Lietuvos Respublikos Vyriausybė
nutarimas
DĖL lietuvos respublikos vyriausybės 2013 m. rugpjūčio 21 d. nutarimo nr. 759 „Dėl AUTOMATIZUOTO DUOMENŲ APDOROJIMO SISTEMŲ IR TINKLŲ, KURIUOSE SAUGOMA, APDOROJAMA AR KURIAIS PERDUODAMA ĮSLAPTINTA INFORMACIJA, STEIGIMO IR ĮTEISINIMO TAISYKLIŲ PATVIRTINIMO“ pakeitimo
2018 m. gegužės 2 d. Nr. 427
Vilnius
Pakeisti Lietuvos Respublikos Vyriausybės 2013 m. rugpjūčio 21 d. nutarimą Nr. 759 „Dėl Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, steigimo ir įteisinimo taisyklių patvirtinimo“ ir jį išdėstyti nauja redakcija:
„Lietuvos Respublikos Vyriausybė
nutarimas
Dėl ĮSLAPTINTOS INFORMACIJOS RYŠIŲ IR INFORMACINIŲ SISTEMŲ STEIGIMO IR ĮTEISINIMO TAISYKLIŲ PATVIRTINIMO
Vadovaudamasi Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo 11 straipsnio 8 punktu ir siekdama užtikrinti 2013 m. rugsėjo 23 d. Tarybos sprendimo 2013/488/ES dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių (OL 2013 L 274, p. 1) nuostatų įgyvendinimą, Lietuvos Respublikos Vyriausybė nutaria:
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2018 m. gegužės 2 d. nutarimu Nr. 427
ĮSLAPTINTOS INFORMACIJOS RYŠIŲ IR INFORMACINIŲ SISTEMŲ
STEIGIMO IR ĮTEISINIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Įslaptintos informacijos ryšių ir informacinių sistemų steigimo ir įteisinimo taisyklėse (toliau – Taisyklės) nustatyta įslaptintos informacijos ryšių ir informacinių sistemų (toliau – ĮIRIS), kuriose apdorojama ir (arba) kuriomis perduodama Lietuvos Respublikos įslaptinta informacija, Lietuvos Respublikai perduota užsienio valstybių, Europos Sąjungos ir tarptautinių organizacijų įslaptinta informacija, steigimo, kūrimo, įteisinimo, modernizavimo ir likvidavimo tvarka.
2. Taisyklės taikomos paslapčių subjektams, jiems pavaldžioms ir jų reguliavimo sričiai priskirtoms įstaigoms, įmonėms ir jų tiekėjams, steigiantiems, kuriantiems ir eksploatuojantiems ĮIRIS. Jeigu ĮIRIS, kuriose apdorojama ir (arba) kuriomis perduodama Lietuvos Respublikai perduota užsienio valstybių, Europos Sąjungos ar tarptautinių organizacijų įslaptinta informacija, Lietuvos Respublikos tarptautinėse sutartyse ir (ar) jas įgyvendinančiuose tarptautinių organizacijų sprendimuose, Europos Sąjungos teisės aktuose yra nustatyti kitokie reikalavimai nei Taisyklėse, taikomos šių sutarčių, sprendimų ir Europos Sąjungos teisės aktų nuostatos.
3. Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme.
4. ĮIRIS apdorojamos ir (arba) perduodamos įslaptintos informacijos, ĮIRIS sujungimais (perduodant informaciją tarp kelių ĮIRIS arba iš kitų informacinių sistemų arba tinklų į ĮIRIS) perduodamos įslaptintos informacijos saugumas užtikrinamas vadovaujantis Valstybės ir tarnybos paslapčių įstatymu, Lietuvos Respublikos Vyriausybės nustatytais ĮIRIS saugumo reikalavimais (toliau – ĮIRIS saugumo reikalavimai), ĮIRIS telekomunikacijų apsaugos reikalavimais, ĮIRIS apsaugos nuo elektromagnetinės spinduliuotės priemonėms keliamais reikalavimais, kriptografinių priemonių administravimo tvarka ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais įslaptintos informacijos apsaugą, o ĮIRIS, kuriose apdorojama ir (arba) kuriomis perduodama Lietuvos Respublikai perduota užsienio valstybių, Europos Sąjungos ar tarptautinių organizacijų įslaptinta informacija, – ir Lietuvos Respublikos tarptautinėmis sutartimis ir (ar) jas įgyvendinančiais tarptautinių organizacijų sprendimais, Europos Sąjungos teisės aktais, reglamentuojančiais šių valstybių, Europos Sąjungos ar tarptautinių organizacijų įslaptintos informacijos apsaugą.
II SKYRIUS
ĮIRIS STEIGIMAS
5. Steigiant ĮIRIS, rengiamas ĮIRIS nuostatų projektas, kuriame turi būti nurodyta:
5.1. teisės aktai, kuriems įgyvendinti steigiama ĮIRIS, įstatymai ir kiti teisės aktai, reglamentuojantys veiklos sritis, kurių informaciją numatoma tvarkyti ĮIRIS, ĮIRIS tikslas, asmens duomenų tvarkymo tikslas (jeigu tvarkomi asmens duomenys), uždaviniai, steigiamos ĮIRIS pagrindinės funkcijos;
5.2. ĮIRIS organizacinė struktūra: paslapčių subjektas, jam pavaldi arba jo reguliavimo sričiai priskirta įstaiga, įmonė arba tiekėjas, kurie, siekdami apdoroti ir (arba) perduoti įslaptintą informaciją, inicijuoja ĮIRIS steigimą, nustato ĮIRIS tikslus ir atlieka kitas ĮIRIS saugumo reikalavimuose nurodytas funkcijas (toliau – ĮIRIS steigėjas), paslapčių subjektas, jam pavaldi arba jo reguliavimo sričiai priskirta įstaiga, įmonė arba tiekėjas, valdantys ĮIRIS ir atliekantys kitas ĮIRIS saugumo reikalavimuose nurodytas funkcijas (toliau – ĮIRIS valdytojas), paslapčių subjektas, jam pavaldi arba jo reguliavimo sričiai priskirta įstaiga, įmonė arba tiekėjas, tvarkantys ĮIRIS duomenis ir atliekantys kitas ĮIRIS saugumo reikalavimuose nurodytas funkcijas (toliau – ĮIRIS tvarkytojas), jų funkcijos, teisės ir pareigos, ĮIRIS naudotojų skyrimo nuostatos, jų kompetencija, subjektai, teikiantys duomenis iš kitų ĮIRIS, kitų informacinių sistemų, valstybės ir (arba) žinybinių registrų (toliau – duomenų teikėjai), ĮIRIS perduodamos įslaptintos informacijos gavėjai. Jeigu ĮIRIS tvarkomi asmens duomenys, nurodomas asmens duomenų valdytojas (valdytojai), asmens duomenų tvarkytojas (tvarkytojai) ir jų funkcijos, teisės ir pareigos, susijusios su asmens duomenų tvarkymu ĮIRIS;
5.3. ĮIRIS informacinė struktūra: ĮIRIS apdorojami ir (arba) perduodami įslaptinti duomenys ir (arba) informacija, aukščiausia šios informacijos ir (arba) duomenų slaptumo žyma, visi iš valstybės informacinių sistemų, valstybės ir (arba) žinybinių registrų, kitų ĮIRIS ir (arba) informacinių sistemų teikiami duomenys, visi fizinių ir juridinių asmenų (asmenų grupių) teikiami duomenys, taip pat visi jų teikiami asmens duomenys (jeigu jų yra), duomenų bazės, duomenų srautai tarp steigiamos ĮIRIS ir kitų ĮIRIS arba kitų informacinių sistemų, tinklų bei valstybės ir (arba) žinybinių registrų, įslaptintos informacijos apdorojimo procesų rezultatai;
5.4. ĮIRIS funkcinė struktūra: ĮIRIS sudedamosios dalys (komponentės, posistemiai), jų atliekamos funkcijos, naudotojams teikiamos elektroninės paslaugos ir kitos ĮIRIS funkcijos, susijusios su ĮIRIS ir jose esančių duomenų bazių administravimu, duomenų sauga, apskaita, ĮIRIS sujungimai;
5.6. ĮIRIS duomenų archyvavimo ir saugojimo, ĮIRIS duomenų saugos nuostatos: nurodomas duomenų saugojimo ĮIRIS terminas, kada ir kaip ĮIRIS duomenys perkeliami į ĮIRIS archyvą, kiek laiko jame saugomi, taip pat veiksmai pasibaigus saugojimo terminui, atsakingi už ĮIRIS duomenų saugą asmenys, teisės aktai ir kiti dokumentai, kuriais vadovaujantis užtikrinama ĮIRIS duomenų sauga;
6. ĮIRIS nuostatų projektą rengia ĮIRIS steigėjas ar jo pavedimu ĮIRIS valdytojas. Parengtą ĮIRIS nuostatų projektą ĮIRIS steigėjas derina su:
6.1. žinybine saugumo priežiūros tarnyba (toliau – žinybinė SPT) arba, jeigu ji neįsteigta, su Saugumo priežiūros tarnybos funkcijas atliekančia institucija (toliau – SPT);
6.2. Nacionalinės komunikacijų apsaugos tarnybos funkcijas atliekančia institucija (toliau – Nacionalinė komunikacijų apsaugos tarnyba);
6.3. Valstybine duomenų apsaugos inspekcija, jeigu ĮIRIS numatoma tvarkyti asmens duomenis (išskyrus atvejus, kai tokia informacija ĮIRIS tvarkoma valstybės saugumo arba gynybos tikslais);
6.4. ĮIRIS ir kitų informacinių sistemų, iš kurių bus gaunami ar kurioms bus teikiami duomenys, valdytojais;
7. ĮIRIS steigėjas, kuris yra tiekėjas, parengtą ĮIRIS nuostatų projektą pateikia įslaptintų sandorių saugumą užtikrinančiai institucijai, kuri šį projektą ne vėliau kaip per 5 darbo dienas nuo jo gavimo dienos perduoda paslapčių subjekto, su kuriuo sudaromas įslaptintas sandoris, žinybinei SPT arba, jeigu ji neįsteigta, SPT ir kitiems Taisyklių 6 punkte nurodytiems subjektams.
8. ĮIRIS nuostatų projektas teikiamas pakartotinai derinti visiems Taisyklių 6 punkte nurodytiems subjektams, jeigu bent vienas iš šių subjektų pateikė pastabų arba pasiūlymų dėl šio projekto arba keičiamas jau suderintas ĮIRIS nuostatų projektas.
9. Subjektai, gavę derinti ĮIRIS nuostatų projektą, pastabas ir pasiūlymus dėl nuostatų projekto pateikia ne vėliau kaip per 20 darbo dienų nuo projekto gavimo dienos, o jeigu ĮIRIS nuostatų projektas teikiamas derinti pakartotinai, – ne vėliau kaip per 15 darbo dienų nuo projekto gavimo dienos.
10. ĮIRIS steigėjas, nuostatų projektą suderinęs su Taisyklių 6 punkte nurodytais subjektais, patvirtina ĮIRIS nuostatus.
11. Jeigu ĮIRIS steigiama kelių institucijų, nesiejamų bendro pavaldumo, funkcijoms atlikti, ĮIRIS steigiančios institucijos rengia bendrą teisės akto, kuriuo tvirtinami ĮIRIS nuostatai, projektą ir viena iš ĮIRIS steigiančių institucijų skiriama ĮIRIS valdytoja. Projektas rengiamas ir derinamas šiame Taisyklių skyriuje nustatyta tvarka. Jeigu nėra galimybių priimti kelių ĮIRIS steigiančių ir bendru pavaldumu nesusijusių institucijų bendro teisės akto, rengiamas Lietuvos Respublikos Vyriausybės nutarimo, kuriuo tvirtinami ĮIRIS nuostatai, projektas ir viena iš ĮIRIS steigiančių institucijų skiriama ĮIRIS valdytoja. Šis projektas rengiamas ir derinamas šiame Taisyklių skyriuje nustatyta tvarka ir Lietuvos Respublikos Vyriausybei teikiamas Lietuvos Respublikos Vyriausybės darbo reglamento, patvirtinto Lietuvos Respublikos Vyriausybės 1994 m. rugpjūčio 11 d. nutarimu Nr. 728 Nr. „Dėl Lietuvos Respublikos Vyriausybės darbo reglamento patvirtinimo“, nustatyta tvarka.
12. ĮIRIS laikoma įsteigta nuo ĮIRIS nuostatų įsigaliojimo dienos. ĮIRIS valdytojas ne vėliau kaip per 5 darbo dienas nuo ĮIRIS nuostatų patvirtinimo jų kopijas pateikia Nacionalinei komunikacijų apsaugos tarnybai, žinybinei SPT arba, jeigu ji neįsteigta, SPT ir Taisyklių 6.5 papunktyje nustatytais atvejais – Paslapčių apsaugos koordinavimo komisijai.
III SKYRIUS
ĮIRIS KŪRIMAS
13. Patvirtinus ĮIRIS nuostatus, rengiamas ĮIRIS specifikacijos (toliau – specifikacija) projektas. Specifikacijos projektą rengia ĮIRIS nuostatuose nurodytas ĮIRIS valdytojas arba jo pavedimu – ĮIRIS tvarkytojas. Rengiant specifikacijos projektą, vadovaujamasi Nacionalinės komunikacijų apsaugos tarnybos vadovo nustatytais reikalavimais ĮIRIS specifikacijoms.
14. Parengtą ĮIRIS, išskyrus ĮIRIS, kurios valdytojas yra žvalgybos institucija, specifikacijos projektą ĮIRIS valdytojas derina su:
15. ĮIRIS, kurių valdytojas yra žvalgybos institucija, specifikacijos projektą jų valdytojas derina tik su žinybine SPT arba, jeigu ji neįsteigta, su SPT.
16. ĮIRIS valdytojas, kuris yra tiekėjas, parengtą ĮIRIS specifikacijos projektą pateikia įslaptintų sandorių saugumą užtikrinančiai institucijai, kuri šį projektą ne vėliau kaip per 5 darbo dienas nuo jo gavimo dienos perduoda paslapčių subjekto, su kuriuo sudaromas įslaptintas sandoris, žinybinei SPT arba, jeigu ji neįsteigta, SPT ir Nacionalinei komunikacijų apsaugos tarnybai.
17. Subjektai, gavę derinti Specifikacijos projektą, pastabas ir pasiūlymus dėl jo pateikia ne vėliau kaip per 20 darbo dienų nuo projekto gavimo dienos, o dėl didelės apimties specifikacijos projekto (daugiau kaip 80 puslapių) – ne vėliau kaip per 30 darbo dienų nuo projekto gavimo dienos. Jeigu specifikacijos projektas pateikiamas derinti pakartotinai, projektą gavę subjektai pastabas ir pasiūlymus dėl jo pateikia ne vėliau kaip per 15 darbo dienų nuo projekto gavimo dienos, o jeigu pakartotinai pateikiamas didelės apimties specifikacijos projektas (daugiau kaip 80 puslapių), – ne vėliau kaip per 20 darbo dienų nuo projekto gavimo dienos.
18. ĮIRIS valdytojas, specifikacijos projektą suderinęs su Taisyklių 14 arba 15 punktuose nurodytais subjektais, specifikaciją patvirtina. Specifikacijos projektas laikomas suderintu, kai Taisyklių 14 arba 15 punktuose nurodyti subjektai pritaria jam be pastabų ir pasiūlymų arba nepateikia pastabų ir pasiūlymų per Taisyklių 17 punkte nurodytus terminus.
19. ĮIRIS valdytojas, kuris nėra žvalgybos institucija, ne vėliau kaip per 5 darbo dienas nuo specifikacijos patvirtinimo dienos pateikia jos kopiją Nacionalinei komunikacijų apsaugos tarnybai ir žinybinei SPT arba, jeigu ji neįsteigta, SPT.
20. ĮIRIS valdytojas, kuris yra žvalgybos institucija, ne vėliau kaip per 5 darbo dienas nuo specifikacijos patvirtinimo dienos pateikia jos kopiją žinybinei SPT arba, jeigu ji neįsteigta, SPT.
IV SKYRIUS
ĮIRIS ĮTEISINIMAS
PIRMASIS SKIRSNIS
LEIDIMŲ NAUDOTI ĮIRIS IŠDAVIMO PROCEDŪRA
22. ĮIRIS valdytojas, išskyrus ĮIRIS valdytoją, kuris yra tiekėjas, siekdamas gauti leidimą naudoti ĮIRIS, pateikia prašymą dėl leidimo naudoti ĮIRIS išdavimo (toliau – Prašymas) žinybinei SPT arba, jeigu ji neįsteigta, SPT. Prašyme turi būti pateikta informacija apie įteisinamos ĮIRIS nuostatų suderinimą su Taisyklių 6 punkte nurodytais subjektais ir specifikacijos suderinimą su Taisyklių 14 arba 15 punktuose nurodytais subjektais, taip pat nurodytas pageidaujamas leidimo naudoti ĮIRIS galiojimo laikotarpis, jeigu jis neviršija 3 mėnesių. Kartu su Prašymu turi būti pateikti šie ĮIRIS valdytojo patvirtinti ĮIRIS saugos dokumentai (toliau – ĮIRIS saugos dokumentai), parengti vadovaujantis ĮIRIS saugumo reikalavimais:
23. ĮIRIS valdytojas, kuris yra tiekėjas, Taisyklių 22 punkte nurodytus dokumentus pateikia įslaptintų sandorių saugumą užtikrinančiai institucijai, kuri, vadovaudamasi Lietuvos Respublikos Vyriausybės nustatyta tiekėjų patikimumo vertinimo tvarka, juos perduoda paslapčių subjekto, su kuriuo sudaromas įslaptintas sandoris, žinybinei SPT arba, jeigu ji neįsteigta, SPT.
24. Žinybinė SPT arba, jeigu ji neįsteigta, SPT ne vėliau kaip per 3 mėnesius nuo Taisyklių 22 punkte nurodytų visų dokumentų gavimo dienos atlieka ĮIRIS saugos dokumentų vertinimą, ĮIRIS patikrinimą ir priima sprendimą dėl leidimo naudoti ĮIRIS išdavimo arba neišdavimo (toliau – Sprendimas). Į anksčiau nurodytą Sprendimo priėmimo terminą Taisyklių 27 ir 28 punktuose nurodytas leidimo naudoti ĮIRIS išdavimo procedūrų sustabdymo laikas neįskaičiuojamas.
25. Žinybinė SPT arba, jeigu ji neįsteigta, SPT ne vėliau kaip per 5 darbo dienas nuo Taisyklių 22 punkte nurodytų dokumentų gavimo dienos informuoja ĮIRIS valdytoją apie jų gavimą ir, jeigu pateikti ne visi dokumentai, – apie trūkstamus dokumentus.
26. Vertindama ĮIRIS saugos dokumentus, žinybinė SPT arba, jeigu ji neįsteigta, SPT patikrina, ar jų turinys atitinka ĮIRIS saugumo reikalavimuose nurodytus ĮIRIS saugos dokumentų turinio reikalavimus, ar juose nurodytos saugumo užtikrinimo priemonės atitinka Taisyklių 4 punkte nurodytuose teisės aktuose nustatytus reikalavimus.
27. Žinybinė SPT arba, jeigu ji neįsteigta, SPT, įvertinusi ĮIRIS saugos dokumentus ir nustačiusi, kad jų turinys neatitinka ĮIRIS saugumo reikalavimuose nurodytų ĮIRIS saugos dokumentų turinio reikalavimų arba juose nurodytos saugumo užtikrinimo priemonės neatitinka Taisyklių 4 punkte nurodytuose teisės aktuose nustatytų reikalavimų, ne ilgesniam nei 30 kalendorinių dienų terminui sustabdo leidimo naudoti ĮIRIS išdavimo procedūrą, informuoja apie tai ĮIRIS valdytoją, nurodo trūkumus ir leidimo naudoti ĮIRIS išdavimo procedūros sustabdymo terminą, per kurį trūkumai turi būti pašalinti. ĮIRIS valdytojui per nustatytą leidimo naudoti ĮIRIS išdavimo procedūros sustabdymo terminą nepašalinus nurodytų trūkumų, išskyrus trūkumus, nekeliančius grėsmės ĮIRIS apdorojamos ir (arba) perduodamos įslaptintos informacijos saugumui, žinybinė SPT arba, jeigu ji neįsteigta, SPT nutraukia leidimo naudoti ĮIRIS išdavimo procedūrą.
28. Įvertinusi ĮIRIS saugos dokumentus, žinybinė SPT arba, jeigu ji neįsteigta, SPT atlieka ĮIRIS patikrinimą, kurio metu įsitikinama, ar visos ĮIRIS saugos dokumentuose nurodytos saugumo užtikrinimo priemonės yra įdiegtos ĮIRIS, taip pat patikrinamas jų veikimas. Nustačiusi minėtų priemonių veikimo trūkumų arba kad ne visos ĮIRIS saugos dokumentuose nurodytos saugumo užtikrinimo priemonės yra įdiegtos ĮIRIS, žinybinė SPT arba, jeigu ji neįsteigta, SPT ne ilgesniam nei 30 kalendorinių dienų terminui sustabdo leidimo naudoti ĮIRIS išdavimo procedūrą, informuoja apie tai ĮIRIS valdytoją, nurodo trūkumus ir leidimo naudoti ĮIRIS išdavimo procedūros sustabdymo terminą, per kurį trūkumai turi būti pašalinti. ĮIRIS valdytojui per nustatytą leidimo naudoti ĮIRIS išdavimo procedūros sustabdymo terminą nepašalinus nurodytų trūkumų, išskyrus trūkumus, nekeliančius grėsmės ĮIRIS apdorojamos ir (arba) perduodamos įslaptintos informacijos saugumui, žinybinė SPT arba, jeigu ji neįsteigta, SPT nutraukia leidimo naudoti ĮIRIS išdavimo procedūrą.
29. Žinybinė SPT arba, jeigu ji neįsteigta, SPT, vertindama ĮIRIS saugos dokumentus ir (arba) atlikdama ĮIRIS patikrinimą, turi teisę prašyti ĮIRIS valdytoją papildomų dokumentų, reikalingų ĮIRIS taikomoms saugumo užtikrinimo priemonėms įvertinti ir (arba) ĮIRIS patikrinti, o per nustatytą terminą jų negavusi – nutraukti leidimo naudoti ĮIRIS išdavimo procedūrą.
30. Žinybinė SPT arba, jeigu ji neįsteigta, SPT, atlikusi ĮIRIS saugos dokumentų vertinimą ir ĮIRIS patikrinimą, priima vieną iš šių Sprendimų:
30.1. išduoti Taisyklių 1 priede nustatytos formos leidimą naudoti ĮIRIS ne ilgiau kaip trejus metus, atliekant visas ĮIRIS nuostatuose nurodytas funkcijas ir veiksmus (toliau – leidimas), jeigu atliekant ĮIRIS saugos dokumentų vertinimą ir ĮIRIS patikrinimą nenustatoma trūkumų arba nustatyti trūkumai pašalinami per žinybinės SPT arba, jeigu ji neįsteigta, SPT nustatytą terminą. ĮIRIS saugos dokumentų vertinimo ir ĮIRIS patikrinimo rezultatai pateikiami Sprendime;
30.2. išduoti Taisyklių 1 priede nustatytos formos leidimą naudoti ĮIRIS ne ilgiau kaip vienerius metus (toliau – laikinas leidimas), jeigu atliekant ĮIRIS saugos dokumentų vertinimą trūkumų nenustatoma arba nustatyti trūkumai buvo pašalinti, bet atliekant ĮIRIS patikrinimą nustatoma trūkumų, nekeliančių grėsmės ĮIRIS apdorojamos ir (arba) perduodamos įslaptintos informacijos saugumui. Atitiktis nustatytiems reikalavimams, nustatyti trūkumai ir ĮIRIS leidžiamų atlikti veiksmų ir funkcijų apimtis, atsižvelgiant į nustatytus trūkumus, nurodomi Sprendime;
30.3. išduoti Taisyklių 1 priede nustatytos formos leidimą naudoti ĮIRIS ne ilgiau kaip tris mėnesius (toliau – ribotas leidimas), jeigu ĮIRIS valdytojas numato naudoti ĮIRIS ne ilgiau kaip 3 mėnesius ir jeigu atliekant ĮIRIS saugos dokumentų vertinimą ir ĮIRIS patikrinimą trūkumų nenustatoma arba nustatoma trūkumų, nekeliančių grėsmės ĮIRIS apdorojamos ir (arba) perduodamos įslaptintos informacijos saugumui. ĮIRIS leidžiamų atlikti funkcijų ir veiksmų apimtis nurodoma Sprendime. Ribotas leidimas išduodamas ĮIRIS valdytojo Prašyme nurodytam ne ilgesniam nei 3 mėnesių terminui arba, jeigu Prašyme pageidaujamas terminas nebuvo nurodytas, – 3 mėnesiams;
31. Leidimą naudoti ĮIRIS išdavusi žinybinė SPT ne vėliau kaip per 5 darbo dienas nuo minėto leidimo išdavimo dienos jo kopiją pateikia SPT.
32. Leidimus naudoti ĮIRIS išdavusi žinybinė SPT arba, jeigu ji neįsteigta, SPT ne vėliau kaip per 5 darbo dienas nuo šių leidimų išdavimo dienos jų kopijas pateikia Lietuvos Respublikos valstybės saugumo departamentui, o leidimų naudoti ĮIRIS, kurių valdytojai – tiekėjai, kopijas – ir įslaptintų sandorių saugumą užtikrinančiai institucijai.
33. ĮIRIS valdytojui, kuris yra tiekėjas, išduotas leidimas naudoti ĮIRIS galioja Taisyklių 30.1–30.3 papunkčiuose nustatytą terminą, bet ne ilgiau nei tiekėjo patikimumo pažymėjimas, įslaptintos informacijos, žymimos slaptumo žyma „Riboto naudojimo“, apsaugos reikalavimų atitiktį patvirtinanti pažyma arba tiekėjo leidimas dirbti arba susipažinti su įslaptinta informacija.
ANTRASIS SKIRSNIS
LEIDIMO NAUDOTI ĮIRIS ĮIRIS KŪRIMO IR ĮTEISINIMO ĮSLAPTINTIEMS DOKUMENTAMS PARENGTI IŠDAVIMO PROCEDŪRA
34. ĮIRIS, skirta ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti, turi atitikti ĮIRIS saugumo reikalavimuose tokioms ĮIRIS nustatytus saugumo reikalavimus. Šiose ĮIRIS gali būti apdorojama tik ĮIRIS kūrimo ir įteisinimo dokumentams parengti reikalinga įslaptinta informacija.
35. ĮIRIS valdytojas, siekdamas gauti leidimą naudoti ĮIRIS ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti, žinybinei SPT arba, jeigu ji neįsteigta, SPT pateikia:
35.1. Taisyklių 2 priede nustatytos formos prašymą išduoti leidimą naudoti ĮIRIS ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti;
35.2. dokumento, patvirtinančio, kad patalpos, teritorijos ar kitos vietos, kuriose įrengta ĮIRIS, yra pripažintos tinkamomis įslaptintai informacijai saugoti ar su ja dirbti, kopiją;
36. Žinybinė SPT arba, jeigu ji neįsteigta, SPT ne vėliau kaip per 15 darbo dienų nuo Taisyklių 35 punkte nurodytų dokumentų gavimo dienos įvertina juos ir patikrina, ar ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti naudojama ĮIRIS atitinka ĮIRIS saugumo reikalavimuose tokioms ĮIRIS nustatytus saugumo reikalavimus, ir priima sprendimą dėl leidimo naudoti ĮIRIS ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti išdavimo. Išduotas Taisyklių 1 priede nustatytos formos leidimas naudoti ĮIRIS ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti galioja iki leidimo naudoti ĮIRIS, kurios kūrimo ir įteisinimo įslaptintiems dokumentams parengti ši ĮIRIS buvo naudojama, išdavimo dienos, bet ne ilgiau kaip devynis mėnesius. Leidimas naudoti ĮIRIS ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti neišduodamas, jeigu nustatoma, kad ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti naudojama ĮIRIS neatitinka ĮIRIS saugumo reikalavimuose tokioms ĮIRIS nustatytų saugumo reikalavimų.
TREČIASIS SKIRSNIS
IŠDUOTŲ LEIDIMŲ NAUDOTI ĮIRIS GALIOJIMO SUSTABDYMAS IR (ARBA) PANAIKINIMAS
37. Sprendimą dėl leidimo naudoti ĮIRIS galiojimo sustabdymo minėtą leidimą išdavusi žinybinė SPT arba, jeigu ji neįsteigta, SPT priima nustačiusi, kad ĮIRIS valdytojas, apdorodamas ir (arba) perduodamas įslaptintą informaciją ĮIRIS arba naudodamas ĮIRIS sujungimą, nevykdo Taisyklių 4 punkte nurodytuose teisės aktuose nustatytų reikalavimų.
38. Sprendimą dėl leidimo naudoti ĮIRIS galiojimo sustabdymo minėtą leidimą išdavusi žinybinė SPT arba, jeigu ji neįsteigta, SPT turi priimti nedelsdama, bet ne vėliau kaip per 3 darbo dienas nuo Taisyklių 37 punkte nurodytų aplinkybių nustatymo dienos. Informuodama apie leidimo naudoti ĮIRIS galiojimo sustabdymą, žinybinė SPT arba, jeigu ji neįsteigta, SPT ĮIRIS valdytojui nurodo nustatytus trūkumus ir minėto leidimo galiojimo sustabdymo terminą, per kurį trūkumai turi būti pašalinti.
39. Leidimą naudoti ĮIRIS išdavusi žinybinė SPT arba, jeigu ji neįsteigta, SPT, atsižvelgdama į nustatytų trūkumų pobūdį ir įsitikinusi, kad jie nekelia grėsmės saugiam visos ĮIRIS funkcionavimui, turi teisę, nesustabdydama leidimo naudoti ĮIRIS galiojimo, nustatyti trūkumų pašalinimo terminą, uždrausti apdoroti ir (arba) perduoti įslaptintą informaciją dalyje ĮIRIS, uždrausti naudoti ĮIRIS sujungimą ir (arba) nustatyti kitų ĮIRIS leidžiamų atlikti veiksmų ir funkcijų ribojimus, būtinus įslaptintos informacijos saugumui užtikrinti.
40. ĮIRIS valdytojui pašalinus Taisyklių 37 punkte nurodytus trūkumus ir informavus apie tai šiuos trūkumus nustačiusią žinybinę SPT arba, jeigu ji neįsteigta, SPT, žinybinė SPT arba, jeigu ji neįsteigta, SPT ne vėliau kaip per 5 darbo dienas nuo šios informacijos gavimo dienos patikrina, ar nurodyti trūkumai yra pašalinti, ir, jeigu trūkumai pašalinti, atnaujina sustabdyto leidimo naudoti ĮIRIS galiojimą ar panaikina kitus Taisyklių 39 punkte nurodytus ribojimus, būtinus įslaptintos informacijos saugumui užtikrinti.
41. Leidimą naudoti ĮIRIS išdavusi žinybinė SPT arba, jeigu ji neįsteigta, SPT jį panaikina šiais atvejais:
41.1. nustačius ĮIRIS apdorojamos ir (arba) perduodamos arba ĮIRIS sujungimu perduodamos įslaptintos informacijos slaptumo, vientisumo ir (arba) prieinamumo teisėtiems naudotojams praradimo faktą;
41.2. jeigu ĮIRIS valdytojas per Taisyklių 38 punkte nurodytą leidimo naudoti ĮIRIS galiojimo sustabdymo terminą ar Taisyklių 39 punkte nurodytą trūkumų pašalinimo terminą nepašalino nurodytų trūkumų arba nesilaikė Taisyklių 39 punkte nurodytų ribojimų, būtinų įslaptintos informacijos saugumui užtikrinti.
KETVIRTASIS SKIRSNIS
ĮIRIS MODERNIZAVIMAS
43. ĮIRIS, išskyrus ĮIRIS, kurioms išduotas ribotas leidimas, modernizuojamos:
43.1. pasikeitus teisės aktuose nustatytoms ĮIRIS valdytojo funkcijoms, kurioms atlikti reikalingą įslaptintą informaciją apdoroja ir (arba) perduoda ĮIRIS;
43.2. atsiradus papildomų poreikių, kurie iš esmės keičia įslaptintos informacijos apdorojimo procesus, teikiamas elektronines paslaugas;
44. Sprendimą modernizuoti ĮIRIS priima ĮIRIS steigėjas. Priėmęs sprendimą modernizuoti ĮIRIS, ĮIRIS steigėjas arba jo pavedimu ĮIRIS valdytojas rengia ĮIRIS nuostatų pakeitimo projektą. Patvirtinus ĮIRIS nuostatų pakeitimo projektą, ĮIRIS valdytojas arba jo pavedimu ĮIRIS tvarkytojas rengia specifikacijos pakeitimo projektą.
45. ĮIRIS nuostatų ir specifikacijų pakeitimo projektai rengiami, derinami (išskyrus tuos atvejus, kai atliekami redakciniai pakeitimai), tvirtinami ir patvirtinti kitiems subjektams pateikiami mutatis mutandis, vadovaujantis Taisyklių II ir III skyriuose nustatyta tvarka. Pakeitus Taisyklių 22.1 ir 22.2 papunkčiuose nurodytus ĮIRIS saugos dokumentus, išskyrus tuos atvejus, kai atliekami redakciniai pakeitimai, ĮIRIS įteisinamos Taisyklių IV skyriaus pirmajame skirsnyje nustatyta tvarka.
V SKYRIUS
ĮIRIS LIKVIDAVIMAS
47. ĮIRIS valdytojas ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl ĮIRIS likvidavimo priėmimo dienos apie tai raštu turi informuoti ĮIRIS tvarkytoją (tvarkytojus), leidimą naudoti ĮIRIS išdavusią žinybinę SPT arba, jeigu ji neįsteigta, SPT, duomenų teikėjus ir ĮIRIS perduodamos įslaptintos informacijos gavėjus, kitas institucijas, kurios naudojasi likviduojamomis ĮIRIS, institucijas, kurioms numatoma perduoti likviduojamų ĮIRIS duomenis, ir, jeigu likviduojamos ĮIRIS yra sujungtos su kitomis informacinėmis sistemomis ar ĮIRIS, jų valdytojus.
48. Steigėjo sprendimas likviduoti bendras su užsienio valstybe ar tarptautine organizacija ĮIRIS arba nacionalinę ĮIRIS, sujungtą su užsienio valstybės arba tarptautinės organizacijos ĮIRIS, turi būti suderintas su Paslapčių apsaugos koordinavimo komisija.
49. Sprendime dėl ĮIRIS likvidavimo turi būti nurodyta:
49.2. ĮIRIS duomenų perdavimo kitai ĮIRIS arba informacinei sistemai ir (arba) valstybės archyvams ir (arba) susijusiems paslapčių subjektams (arba atitinkamai užsienio šalims arba tarptautinėms organizacijoms) arba sunaikinimo tvarka;
49.3. už ĮIRIS likvidavimą atsakingi asmenys, struktūriniai padaliniai ir (arba) institucijos, jų teisės ir pareigos ĮIRIS likvidavimo laikotarpiu;
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
51. Apie atitinkamus sprendimus dėl leidimo naudoti ĮIRIS išdavimo procedūrų sustabdymo ar nutraukimo, leidimo naudoti ĮIRIS išdavimo ar neišdavimo, leidimo naudoti ĮIRIS galiojimo sustabdymo, trūkumų pašalinimo termino ir kitų ĮIRIS leidžiamų atlikti veiksmų ir funkcijų ribojimų, būtinų įslaptintos informacijos saugumui užtikrinti, nustatymo, sustabdyto leidimo naudoti ĮIRIS galiojimo atnaujinimo, ĮIRIS leidžiamų atlikti veiksmų ir funkcijų ribojimų, būtinų įslaptintos informacijos saugumui užtikrinti, panaikinimo ir leidimo naudoti ĮIRIS panaikinimo ĮIRIS valdytoją informuoja tuos sprendimus priėmusi žinybinė SPT arba, jeigu ji neįsteigta, SPT Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka.
Įslaptintos informacijos ryšių ir informacinių sistemų steigimo ir įteisinimo taisyklių
1 priedas
(Leidimo naudoti įslaptintos informacijos ryšių ir informacinę sistemą forma)
LEIDIMAS NAUDOTI ĮSLAPTINTOS INFORMACIJOS RYŠIŲ IR INFORMACINĘ SISTEMĄ
20 m. d. Nr.
Vilnius
Šis leidimas naudoti įslaptintos informacijos ryšių ir informacinę sistemą (toliau – ĮIRIS) išduotas |
||||||||||
|
||||||||||
(Paslapčių subjekto arba jam pavaldžios ar jo reguliavimo sričiai priskirtos įstaigos, įmonės pavadinimas arba tiekėjo pavadinimas) |
||||||||||
ir patvirtina, kad ĮIRIS |
||||||||||
, |
||||||||||
(ĮIRIS pavadinimas) |
||||||||||
valdomoje |
|
|||||||||
(ĮIRIS nuostatuose nurodyto paslapčių subjekto, jam pavaldžios ar jo reguliavimo sričiai priskirtos įstaigos, įmonės arba tiekėjo, valdančio ĮIRIS (toliau – ĮIRIS valdytojas), pavadinimas) |
||||||||||
, |
||||||||||
(ĮIRIS valdytojo adresas) |
||||||||||
leidžiama atlikti šio leidimo 1 punkte nurodytame sprendime nustatytas funkcijas, nurodytos apimties veiksmus nurodytomis sąlygomis ir naudoti ĮIRIS įslaptintai informacijai, žymimai slaptumo žyma (žymomis)______________________ ir žemesne (žemesnėmis), apdoroti ir (arba) perduoti. |
||||||||||
Šis leidimas naudoti ĮIRIS išduotas vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu ir šiais teisės aktais ir dokumentais: |
||||||||||
1. |
|
|||||||||
(Saugumo priežiūros tarnybos (toliau – SPT) ar žinybinės SPT funkcijas atliekančios institucijos, parengusios sprendimą dėl leidimo naudoti ĮIRIS išdavimo, pavadinimas, sprendimo data ir numeris) |
||||||||||
2[1]. |
|
|||||||||
(Specifinių saugumo reikalavimų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusio subjekto pavadinimas, teisės akto priėmimo data, rūšis ir numeris) |
||||||||||
3⃰. |
|
|||||||||
(Saugumo valdymo procedūrų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusio subjekto pavadinimas, teisės akto priėmimo data, rūšis ir numeris) |
||||||||||
4⃰. |
|
|||||||||
(Rizikos analizės pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusio subjekto pavadinimas, teisės akto priėmimo data, rūšis ir numeris) |
||||||||||
5⃰. |
|
|||||||||
(Saugumo reikalavimų įgyvendinimo patikrinimo ataskaita, teisės aktą, kuriuo ji patvirtinta, priėmusio subjekto pavadinimas, teisės akto priėmimo data, rūšis ir numeris)
|
||||||||||
6. |
|
|||||||||
(Kiti teisės aktai ar dokumentai)
|
||||||||||
Leidimas naudoti ĮIRIS galioja iki |
|
|
||||||||
(Leidimo naudoti ĮIRIS galiojimo terminas) |
||||||||||
|
|
|
|
|
||||||
(Leidimą naudoti ĮIRIS išdavusios SPT ar žinybinės SPT funkcijas atliekančios institucijos vadovo pareigos)
|
(Parašas) |
|
(Vardas ir pavardė) |
|||||||
Įslaptintos informacijos ryšių ir informacinių sistemų steigimo ir įteisinimo taisyklių
2 priedas
(Prašymo išduoti leidimą naudoti įslaptintos informacijos ryšių ir informacinę sistemą įslaptintos informacijos ryšių ir informacinės sistemos kūrimo ir įteisinimo įslaptintiems dokumentams parengti forma)
PRAŠYMAS
IŠDUOTI LEIDIMĄ NAUDOTI ĮSLAPTINTOS INFORMACIJOS RYŠIŲ IR INFORMACINĘ SISTEMĄ ĮSLAPTINTOS INFORMACIJOS RYŠIŲ IR INFORMACINĖS SISTEMOS KŪRIMO IR ĮTEISINIMO ĮSLAPTINTIEMS DOKUMENTAMS PARENGTI
20 m. d. Nr.
........................................................................................................
(vieta)
|
(Įslaptintos informacijos ryšių ir informacinės sistemos (toliau – ĮIRIS) nuostatuose nurodyto paslapčių subjekto, jam pavaldžios ar jo reguliavimo sričiai priskirtos įstaigos, įmonės arba tiekėjo, valdančio ĮIRIS (toliau – ĮIRIS valdytojas), pavadinimas ir adresas) |
Prašo išduoti leidimą naudoti ĮIRIS
|
|
(ĮIRIS pavadinimas, ĮIRIS įrengimo vietos adresas, patalpos, kurioje įrengta ĮIRIS, numeris ar kita įrengimo vietos identifikavimo informacija. Jei įteisinamą ĮIRIS sudaro dvi ar daugiau darbo vietų, nurodomi vienos pasirinktos ĮIRIS darbo vietos, kurioje bus rengiami ĮIRIS kūrimo ir įteisinimo dokumentai, įrengimo vietos duomenys) |
ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti ir patvirtina, kad yra įgyvendinęs šiuos ĮIRIS saugumo reikalavimus:
1. ĮIRIS sudaro viena kompiuterinė darbo vieta, neturinti sujungimų su kitomis ĮIRIS, valstybės informacinėmis sistemomis, informacinėmis sistemomis ir tinklais;
2. ĮIRIS įdiegta kenksmingos programinės įrangos aptikimo programinė įranga
; |
(Įdiegtos įrangos pavadinimas) |
3. ĮIRIS įdiegta programinė įranga, reikalinga ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti (operacinė sistema, biuro programinės įrangos paketas)
; |
(Įdiegtos įrangos pavadinimas) |
4. ĮIRIS naudojasi tik ĮIRIS valdytojo įsakymu įgalioti asmenys, naudotojų tapatybei patvirtinti naudojami ne trumpesni nei 9 simbolių slaptažodžiai;
5. ĮIRIS nenaudojamos išorinės laikmenos, turinčios USB sąsajas, ĮIRIS kompiuterinėje duomenų apdorojimo įrangoje išjungta automatinė laikmenų, įdedamų į joje esantį nuskaitymo įrenginį, paleistis.
___________________ _________________ __________________
(Pareigų pavadinimas) (Parašas) (Vardas ir pavardė)
[1]2–5 punktai nepildomi, jei leidimas naudoti ĮIRIS išduodamas ĮIRIS kūrimo ir įteisinimo įslaptintiems dokumentams parengti.