuose nurodytus duomenis.

13. Nuostatų 10.1 nurodyti duomenų teikėjai teikia Nuostatų 11.1-11.9 papunkčiuose nurodytus duomenis.

14. Nuostatų 10.2 nurodyti duomenų teikėjai teikia Nuostatų 11.1-11.8 papunkčiuose nurodytus duomenis.

IV SKYRIUS

LAKIS FUNKCINĖ STRUKTŪRA

15. LAKIS funkcinę struktūrą sudaro:

15.1. autentifikacijos ir autorizacijos posistemis, kurio funkcijos:

15.1.1. vykdyti naudotojų prisijungimą prie LAKIS;

15.1.2. autentifikuoti naudotojus.

15.2. pranešimų posistemis, kurio funkcijos:

15.2.1. siųsti priminimus ir pranešimus;

15.2.2. informuoti apie gautus naujus ir patikslintus duomenis.

15.3. duomenų teikėjų sąrašo peržiūros ir tvarkymo posistemis, kurio funkcijos:

15.3.1. pateikti duomenų peržiūros formas;

15.3.2. kaupti ir filtruoti duomenis;

15.3.3. pateikti duomenų teikėjų registravimo formas.

15.4. automatų sąrašo peržiūros ir tvarkymo posistemis, kurio funkcijos:

15.4.1. pateikti duomenų peržiūros formas;

15.4.2. kaupti ir filtruoti duomenis;

15.4.3. pateikti automatų registravimo formas.

15.5. inventorizacijos duomenų peržiūros ir tvarkymo posistemis, kurio funkcijos:

15.5.1. pateikti duomenų peržiūros formas;

15.5.2. kaupti ir filtruoti duomenis;

15.5.3. įvesti inventorizacijos duomenis rankiniu būdu;

15.5.4. keisti inventorizacijos duomenis rankiniu būdu, nurodant duomenų keitimo priežastis;

15.5.5. šalinti inventorizacijos duomenis rankiniu būdu, nurodant duomenų šalinimo priežastis;

15.5.6. peržiūrėti inventorizacijos duomenų keitimo ir šalinimo žurnalą;

15.5.7. eksportuoti inventorizacijos duomenis į xlsx duomenų rinkmeną.

15.6. duomenų teikėjų pateiktų duomenų automatinio audito posistemis, kurio funkcijos:

15.6.1. pateikti automatinio audito duomenų peržiūros formas;

15.6.2. kaupti ir filtruoti automatinio audito duomenis;

15.6.3. tvarkyti automatinio audito vykdymo parametrus;

15.6.4. tvarkyti automatinio audito metu vykdomas duomenų patikros taisykles (sukurti taisyklę, pašalinti taisyklę, deaktyvuoti taisyklę);

15.6.5. periodiškai vykdyti duomenų teikėjų pateiktų duomenų automatinį auditą, pagal nustatytas taisykles ir parametrus;

15.6.6. automatinio audito rezultatų peržiūra ir audito rezultatų teisingumo patvirtinimas.

15.7. duomenų mainų posistemis, kurio funkcijos:

15.7.1. duomenų teikimas automatiniu būdu iš EADVS į LAKIS;

15.7.2. duomenų gavimas į LAKIS automatiniu būdu iš EADVS;

15.7.3. vykdyti automatinį duomenų pateikimą duomenų gavėjams.

15.8. EADVS kontrolės ir audito posistemis, kurio funkcijos:

15.8.1. pateikti duomenų peržiūros formas;

15.8.2. kaupti ir filtruoti duomenis;

15.8.3. registruoti EADVS kontrolines sumas;

15.8.4. automatiškai tikrinti EADVS kontrolines sumas duomenų pateikimo į LAKIS momentu.

15.9. ataskaitų ir duomenų analizės posistemis:

15.9.1. rodiklių valdymo modulis, kurio funkcijos:

15.9.1.1. tvarkyti rodiklių sąrašus ir rodiklių parametrus;

15.9.1.2. valdyti taisykles, kuriomis pagrįsti duomenų analizavimo įrankiai ir rezultatai.

15.9.2. ataskaitų rengimo modulis, kurio funkcija formuoti sistemos duomenų ataskaitas.

15.9.3. analitikos modulis, kurio funkcijos:

15.9.3.1. formuoti rodiklius;

15.9.3.2. atvaizduoti rodiklius;

15.9.3.3. atlikti duomenų analizę verslo analitikos sistemos (angl. business intelligence) įrankiais;

15.9.3.4. formuoti statines ir „Ad-hoc“ ataskaitas;

15.9.3.5. atvaizduoti sukauptus duomenis ir (ar) iš jų apskaičiuotus rodiklius įvairiomis formomis – lentelėmis, grafikais, žemėlapyje;

15.9.4. vykdyti duomenų paiešką bei filtruoti duomenis.

15.10. administravimo posistemis, kurio funkcijos:

15.10.1. saugoti ir kaupti LAKIS atliktus veiksmus;

15.10.2. tvarkyti klasifikatorius, žinynus, LAKIS parametrus;

15.11. duomenų archyvavimo posistemis, kurio funkcijos:

15.11.1. sudaryti duomenų archyvų bylas;

15.11.2. saugoti duomenų archyvų bylas.

V SKYRIUS

LAKIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

16. LAKIS duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims.

17. LAKIS duomenų teikimas gali būti apribotas Įstatymo 27 straipsnio 7 dalies 2 ir 4 punktuose bei kituose Lietuvos Respublikos įstatymuose nustatytais pagrindais.

18. LAKIS duomenys nėra viešai skelbiami ir neteikiami pakartotiniam naudojimui.

19. LAKIS valdytojas duomenis teikia šiais būdais:

19.1. automatiniu būdu elektroninių ryšių tinklais;

19.2. raštu ir (arba) elektroninio ryšio priemonėmis. Teikiant duomenis, turi būti užtikrintos tinkamos organizacinės ir techninės saugumo priemonės, skirtos duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kitokio neteisėto tvarkymo apsaugoti.

20. LAKIS duomenų gavėjai gautus duomenis ir informaciją gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip nurodyta duomenų teikimo sutartyje arba prašyme. LAKIS duomenų gavėjas negali keisti iš LAKIS gautų duomenų ir informacijos ir juos naudodamas privalo nurodyti duomenų šaltinį.

21. LAKIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Įstatymo nustatyta tvarka.

22. LAKIS duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami LAKIS, ir nereikalauja papildomo duomenų apdorojimo.

23. Daugkartinio teikimo atveju LAKIS duomenys teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį.

24. Vienkartinio teikimo atveju LAKIS duomenys teikiami pagal gavėjo prašymą. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.

25. LAKIS duomenys duomenų gavėjams teikiami neatlygintinai.

26. Kai atsisakoma teikti LAKIS tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

27. LAKIS valdytojo sprendimai atsisakyti teikti LAKIS duomenis gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.

28. Duomenų gavėjai, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Gavusi šį reikalavimą, LAKIS valdytoja privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai netikslius duomenis ištaisyti reikalavusį asmenį.

VI SKYRIUS

LAKIS DUOMENŲ SAUGA

29. LAKIS duomenų saugą reglamentuoja LAKIS valdytojos tvirtinami LAKIS duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Įstatymo, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ ir kitų teisės aktų, reglamentuojančių duomenų ir informacijos saugą, nustatyta tvarka.

30. Už LAKIS elektroninės informacijos duomenų saugą atsako LAKIS valdytoja ir tvarkytoja.

31. Duomenys LAKIS saugomi 10 metų, po to perkeliami į LAKIS archyvą ir jame saugomi 1 metus. Pasibaigus saugojimo terminui duomenys ištrinami.

VII SKYRIUS

INFORMACINĖS SISTEMOS FINANSAVIMAS

32. Pasirengimas steigti LAKIS, LAKIS steigimas, tvarkymas ir priežiūra yra finansuojami Įstatymo nustatyta tvarka iš Lietuvos Respublikos valstybės biudžeto, įskaitant ir Europos Sąjungos struktūrinių fondų lėšas.

VIII SKYRIUS

INFORMACINĖS SISTEMOS MODERNIZAVIMAS IR LIKVIDAVIMAS

33. Informacinė sistema modernizuojama arba likviduojama Įstatymo ir Aprašo nustatyta tvarka.

34. Likviduojamos LAKIS duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

35. Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias LAKIS veiklą, atsako įstatymų nustatyta tvarka.

_______________

PATVIRTINTA

Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos direktoriaus

2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BendroSIOS NUOSTATOS

1. Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Lošimo automatų kontrolės informacinės sistemos (toliau – LAKIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką.

2. LAKIS elektroninės informacijos saugos politikos tikslas – užtikrinti LAKIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

3. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo metodai“.

4. LAKIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų LAKIS elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė;

4.2. LAKIS elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3. LAKIS paslaugų ir naudojimosi LAKIS elektronine informacija kontrolės užtikrinimas;

4.4. LAKIS veiklos tęstinumo užtikrinimas.

5. Saugos nuostatai taikomi LAKIS valdytojai ir tvarkytojai – Lošimų priežiūros tarnybai prie Lietuvos Respublikos finansų ministerijos, Ukmergės g. 222, LT-07157, Vilnius (toliau – Priežiūros tarnyba), LAKIS saugos įgaliotiniui, LAKIS administratoriui ir LAKIS naudotojams.

6. Priežiūros tarnyba, kaip LAKIS valdytoja atlieka šias funkcijas:

6.1. pagal kompetenciją atsako už elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;

6.2. tvirtina LAKIS saugos nuostatus, saugos politiką įgyvendinančius dokumentus (toliau – Saugos dokumentai) ir kitus teisės aktus, susijusius su LAKIS sauga;

6.3. priima sprendimus dėl LAKIS techninių ir programinių priemonių, būtinų LAKIS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

6.4. nagrinėja pasiūlymus dėl LAKIS elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

6.5. vykdo kitas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, LAKIS nuostatuose bei saugos dokumentuose nustatytas funkcijas.

7. Priežiūros tarnyba, kaip LAKIS tvarkytoja atlieka šias funkcijas:

7.1. pagal kompetenciją atsako už LAKIS elektroninės informacijos tvarkymo teisėtumą ir saugą;

7.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.3. atlieka LAKIS duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą LAKIS veikimą;

7.4. Priežiūros tarnybos vadovo pavedimu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį, administratorių;

7.5. užtikrina, kad LAKIS naudotojai, turintys teisę naudotis LAKIS elektronine informacija, laikytųsi reikalavimų, nustatytų LAKIS Saugos dokumentuose;

7.6. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Lietuvos Respublikos kibernetinio saugumo įstatyme ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

7.7. vykdo kitas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, LAKIS nuostatuose bei Saugos dokumentuose nustatytas funkcijas.

8. LAKIS saugos įgaliotinis, įgyvendindamas LAKIS elektroninės informacijos saugą, atlieka šias funkcijas:

8.1. teikia Priežiūros tarnybos vadovui pasiūlymus dėl:

8.1.1. saugos dokumentų priėmimo, keitimo ar panaikinimo;

8.1.2. informacinių technologijų saugos atitikties vertinimo;

8.1.3. LAKIS administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo.

8.2. teikia LAKIS administratoriui ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su LAKIS elektroninės informacijos saugumo užtikrinimu;

8.3. konsultuoja naudotojus LAKIS elektroninės informacijos saugos klausimais;

8.4. inicijuoja LAKIS administratoriaus ir naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

8.5. ne rečiau kaip kartą per metus organizuoja kasmetinį LAKIS rizikos vertinimą;

8.6. ne rečiau kaip kartą per dvejus metus organizuoja informacinių technologijų saugos atitikties vertinimą;

8.7. atsako už LAKIS elektroninės informacijos saugumo užtikrinimą ir saugos dokumentų reikalavimų vykdymą;

8.8. koordinuoja LAKIS elektroninės informacijos saugos incidentų tyrimą;

8.9. atlieka kitas Priežiūros tarnybos vadovo pavestas, Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, jam priskirtas funkcijas.

9. LAKIS administratoriaus funkcijos:

9.1. organizuoja LAKIS techninės ir programinės įrangos administravimą ir priežiūrą, siekdamas užtikrinti kokybišką ir patikimą jos veikimą;

9.2. diegia ir prižiūri programinę įrangą;

9.3. suteikia naudotojams prieigos teisę naudotis LAKIS elektronine informacija, reikalinga jiems priskirtoms funkcijoms atlikti;

9.4. registruoja ir informuoja saugos įgaliotinį apie LAKIS elektroninės informacijos saugos incidentus, saugos įgaliotiniui teikia siūlymus dėl incidentų pašalinimo;

9.5. Priežiūros tarnybos vadovui teikia siūlymus dėl LAKIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir LAKIS elektroninės informacijos saugumo užtikrinimo;

9.6. užtikrina, kad tvarkant LAKIS nebūtų pažeisti Saugos nuostatų reikalavimai;

9.7. atsako už LAKIS duomenų bazės duomenų atsarginių kopijų darymą ir saugojimą;

9.8. atlieka kitas saugos įgaliotinio pavestas, Saugos nuostatuose ir kituose saugos dokumentuose jam priskirtas funkcijas.

10. Teisės aktai, kuriais vadovaujamasi tvarkant LAKIS elektroninę informaciją ir užtikrinant jos saugumą:

10.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

10.4. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2015 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

10.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

10.6. Lietuvos ir tarptautiniai grupės standartai „Informacijos technologija. Saugumo metodai“, nustatantys saugų elektroninės informacijos tvarkymą;

10.7. Saugos nuostatai, Saugos dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Informacijos svarbos įvertinimo gairių aprašas) 10 punktu, LAKIS tvarkoma elektroninė informacija priskirtina mažiausios svarbos informacijos kategorijai.

12. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 13.4 papunkčiu, LAKIS pagal joje tvarkomos elektroninės informacijos svarbą yra priskiriama ketvirtosios kategorijos informacinei sistemai.

13. LAKIS saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ ne rečiau kaip kartą per metus organizuoja LAKIS rizikos įvertinimą. Pasikeitus LAKIS duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis LAKIS rizikos įvertinimas.

14. LAKIS įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje, kuri pateikiama Priežiūros tarnybos vadovui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos LAKIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus rizikos priimtinumo kriterijus. Šioje ataskaitoje išdėstomos pagrindinės LAKIS rizikos valdymo priemonės. Kartu su pagrindiniu LAKIS rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumo, galinčių turėti įtakos LAKIS kibernetiniam saugumui, vertinimas.

15. Pagrindiniai rizikos veiksniai, galintys turėti įtakos LAKIS elektroninės informacijos saugumui, yra šie:

15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

15.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

16. Saugos užtikrinimo priemonės parenkamos siekiant užtikrinti LAKIS veiklos tęstinumą patiriant kuo mažiau išlaidų ir užtikrinant LAKIS darbą taip, kad būtų išsaugotas LAKIS elektroninės informacijos konfidencialumas, vientisumas ir prieinamumas.

17. Siekiant įvertinti LAKIS saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja LAKIS informacinių technologijų saugos atitikties vertinimą.

18. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Priežiūros tarnybos vadovui.

19. LAKIS rizikos įvertinimo ataskaitos, LAKIS rizikos įvertinimo ir rizikos valdymo priemonių plano, LAKIS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas LAKIS valdytoja ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2015 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

20. Programinės įrangos, skirtos LAKIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

20.1. LAKIS tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

20.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

20.3. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per parą.

21. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

21.1. turi būti naudojama tik legali, LAKIS funkcijoms vykdyti būtina programinė įranga;

21.2. programinė įranga turi būti nuolatos atnaujinama, laikantis gamintojo reikalavimų;

21.3. turi būti įdiegta prieigos prie LAKIS elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;

21.4. turi būti įgyvendinta prievolė ne rečiau kaip kas tris mėnesius keisti slaptažodžius;

21.5. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie LAKIS elektroninės informacijos, atliktus veiksmus.

22. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

22.1. LAKIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

22.2. LAKIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) bei kitų per tinklą vykdomų atakos rūšių;

22.3. LAKIS tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių LAKIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

23. Leistinos kompiuterių naudojimo ribos:

23.1. stacionarūs ir nešiojamieji LAKIS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi LAKIS duomenys ir informacija;

23.2. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti naudojamas įjungimo slaptažodis;

23.3. nešiojamuosiuose kompiuteriuose, mobiliuosiuose įrenginiuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami;

23.4. LAKIS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

24. Metodai, kuriais užtikrinamas saugus LAKIS elektroninės informacijos teikimas ir (ar) gavimas:

24.1. prieigos prie LAKIS elektroninės informacijos teises gali suteikti tik LAKIS administratorius. LAKIS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

24.2. prieiga prie LAKIS elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie LAKIS elektroninės informacijos valdymas apibrėžtas LAKIS naudotojų administravimo taisyklėse;

24.3. pasibaigus LAKIS naudotojo darbo sutarčiai, teisė naudotis LAKIS elektronine informacija turi būti panaikinta. LAKIS naudotojui prieiga prie LAKIS turi būti ribojama ar sustabdoma, kai vyksta LAKIS naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

25. LAKIS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai LAKIS duomenų bazei. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik LAKIS administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma LAKIS saugaus elektroninės informacijos tvarkymo taisyklėse.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

26. LAKIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

27. LAKIS saugos įgaliotinis turi:

27.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

27.2. tobulinti kvalifikaciją elektroninės informacijos saugos srityje;

27.3. savo darbe vadovautis Saugos nuostatais ir LAKIS Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

28. LAKIS administratorius turi:

28.1. išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

28.2. mokėti administruoti ir prižiūrėti duomenų bazes;

28.3. būti susipažinęs su LAKIS nuostatais, Saugos nuostatais, LAKIS Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

29. LAKIS naudotojai turi:

29.1. turėti pagrindinius darbo kompiuteriu įgūdžius;

29.2. mokėti tvarkyti LAKIS elektroninę informaciją LAKIS nuostatų nustatyta tvarka;

29.3. būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

30. LAKIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti LAKIS saugos įgaliotiniui.

31. LAKIS saugos įgaliotinis administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.).

V SKYRIUS

LAKIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

32. LAKIS naudotojus su Saugos nuostatais, LAKIS Saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina LAKIS saugos įgaliotinis.

33. LAKIS saugos įgaliotinis, administratorius ir naudotojai raštu įsipareigoja laikytis Saugos nuostatų ir kitų LAKIS saugos dokumentų reikalavimų.

34. Pakartotinai su Saugos nuostatais ir LAKIS Saugos dokumentais naudotojai supažindinami elektroniniu paštu šiems dokumentams pasikeitus.

35. LAKIS naudotojų supažindinimo su Saugos dokumentais tvarka yra reglamentuota LAKIS naudotojų administravimo taisyklėse.

VI SKYRIUS

Baigiamosios nuostatos

36. Saugos nuostatai, kiti informacijos saugos valdymo sistemos dokumentai, reglamentuojantys informacinių sistemų saugą, peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

_______________________