I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas (toliau – Aprašas) nustato Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 1 straipsnio 3 dalyje nurodytų institucijų (toliau – institucijos) steigiamų, kuriamų ir (arba) valdomų valstybės informacinių išteklių (toliau – VII) svarbos vertinimo tvarką.
2. Aprašo nuostatos netaikomos įslaptintos informacijos tvarkymui ir VII, kurie tvarkomi Valstybės informacinių išteklių valdymo įstatymo 1 straipsnio 8 dalyje nurodytais tikslais.
3. Apraše vartojamos sąvokos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“.
4. Visų institucijos steigiamų, kuriamų ir (ar) valdomų VII svarbos vertinimas atliekamas vadovaujantis ekonomikos ir inovacijų ministro tvirtinama valstybės informacinių išteklių svarbos vertinimo metodika (toliau – Metodika).
5. VII svarbos vertinimas atliekamas:
5.1. valstybės registro (kadastro), žinybinio registro, valstybės ir kitos informacinės sistemos (toliau – informacinės sistemos) steigimo stadijoje, prieš rengiant informacinės sistemos nuostatų projektą;
5.2. informacinės sistemos kūrimo stadijoje, kai rengiant techninį aprašymą (specifikaciją) keičiasi informacinės sistemos struktūra ir dėl šios priežasties tikslinami informacinės sistemos nuostatai;
5.3. informacinės sistemos naudojimo ar modernizavimo stadijoje, kai dėl numatomų informacinės sistemos funkcinės ir (arba) informacinės struktūros pokyčių, įvardytų investiciniame projekte, galimybių studijoje ir (arba) techniniame aprašyme (specifikacijoje), turi būti tikslinami informacinės sistemos nuostatai;
5.4. jeigu, pasikeitus Aprašo 8 ir 12 punktų nuostatoms, keičiami Metodikoje nustatyti VII sudarančių duomenų bei informacinių sistemų, kuriose jie yra tvarkomi, priskyrimo vienai iš Valstybės informacinių išteklių valdymo įstatyme nurodytų VII rūšių reikalavimai, vertinamų VII poveikio sričių pogrupiai ir (ar) esminiai VII svarbos vertinimo atlikimo principai.
6. VII svarbos vertinimo rezultatų peržiūrą ir derinimą instituciniu lygmeniu atlieka Lietuvos Respublikos ekonomikos ir inovacijų ministerija.
II SKYRIUS
Valstybės informacinių išteklių svarbos vertinimo tikslai ir poveikio sritys
7. VII svarbos vertinimo tikslai:
7.1. Įvertinti duomenų, kurie tvarkomi institucijų steigiamose, kuriamose ir (ar) valdomose informacinėse sistemose, svarbą.
7.2. Šio vertinimo rezultatų pagrindu duomenis bei informacines sistemas, kuriose šie duomenys yra tvarkomi, priskirti vienai iš Valstybės informacinių išteklių valdymo įstatyme nurodytų VII rūšių.
8. VII sudarančių duomenų, kurie tvarkomi informacinėse sistemose, svarba įvertinama pagal tai, kokius padarinius valstybei, jos institucijoms ir (ar) gyventojams gali sukelti šių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo (toliau – KVP) pažeidimas šiose VII poveikio srityse:
8.1. gynybos, nacionalinio saugumo ir žvalgybos;
8.2. tarptautinių santykių ir tarptautinės prekybos;
8.3. viešojo saugumo ir teisėsaugos;
8.4. prekybos, ekonomikos ir viešųjų finansų;
8.5. viešųjų ir administracinių paslaugų.
III SKYRIUS
UŽ Valstybės informacinių išteklių SVARBOS VERTINIMĄ atsakingi asmenys ir jų funkcijos
9. Institucija, atlikdama VII svarbos vertinimą, turi paskirti už VII svarbos vertinimą atsakingą (-us) asmenį (-is). Juo (jais) skiriamas (-i) informacinės sistemos duomenų valdymo įgaliotinis, o VII svarbos vertinimą atliekant Aprašo 5.1 papunktyje nustatytu atveju, jeigu dar nėra paskirtas informacinės sistemos duomenų valdymo įgaliotinis, – informacinės sistemos nuostatus rengiantis (-ys) asmuo (-enys) (toliau kartu – už VII svarbos vertinimą atsakingi asmenys). Vertinant VII svarbą pagal kompetenciją taip pat dalyvauja saugos įgaliotinis ir (ar) asmens duomenų apsaugos pareigūnas. Jeigu vertinant VII svarbą dalyvauja daugiau negu vienas asmuo, VII svarbos vertinimo koordinatoriumi skiriamas vienas iš šiame Aprašo punkte nurodytų už VII svarbos vertinimą atsakingų asmenų.
10. VII svarbos vertinimo koordinatorius atlieka šias funkcijas:
10.1. Vadovaudamasis Metodika, koordinuoja ir organizuoja visų institucijos valdomų VII svarbos vertinimą, įskaitant ir tas valdomus VII sudarančias informacines sistemas, kurios yra pradedamos kurti ar kuriamos.
10.2. Organizuoja atlikto VII svarbos vertinimo rezultatų aptarimą ir derinimą su institucijos, steigiančios, kuriančios ir (ar) valdančios informacinę sistemą, vadovu ar jo įgaliotu asmeniu.
10.3. Aprašo 14–16 punktuose nustatyta tvarka pateikia Ekonomikos ir inovacijų ministerijai VII svarbos vertinimo rezultatus ir atliktam VII svarbos vertinimui suderinti reikalingus dokumentus, parengtus vadovaujantis Metodikoje pateiktomis formomis (toliau – dokumentai).
10.4. Kartu su už VII svarbos vertinimą atsakingais asmenimis peržiūri VII svarbos vertinimo rezultatus ir dokumentus ir prireikus juos tikslina pagal Ekonomikos ir inovacijų ministerijos pateiktas pastabas.
10.5. Suderinęs VII svarbos vertinimo rezultatus ir dokumentus su Ekonomikos ir inovacijų ministerija, raštu informuoja institucijos, steigiančios informacinę sistemą, vadovą ar jo įgaliotą asmenį apie būtinybę nurodyti nustatytą VII rūšį informacinės sistemos nuostatų projekte, jeigu VII svarbos vertinimas atliekamas Aprašo 5.1 papunktyje nurodytu atveju.
10.6. Suderinęs VII svarbos vertinimo rezultatus ir dokumentus su Ekonomikos ir inovacijų ministerija, raštu informuoja institucijos, kuriančios ar valdančios informacinę sistemą, vadovą ar jo įgaliotą asmenį apie būtinybę nurodyti nustatytą arba pasikeitusią VII rūšį informacinės sistemos nuostatuose, jeigu VII svarbos vertinimas atliekamas Aprašo 5.2–5.4 papunkčiuose nurodytais atvejais.
10.7. Koordinuoja kitus Aprašo 19 punkte nurodytus veiksmus, kuriuos būtina atlikti užbaigus VII svarbos vertinimą.
11. Už VII svarbos vertinimą atsakingas asmuo atlieka šias funkcijas:
11.1. Vadovaudamasis Metodika, atlieka priskirtų vertinti VII svarbos vertinimą, įskaitant ir pradėtas kurti ar kuriamas VII sudarančias informacines sistemas.
11.2. Peržiūri ir pagal Ekonomikos ir inovacijų ministerijos pateiktas pastabas tikslina VII svarbos vertinimo rezultatus ir dokumentus.
11.3. Jei VII svarbos vertinimas yra atliekamas Aprašo 5.1 papunktyje nurodytu atveju ir VII svarbos vertinimo koordinatorius nėra paskirtas, atlieka Aprašo 10 punkte nustatytas funkcijas.
IV SKYRIUS
Valstybės informacinių išteklių svarbos vertinimo etapai ir TVARKA
12. VII svarbos vertinimo procesą sudaro šie etapai, atliekami pagal Metodikoje aprašytą eigą:
12.1. VII sudarančių duomenų ar jų grupių sąrašo sudarymas;
12.2. VII duomenų ar jų grupių svarbos įvertinimas pagal Metodikoje apibrėžtus reikalavimus, kuriais nustatoma, kokio lygio poveikį Aprašo 8 punkte nurodytoms poveikio sritims gali turėti kiekvienos VII duomenų ar jų grupės KVP pažeidimas;
12.3. tikėtino maksimalaus VII duomenų ar jų grupių KVP pažeidimo poveikio lygio nustatymas ir priskyrimas informacinės sistemos lygmeniu;
12.4. VII duomenų ar jų grupių ir informacinės sistemos, kurioje jie tvarkomi, priskyrimas vienai iš Valstybės informacinių išteklių valdymo įstatyme nurodytų VII rūšių pagal maksimalų nustatytą VII duomenų ar jų grupių KVP pažeidimo poveikio informacinei sistemai lygį;
12.5. VII svarbos vertinimo rezultatų pagrindimas, pateikiant informaciją, kuria vadovaujantis buvo atliktas VII sudarančių duomenų ar jų grupių svarbos vertinimas.
13. VII svarbos vertinimas turi būti atliktas ir jo rezultatai Aprašo 14–16 punktuose aprašyta tvarka pateikti derinti Ekonomikos ir inovacijų ministerijai:
13.1. parengus informacinės sistemos nuostatų projektą, nuo Aprašo 5.1 papunktyje nurodytų aplinkybių atsiradimo;
13.2. per 30 darbo dienų nuo Aprašo 5.2–5.3 papunkčiuose nurodytų aplinkybių atsiradimo;
13.3. per 6 mėnesius nuo Aprašo 5.4 papunktyje nurodytų aplinkybių atsiradimo.
14. Atlikto VII svarbos vertinimo rezultatai ir dokumentai aptariami ir suderinami su institucijos, steigiančios, kuriančios ir (ar) valdančios informacinę sistemą, vadovu ar jo įgaliotu asmeniu, ir raštu pateikiami derinti Ekonomikos ir inovacijų ministerijai Aprašo 13 punkte nustatytais terminais. Jeigu VII svarbos vertinimas atliekamas Aprašo 5.1 papunktyje nurodytu atveju, VII svarbos vertinimo rezultatai ir dokumentai raštu pateikiami derinti Ekonomikos ir inovacijų ministerijai kartu su steigiamos informacinės sistemos, kurioje bus tvarkomi VII sudarantys duomenys, nuostatų projektu.
15. Gavusi derinti VII svarbos vertinimo rezultatus ir dokumentus, Ekonomikos ir inovacijų ministerija juos išnagrinėja per:
15.1. 15 darbo dienų nuo VII svarbos rezultatų ir dokumentų gavimo, jeigu pateikti VII svarbos vertinimo rezultatai apima 1–5 informacines sistemas, kuriose tvarkomi VII sudarantys duomenys;
15.2. 30 darbo dienų nuo VII svarbos rezultatų ir dokumentų gavimo, jeigu pateikti VII svarbos vertinimo rezultatai apima 6–15 informacinių sistemų, kuriose tvarkomi VII sudarantys duomenys;
15.3. 40 darbo dienų nuo VII svarbos rezultatų ir dokumentų gavimo, jeigu pateikti VII svarbos vertinimo rezultatai apima 16 ir daugiau informacinių sistemų, kuriose tvarkomi VII sudarantys duomenys.
16. Jeigu trūksta informacijos arba reikia pateikti paaiškinimus, VII svarbos vertinimo koordinatorius arba, jei VII vertinimo koordinatorius nepaskirtas, – už VII svarbos vertinimą atsakingas asmuo turi juos pateikti per 10 darbo dienų nuo Ekonomikos ir inovacijų ministerijos prašymo pateikti papildomą informaciją ar paaiškinimus gavimo. Gavusi pateiktą papildomą informaciją ar VII svarbos vertinimo išaiškinimus, Ekonomikos ir inovacijų ministerija juos išnagrinėja per:
16.1. 5 darbo dienas, jeigu VII svarbos vertinimo rezultatai apima 1–5 informacines sistemas, kuriose tvarkomi VII sudarantys duomenys;
16.2. 10 darbo dienų, jeigu VII svarbos vertinimo rezultatai apima 6–15 informacinių sistemų, kuriose tvarkomi VII sudarantys duomenys;
16.3. 15 darbo dienų, jeigu VII svarbos vertinimo rezultatai apima 16 ir daugiau informacinių sistemų, kuriose tvarkomi VII sudarantys duomenys.
17. Išnagrinėjusi VII svarbos vertinimo rezultatus ir dokumentus, papildomą informaciją ar išaiškinimus, jeigu jie buvo teikiami, ir nenustačiusi trūkumų, Ekonomikos ir inovacijų ministerija raštu apie tai informuoja VII svarbos vertinimo koordinatorių, o jei VII vertinimo koordinatorius nepaskirtas, – už VII svarbos vertinimą atsakingą asmenį. Nustačius VII svarbos vertinimo trūkumų, VII vertinimo proceso koordinatoriui, o jeigu VII vertinimo proceso koordinatorius nepaskirtas, – už VII svarbos vertinimą atsakingam asmeniui nurodomi atlikto vertinimo trūkumai ir paprašoma per 10 darbo dienų raštu patikslinti VII svarbos vertinimo rezultatus ir dokumentus bei pateikti juos derinti pakartotinai. Pakartotinis vertinimas atliekamas vadovaujantis Aprašo 15–16 punktuose nustatytais terminais.
18. VII svarbos vertinimo koordinatorius arba, jei VII vertinimo koordinatorius nepaskirtas, – už VII svarbos vertinimą atsakingas asmuo per 5 darbo dienas nuo VII svarbos vertinimo rezultatų ir dokumentų suderinimo su Ekonomikos ir inovacijų ministerija privalo institucijos, steigiančios, kuriančios ir (ar) valdančios informacinę sistemą, vadovą ar jo įgaliotą asmenį raštu informuoti apie nustatytą ar pasikeitusią VII rūšį bei būtinybę ją nurodyti informacinės sistemos nuostatų projekte, jeigu VII svarbos vertinimas atliekamas Aprašo 5.1 papunktyje nurodytu atveju, arba ne vėliau kaip per šešis mėnesius informacinės sistemos nuostatuose, jeigu VII svarbos vertinimas atliekamas Aprašo 5.2–5.4 papunkčiuose nurodytais atvejais.
19. VII valdanti ir (arba) jos įgaliota VII tvarkanti institucija ne vėliau kaip per 6 mėnesius nuo VII svarbos vertinimo rezultatų suderinimo su Ekonomikos ir inovacijų ministerija, atsižvelgdama į nustatytą VII rūšį, privalo:
19.1. peržiūrėti VII saugos politiką ir patikslinti ją įgyvendinančius saugos dokumentus;
19.2. peržiūrėti sudarytas sutartis su informacinių technologijų paslaugų teikėju ar teikėjais, kuriems yra perduotos atitinkamų VII sudarančių informacinių sistemų techninės ir (ar) programinės įrangos priežiūros ir (ar) duomenų tvarkymo funkcijos, ir pagal poreikį patikslinti šių sutarčių nuostatas, susijusias su informacinių technologijų paslaugų bei duomenų saugos reikalavimais;
19.3. peržiūrėti ir pagal poreikį patikslinti priimtus sprendimus dėl VII laikymo Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka valstybiniuose ar privačiuose duomenų centruose;
19.4. peržiūrėti ir pagal poreikį patikslinti VII sudarančių informacinių sistemų techninių specifikacijų ir atitinkamų detalaus projektavimo dokumentų nuostatas, susijusias su informacinės sistemos funkciniais ir kokybiniais reikalavimais bei architektūriniais sprendimais;
19.5. įvertinti, ar pagal Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, informacinė sistema kartu su joje tvarkomais duomenimis neturėtų būti priskiriama ypatingos svarbos informacinei infrastruktūrai, jeigu atliekant VII svarbos vertinimą buvo nustatyta, kad steigiama, kuriama ar valdoma informacinė sistema turi būti priskirta ypatingos svarbos VII rūšiai, bet pagal šią metodiką nėra įtraukta į ypatingos svarbos infrastruktūros sąrašą.
