LIETUVOS RESPUBLIKOS
RYŠIŲ REGULIAVIMO TARNYBOS
TARYBA
NUTARIMAS
DĖL KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PRIEMONĖS IŠDAVIMO PASLAUGOS TEIKIMO PRIEŽIŪROS TVARKOS APRAŠO IR ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ, NAUDOJAMŲ TEIKIANT ELEKTRONINES PASLAUGAS, SAUGUMO UŽTIKRINIMO LYGIO PASIRINKIMO GAIRIŲ PATVIRTINIMO
2023 m. gruodžio 21 d. Nr. TN-709
Vilnius
Vadovaudamasi Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 41 straipsnio 2 dalies 1, 3 ir 7 punktais, 181 straipsniu, 183 straipsnio 3 dalimi ir 4 dalies 1, 3, 4 punktais ir 11 dalimi, 185 straipsnio 1, 2 dalimis, Lietuvos Respublikos ryšių reguliavimo tarnybos taryba nutaria:
1. Patvirtinti pridedamus:
1.1. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikimo priežiūros tvarkos aprašą.
PATVIRTINTA
Lietuvos Respublikos ryšių reguliavimo
tarnybos tarybos 2023 m. gruodžio 21 d.
nutarimu Nr. TN-709
KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PRIEMONĖS IŠDAVIMO PASLAUGOS TEIKIMO PRIEŽIŪROS TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikimo priežiūros tvarkos aprašas (toliau – Aprašas) nustato elektroninės atpažinties priemonių saugumo užtikrinimo lygio vertinimo, 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 8 straipsnio 2 dalyje nurodytų saugumo užtikrinimo lygių priskyrimo, pakeitimo ir panaikinimo elektroninės atpažinties priemonėms tvarką ir sąlygas, taip pat kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjų (toliau kiekvienas atskirai – kvalifikuotos elektroninės atpažinties paslaugos teikėjas) veiklos ataskaitų teikimo Lietuvos Respublikos ryšių reguliavimo tarnybai (toliau – Tarnyba) tvarką.
2. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme (toliau – Įstatymas), Reglamente (ES) Nr. 910/2014 ir 2015 m. rugsėjo 8 d. Europos Komisijos įgyvendinimo reglamente (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių.
3. Visi Aprašo nustatyta tvarka Tarnybai teikiami dokumentai turi atitikti Lietuvos Respublikos ryšių reguliavimo tarnybos darbo reglamento, patvirtinto Tarnybos tarybos 2022 m. rugsėjo 20 d. nutarimu Nr. TN-35 „Dėl Lietuvos Respublikos ryšių reguliavimo tarnybos darbo reglamento patvirtinimo“, reikalavimus ir turi būti pateikti jame nurodytais būdais.
II SKYRIUS
ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO UŽTIKRINIMO LYGIO VERTINIMAS IR PRISKYRIMAS
4. Lietuvos Respublikoje įsisteigęs ar įsteigtas elektroninės atpažinties priemonės išdavimo paslaugos teikėjas (toliau – elektroninės atpažinties paslaugos teikėjas), norintis, kad jo išduodama ar ketinama išduoti elektroninės atpažinties priemonė būtų pripažinta prižiūrima elektroninės atpažinties priemone, privalo Tarnybai pateikti:
4.1. Aprašo 1 priede nustatytos formos pranešimą apie išduodamą ar ketinamą išduoti elektroninės atpažinties priemonę (toliau – pranešimas), prie kurio turi būti pridėti:
4.1.1. dokumentai, patvirtinantys elektroninės atpažinties paslaugos teikėjo darbuotojų ir (ar) subrangovų darbuotojų, atliekančių užduotis, susijusias su elektroninės atpažinties paslaugos teikėjo teikiama elektroninės atpažinties priemonės išdavimo paslauga (toliau – elektroninės atpažinties paslauga), atitiktį Įstatymo 183 straipsnio 11 dalyje įtvirtintiems reikalavimams;
4.1.2. elektroninės atpažinties paslaugos teikėjo veiklos dokumentai, kuriais vadovaujantis bus teikiama kvalifikuota elektroninės atpažinties priemonės išdavimo paslauga (toliau – kvalifikuota elektroninės atpažinties paslauga) (elektroninės atpažinties paslaugos teikėjo veiklos nuostatai, ketinamos teikti kvalifikuotos elektroninės atpažinties paslaugos teikimo sąlygos, klientų aptarnavimo, ginčų sprendimo tvarka, rizikų valdymo planas ir kiti), išskyrus dokumentus, kurie yra pateikti kartu su elektroninės atpažinties atitikties vertinimo įstaigos parengta atitikties įvertinimo ataskaita;
4.2. Aprašo 2 priede nustatytus reikalavimus atitinkanti elektroninės atpažinties atitikties vertinimo įstaigos parengta atitikties įvertinimo ataskaita;
4.3. dokumentai, patvirtinantys, kad elektroninės atpažinties paslaugos teikėjas yra apdraudęs savo civilinę atsakomybę pagal Įstatymo 183 straipsnio 10 dalyje nustatytus reikalavimus (tuo atveju, kai jis jau yra kvalifikuotos elektroninės atpažinties paslaugos teikėjas) arba dokumentai, patvirtinantys, kad elektroninės atpažinties paslaugos teikėjas apsidraus savo civilinę atsakomybę pagal Įstatymo 183 straipsnio 10 dalyje nustatytus reikalavimus, jeigu pranešime nurodyta elektroninės atpažinties priemonė bus pripažinta prižiūrima (tuo atveju, kai jis dar nėra kvalifikuotos elektroninės atpažinties paslaugos teikėjas);
4.4. Aprašo 3 priede nustatytus reikalavimus atitinkantis veiklos, susijusios su kvalifikuotos elektroninės atpažinties paslaugos teikimu, nutraukimo planas (toliau – veiklos nutraukimo planas) (tuo atveju, kai pranešimą pateikęs asmuo jau yra kvalifikuotos elektroninės atpažinties paslaugos teikėjas) arba Aprašo 3 priede nustatytus reikalavimus atitinkantis veiklos nutraukimo plano projektas (tuo atveju, kai pranešimą pateikęs asmuo dar nėra kvalifikuotos elektroninės atpažinties paslaugos teikėjas).
5. Tarnyba priima pranešimą ir ne vėliau kaip per 5 darbo dienas nuo pranešimo gavimo dienos atlieka vieną iš šių veiksmų:
5.1. nustačiusi, kad pateikti visi Aprašo 4 punkte nurodyti dokumentai ir (ar) informacija, raštu informuoja pranešimą pateikusį elektroninės atpažinties paslaugos teikėją (toliau – pareiškėjas), kad pradedamas pranešime nurodytos elektroninės atpažinties priemonės atitikties prašomam priskirti saugumo užtikrinimo lygiui vertinimas;
5.2. nustačiusi, kad pateikti ne visi, netikslūs ir (ar) Aprašo nustatytų reikalavimų neatitinkantys Aprašo 4 punkte nurodyti dokumentai ir (ar) informacija, raštu praneša apie nustatytus trūkumus pareiškėjui, nustato ne trumpesnį kaip 5 darbo dienų terminą pateikti trūkstamus ir (ar) patikslintus dokumentus ir (ar) informaciją ir informuoja, kad nepateikus trūkstamų ir (ar) patikslintų dokumentų ir (ar) informacijos pranešimo nagrinėjimas bus nutrauktas.
6. Jeigu pareiškėjas per Tarnybos pagal Aprašo 5.2 papunktį nustatytą terminą nepateikia trūkstamų ir (ar) patikslintų dokumentų ir (ar) informacijos, Tarnyba nutraukia pranešimo nagrinėjimą ir per 3 darbo dienas apie tai raštu informuoja pareiškėją.
7. Tarnyba, vertindama pareiškėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės atitiktį prašomam priskirti saugumo užtikrinimo lygiui, turi teisę pareikalauti, kad pareiškėjas per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateiktų papildomų dokumentų ir (ar) informacijos, kurie būtini elektroninės atpažinties priemonės atitikčiai prašomam priskirti saugumo užtikrinimo lygiui įvertinti.
8. Tarnyba, Įstatymo 181 straipsnio 4 ir 5 dalyse nustatytais terminais įvertinusi, ar elektroninės atpažinties priemonė atitinka prašomam priskirti saugumo užtikrinimo lygiui nustatytus reikalavimus, priima vieną iš Įstatymo 181 straipsnio 4 dalyje nustatytų motyvuotų sprendimų ir apie tai raštu informuoja pareiškėją ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo dienos.
9. Tarnyba nedelsdama, bet ne vėliau kaip per 3 darbo dienas nuo Įstatymo 181 straipsnio 4 dalies 1 punkte nurodyto sprendimo priėmimo dienos, raštu praneša Nacionalinės elektroninės atpažinties informacinės sistemos tvarkytojui (toliau – mazgo operatorius) apie pareiškėjo išduodamai ar ketinamai išduoti elektroninės atpažinties priemonei priskirtą vieną iš Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytų saugumo užtikrinimo lygių ir pateikia informaciją dėl elektroninės atpažinties priemonės įtraukimo į elektroninės atpažinties schemų sąrašą, jei priemonė bus skelbiama elektroninės atpažinties schemų sąraše.
III SKYRIUS
ELEKTRONINĖS ATPAŽINTIES ATITIKTIES VERTINIMO ĮSTAIGOS PARENGTOS ATITIKTIES ĮVERTINIMO ATASKAITOS PATEIKIMAS IR NAGRINĖJIMAS
10. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo Įstatymo 183 straipsnio 4 dalies 4 punkte nustatytais terminais pateikti Tarnybai Įstatymo 183 straipsnio 4 dalies 4 punkte nurodytą elektroninės atpažinties atitikties vertinimo įstaigos parengtą atitikties įvertinimo ataskaitą (toliau – atitikties įvertinimo ataskaita). Ši ataskaita turi atitikti Aprašo 2 priede nustatytus reikalavimus.
11. Tuo atveju, jei kvalifikuotos elektroninės atpažinties paslaugos teikėjas nepateikia atitikties įvertinimo ataskaitos Įstatymo 183 straipsnio 4 dalies 4 punkte nustatytais terminais, Tarnyba ne vėliau kaip per 5 darbo dienas nuo Įstatymo 183 straipsnio 4 dalies 4 punkte nurodyto termino atitikties įvertinimo ataskaitai pateikti pabaigos raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją apie atitikties įvertinimo ataskaitos nepateikimą, pareikalauja per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateikti atitikties įvertinimo ataskaitą Tarnybai ir informuoja apie pasekmes, nurodytas Aprašo 24 punkte.
12. Tarnyba, nustačiusi, kad atitikties įvertinimo ataskaita neatitinka Aprašo 2 priede nustatytų reikalavimų, ne vėliau kaip per 10 darbo dienų nuo atitikties įvertinimo ataskaitos gavimo dienos, raštu apie tai praneša kvalifikuotos elektroninės atpažinties paslaugos teikėjui ir pareikalauja per Tarnybos nustatytą ne trumpesnį kaip 10 darbo dienų terminą pašalinti nustatytus trūkumus ir informuoja apie pasekmes, nurodytas Aprašo 24 punkte.
13. Tarnyba ne vėliau kaip per 3 mėnesius nuo atitikties įvertinimo ataskaitos, atitinkančios Aprašo 2 priede nustatytus reikalavimus, gavimo dienos įvertina kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiamos kvalifikuotos elektroninės atpažinties paslaugos atitiktį Įstatymo, Reglamento (ES) Nr. 910/2014, jų įgyvendinamųjų teisės aktų ir kitų teisės aktų, reglamentuojančių kvalifikuotos elektroninės atpažinties paslaugos teikimą, reikalavimams (toliau – teisės aktų reikalavimai) ir atlieka vieną iš Aprašo 15 punkte nurodytų veiksmų. Šiame punkte nurodytas terminas gali būti pratęstas Tarnybos motyvuotu sprendimu, apie kurį Tarnyba informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją raštu ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo dienos.
14. Tarnyba, vertindama kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiamos kvalifikuotos elektroninės atpažinties paslaugos atitiktį teisės aktų reikalavimams, turi teisę pareikalauti kvalifikuotos elektroninės atpažinties paslaugos teikėjo per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateikti papildomų dokumentų ir (ar) informacijos, kurie būtini kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiamos kvalifikuotos elektroninės atpažinties paslaugos atitikčiai teisės aktų reikalavimams įvertinti.
15. Tarnyba, atlikusi Aprašo 13 punkte nurodytą vertinimą, atlieka vieną iš šių veiksmų:
15.1. nustačiusi, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiama kvalifikuota elektroninės atpažinties paslauga atitinka teisės aktų reikalavimus, raštu apie tai informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją;
15.2. nustačiusi, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiama kvalifikuota elektroninės atpažinties paslauga neatitinka teisės aktų reikalavimų, atsižvelgdama į nustatytų neatitikimų mastą ir esamas ar galimas pasekmes, raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją apie nustatytas jo teikiamos kvalifikuotos elektroninės atpažinties paslaugos neatitiktis teisės aktų reikalavimams, pareikalauja per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą jas pašalinti ir raštu informuoti apie tai Tarnybą, taip pat informuoja apie pasekmes, nurodytas Aprašo 24 punkte.
16. Tarnyba, pagal Aprašo 15.2 papunktį gavusi informaciją apie teisės aktų reikalavimų neatitikimų pašalinimą, ne vėliau kaip per 20 darbo dienų įvertina gautą informaciją ir atlieka vieną iš šių veiksmų:
16.1. nustačiusi, kad neatitikimai buvo pašalinti, raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją, kad jo teikiama kvalifikuota elektroninės atpažinties paslauga atitinka teisės aktų reikalavimus;
17. Tarnybai per pagal Aprašo 15.2 papunktyje nustatytą terminą negavus informacijos apie teisės aktų reikalavimų neatitikimų pašalinimą, laikoma, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjas nepašalino jo teikiamos kvalifikuotos elektroninės atpažinties paslaugos neatitikčių teisės aktų reikalavimams. Šiame punkte nurodytu atveju Tarnyba priima Aprašo 24 punkte nurodytą sprendimą.
IV SKYRIUS
PRANEŠIMO APIE KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PASLAUGOS TEIKIMO PAKEITIMUS NAGRINĖJIMAS IR ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO UŽTIKRINIMO LYGIO PAKEITIMAS
18. Kvalifikuotos elektroninės atpažinties paslaugos teikėjai privalo pranešti Tarnybai apie kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimus Įstatymo 183 straipsnio 4 dalies 4 punkte nustatytais terminais.
19. Tarnyba, vertindama gautą informaciją apie atliktus kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimus, turi teisę pareikalauti kvalifikuotos elektroninės atpažinties paslaugos teikėjo per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateikti papildomų dokumentų ir (ar) informacijos, kurie būtini atliktiems kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimams įvertinti, įskaitant elektroninės atpažinties atitikties vertinimo įstaigos parengtą:
19.1. įvertinimą ir patvirtinimą, kad po kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimų prižiūrima elektroninės atpažinties priemonė atitinka jai priskirtam Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytam saugumo užtikrinimo lygiui nustatytus reikalavimus;
20. Tarnyba, gavusi Aprašo 18 punkte nurodytą informaciją apie atliktus kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimus ir Aprašo 19 punkte nurodytus papildomus dokumentus ir (ar) informaciją, kurie būtini atliktiems kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimams įvertinti, ne vėliau kaip per 20 darbo dienų nuo visų dokumentų ir (ar) informacijos gavimo dienos juos įvertina ir atlieka vieną iš Aprašo 21 punkte nurodytų veiksmų. Šiame punkte nurodytas terminas gali būti pratęstas ne ilgiau kaip 20 darbo dienų Tarnybos motyvuotu sprendimu, apie kurį Tarnyba informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją raštu ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo dienos.
21. Tarnyba, atlikusi Aprašo 20 punkte nurodytą vertinimą, atlieka vieną iš šių veiksmų:
21.1. nustačiusi, kad atlikti kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimai neprieštarauja teisės aktų reikalavimams ir dėl šių pakeitimų nereikia keisti elektroninės atpažinties priemonei priskirto Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodyto saugumo užtikrinimo lygio, apie tai raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją;
21.2. nustačiusi, kad atlikti kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimai sąlygoja, kad prižiūrima elektroninės atpažinties priemonė nebeatitinka jai priskirtam Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytam saugumo užtikrinimo lygiui nustatytų reikalavimų, raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją apie nustatytus teisės aktų reikalavimų neatitikimus ir pareikalauja per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą juos pašalinti ir raštu informuoti apie tai Tarnybą;
21.3. nustačiusi, kad atlikti kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimai sąlygoja, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamai prižiūrimai elektroninės atpažinties priemonei turi būti iš naujo priskirtas Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytas saugumo užtikrinimo lygis, priima Aprašo 24 punkte nurodytą sprendimą ir praneša kvalifikuotos elektroninės atpažinties paslaugos teikėjui apie teisę kreiptis į Tarnybą dėl jo išduodamos elektroninės atpažinties priemonės pripažinimo prižiūrima elektroninės atpažinties priemone pagal Įstatymo 181 straipsnio 2 dalį.
22. Tarnyba, pagal Aprašo 21.2 papunktį gavusi informaciją apie teisės aktų reikalavimų neatitikimų pašalinimą, ne vėliau kaip per 20 darbo dienų įvertina gautą informaciją ir atlieka vieną iš šių veiksmų:
22.1. nustačiusi, kad teisės aktų reikalavimų neatitikimai buvo pašalinti, raštu apie tai informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją;
23. Tarnybai per pagal Aprašo 21.2 papunktį nustatytą terminą negavus informacijos apie teisės aktų reikalavimų neatitikimų pašalinimą, laikoma, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjas nepašalino teisės aktų reikalavimų neatitikimų. Šiame punkte nurodytu atveju Tarnyba priima Aprašo 24 punkte nurodytą sprendimą.
V SKYRIUS
ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO UŽTIKRINIMO LYGIO PANAIKINIMAS
24. Kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamai elektroninės atpažinties priemonei priskirtas Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytas saugumo užtikrinimo lygis panaikinamas Tarnybos motyvuotu sprendimu šiais atvejais:
24.1. kvalifikuotos elektroninės atpažinties paslaugos teikėjui nepateikus Įstatymo 183 straipsnio 4 dalies 4 punkte nurodytos atitikties įvertinimo ataskaitos nustatytais terminais;
24.2. kvalifikuotos elektroninės atpažinties paslaugos teikėjui nepašalinus nustatytų atitikties įvertinimo ataskaitos trūkumų nustatytais terminais;
24.3. Tarnybai nustačius, kad teikiama kvalifikuota elektroninės atpažinties paslauga neatitinka teisės aktų reikalavimų, ir įvertinus nustatytų neatitikimų mastą bei esamas ar galimas pasekmes;
24.4. kvalifikuotos elektroninės atpažinties paslaugos teikėjui per nustatytą terminą nepašalinus jo teikiamos kvalifikuotos elektroninės atpažinties paslaugos neatitikčių teisės aktų reikalavimams arba per Tarnybos nustatytą terminą nepateikus informacijos apie kvalifikuotos elektroninės atpažinties paslaugos neatitikčių teisės aktų reikalavimams pašalinimą;
24.5. Tarnybai nustačius, kad atlikti kvalifikuotos elektroninės atpažinties paslaugos teikimo pakeitimai sąlygojo, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamai prižiūrimai elektroninės atpažinties priemonei turi būti iš naujo priskirtas Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytas saugumo užtikrinimo lygis;
25. Tarnyba apie priimtą Aprašo 24 punkte nurodytą sprendimą raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją ir mazgo operatorių, jei kvalifikuotos elektroninės atpažinties paslaugos teikėjas prijungtas prie mazgo ir elektroninės atpažinties priemonė skelbiama elektroninės atpažinties schemų sąraše, nedelsdama, bet ne vėliau kaip kitą darbo dieną nuo sprendimo priėmimo dienos.
VI SKYRIUS
VEIKLOS NUTRAUKIMO PLANŲ VERTINIMAS
26. Tarnyba vertina kvalifikuotos elektroninės atpažinties paslaugos teikėjų jai pateiktus veiklos nutraukimo planus šiame skyriuje nustatyta tvarka.
27. Tarnyba ne vėliau kaip per 3 mėnesius nuo veiklos nutraukimo plano gavimo dienos įvertina veiklos nutraukimo plano atitiktį Aprašo 3 priede nustatytiems reikalavimams ir atlieka Aprašo 29 punkte nurodytus veiksmus.
28. Tarnyba, vertindama veiklos nutraukimo planą, turi teisę pareikalauti kvalifikuotos elektroninės atpažinties paslaugos teikėjo per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateikti papildomų dokumentų ir (ar) informacijos, kurie būtini veiklos nutraukimo plano atitikčiai Aprašo 3 priede nustatytiems reikalavimams įvertinti.
29. Tarnyba, atlikusi Aprašo 27 punkte nurodytą vertinimą, atlieka vieną iš šių veiksmų:
29.1. nustačiusi, kad veiklos nutraukimo planas atitinka Aprašo 3 priede nustatytus reikalavimus, raštu apie tai informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją;
29.2. nustačiusi, kad veiklos nutraukimo planas neatitinka Aprašo 3 priede nustatytų reikalavimų, raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją apie nustatytus veiklos nutraukimo plano reikalavimų neatitikimus ir pareikalauja per Tarnybos nustatytą ne trumpesnį kaip 5 darbo dienų terminą juos pašalinti ir raštu informuoti apie tai Tarnybą.
30. Tarnyba, pagal Aprašo 29.2 papunktį gavusi informaciją apie Aprašo 3 priede nustatytų reikalavimų neatitikimų pašalinimą, ne vėliau kaip per 20 darbo dienų įvertina gautą informaciją ir atlieka vieną iš šių veiksmų:
30.1. nustačiusi, kad Aprašo 3 priede nustatytų reikalavimų neatitikimai buvo pašalinti, raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją, kad jo veiklos nutraukimo planas atitinka Aprašo 3 priede nustatytus reikalavimus;
31. Tarnybai per pagal Aprašo 29.2 papunktį nustatytą terminą negavus informacijos apie Aprašo 3 priede nustatytų reikalavimų neatitikimų pašalinimą, laikoma, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjas nepašalino Aprašo 3 priede nustatytų reikalavimų neatitikimų. Šiame punkte nurodytu atveju Tarnyba priima Aprašo 24 punkte nurodytą sprendimą.
VII SKYRIUS
KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PASLAUGOS TEIKĖJŲ VEIKLOS ATASKAITŲ TEIKIMAS
32. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas Įstatymo 183 straipsnio 4 dalies 3 punkte nustatytu terminu privalo pateikti Tarnybai Įstatymo 183 straipsnio 4 dalies 3 punkte nurodytą praėjusių kalendorinių metų veiklos, susijusios su kvalifikuotos elektroninės atpažinties paslaugos teikimu, ataskaitą, kurioje privalo nurodyti:
32.1. bendrą iki praėjusių kalendorinių metų gruodžio 31 d. visų jo išduotų galiojančių prižiūrimų elektroninės atpažinties priemonių naudotojų skaičių ir atskirai – kiekvienos išduotos prižiūrimos elektroninės atpažinties priemonės naudotojų skaičių;
32.2. bendrą per praėjusius kalendorinius metus visų jo išduotų prižiūrimų elektroninės atpažinties priemonių naudotojų skaičių ir atskirai – kiekvienos išduotos prižiūrimos elektroninės atpažinties priemonės naudotojų skaičių;
VIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
34. Kvalifikuotos elektroninės atpažinties paslaugos teikėjai, pažeidę Aprašo reikalavimus, atsako Lietuvos Respublikos administracinių nusižengimų kodekso nustatyta tvarka.
Kvalifikuotos elektroninės atpažinties
priemonės išdavimo paslaugos teikimo
priežiūros tvarkos aprašo
1 priedas
(Pranešimo apie išduodamą ir (ar) ketinamą išduoti elektroninės atpažinties priemonę forma)
________________________________________________________________________________
(juridinio asmens teisinė forma, pavadinimas, kodas, buveinės adresas arba fizinio asmens vardas ir pavardė, asmens kodas, gyvenamosios vietos adresas)
___________________________________________________________________________
(ryšio numeris, el. pašto adresas, interneto svetainės adresas (jei turima))
Lietuvos Respublikos ryšių reguliavimo tarnybai
PRANEŠIMAS
apie išduodamą ir (ar) ketinamĄ IŠDUOTI ELEKTRONINĖS ATPAŽINTIES PRIEMONĘ
________________ Nr. ________
(data)
1. Bendra informacija
Išduodamos ir (ar) ketinamos išduoti elektroninės atpažinties priemonės pavadinimas |
Prašomas priskirti saugumo užtikrinimo lygis (žemas, pakankamas arba aukštas) |
Dalyvavimas elektroninės atpažinties schemoje (taip / ne) |
Pastabos |
|
|
|
|
2. Atsakingi asmenys
Kontaktinio asmens (dėl šio pranešimo) duomenys: vardas, pavardė, tel., el. pašto adresas |
Kontaktinio asmens (elektroninės atpažinties priemonės saugumo ir vientisumo klausimais) duomenys: vardas, pavardė, tel., el. pašto adresas
|
|
|
3. Nuorodos į interneto svetainės tinklalapį, kuriame skelbiama informacija apie išduodamas ir (ar) ketinamas išduoti elektroninės atpažinties priemones, kvalifikuotos elektroninės atpažinties paslaugos teikimo sąlygos ir kita susijusi informacija.
4. Elektroninės atpažinties priemonės išdavimo sistemos aprašymas (jeigu ketinama dalyvauti elektroninės atpažinties schemoje)
(dėl kiekvieno žemiau esančio papunkčio gali būti pridėti dokumentai, išsamiau paaiškinantys sistemos veikimą.
4.1. Trumpai aprašyti elektroninės atpažinties priemonės išdavimo sistemos (toliau – sistema) veikimo sąlygas ir taikymo sritį. |
|
4.2. Jeigu taikoma, išvardinti papildomus požymius, kurie gali būti suteikiami fiziniams asmenims pagal sistemą, jeigu to prašo pasikliaujančioji šalis. |
|
4.3. Jeigu taikoma, išvardinti papildomus požymius, kurie gali būti suteikiami juridiniams asmenims pagal sistemą, jeigu to prašo pasikliaujančioji šalis. |
4.4. Aprašyti taikomą valdymo tvarką, pagal kurią arba elektroninės atpažinties priemonė, arba tapatumo nustatymas, arba atitinkamų nepatikimų sudedamųjų dalių naudojimas yra sustabdomi arba atšaukiami. |
4.5. Aprašyti sistemos sudedamąsias dalis, nurodant, kaip laikomasi Įgyvendinimo reglamento (ES) 2015/1502[1] nuostatų, kad būtų pasiektas išduodamos ir (ar) ketinamos išduoti elektroninės atpažinties priemonės saugumo užtikrinimo lygis:
|
4.5.1. Aprašyti kreipimosi dėl elektroninės atpažinties priemonės išdavimo tvarką: |
a) prašymo teikimą ir užregistravimą; |
b) tapatybės įrodymą ir tikrinimą (fizinio asmens); |
c) tapatybės įrodymą ir tikrinimą (juridinio asmens); |
d) fizinių ir juridinių asmenų elektroninės atpažinties priemonių susiejimą; |
4.5.2. Aprašyti elektroninės atpažinties priemonių valdymą: |
a) elektroninės atpažinties priemonių savybes ir struktūrą (įskaitant, jeigu reikia, informaciją apie saugumo sertifikavimą); |
b) išdavimą, pristatymą ir aktyvavimą; |
c) sustabdymą, atšaukimą ir pakartotinį aktyvavimą; |
d) atnaujinimą ir pakeitimą. |
4.5.3. Aprašyti tapatumo nustatymo mechanizmą, įskaitant pasikliaujančiosioms šalims, kurios nėra viešojo sektoriaus įstaigos, taikomą naudojimosi tapatumo nustatymo galimybe tvarką.
|
4.5.4. Aprašyti toliau nurodytų aspektų valdymą ir organizavimą: |
a) bendrųjų valdymo ir organizavimo nuostatų;
|
b) paskelbtų pranešimų ir informacijos naudotojams; |
c) informacijos saugumo valdymo; |
d) įrašų saugojimo; |
e) įrenginių ir darbuotojų; |
f) techninės kontrolės; |
g) atitikties ir audito.
|
4.6. Aprašyti, kaip laikomasi Įgyvendinimo reglamente (ES) Nr. 2015/1501[2] nurodytų sąveikumo ir minimalių techninių ir veiklos saugumo reikalavimų. Išvardinti ir pridėti bet kokius dokumentus, kuriuose gali būti pateikta išsamesnės informacijos apie atitiktį, pavyzdžiui, Bendradarbiavimo tinklo nuomonę, išorės auditų dokumentus ar pan. |
4.7. Išvardyti visus pateikiamus patvirtinamuosius dokumentus ir nurodyti, su kuriuo iš šios lentelės 4.1–4.6 papunkčiuose išvardytų elementų jie susiję.
|
5. Pranešimo priedai, nenurodyti 4.7 papunktyje (nurodomas priedų sąrašas ir kiekvieno pridedamo dokumento kopijos lapų skaičius)
1.______________________________, ___ l.
2.______________________________, ___ l.
3. ______________________________, ___ l.
_____________________________ ________________ _______________
(pareigos) (parašas) (vardas, pavardė)
____________________
Kvalifikuotos elektroninės atpažinties
priemonės išdavimo paslaugos teikimo
priežiūros tvarkos aprašo
2 priedas
ATITIKTIES ĮVERTINIMO ATASKAITOS REIKALAVIMAI
1. Atitikties įvertinimo ataskaita (toliau – ataskaita) turi atitikti šiame priede nurodytus minimalius reikalavimus. Šis priedas mutatis mutandis taikomas vertinant Lietuvos Respublikoje įsisteigusių ar įsteigtų elektroninės atpažinties priemonės išdavimo paslaugos teikėjų, siekiančių, kad jų išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės būtų pripažintos prižiūrimomis, atitiktį.
2. Atitikties vertinimą turi atlikti ir ataskaitą parengti elektroninės atpažinties atitikties vertinimo įstaiga (toliau – AVĮ), atitinkanti Įstatymo 181 straipsnio 3 dalyje nurodytus kriterijus.
3. Ataskaitoje turi būti nurodyta arba prie jos pridėta:
3.1. AVĮ pavadinimas, oficialiuose šaltiniuose nurodytas jos registracijos numeris (jei AVĮ toks suteiktas), buveinės adresas ir elektroninio pašto adresas;
3.2. nacionalinio akreditacijos biuro, kuris akreditavo AVĮ, pavadinimas, oficialiuose šaltiniuose nurodytas jo registracijos numeris (jei toks jam suteiktas), buveinės adresas ir elektroninio pašto adresas;
3.3. galiojančio AVĮ akreditacijos pažymėjimo kopija ir akreditavimo schemos, pagal kurią buvo akredituota AVĮ, išsamus aprašymas, patvirtinantys, kad AVĮ, kaip vadybos sistemų sertifikavimo įstaiga, akredituota standartų LST EN ISO/IEC 17021-1 ir LST ISO/IEC 27006 atitikčiai sertifikuoti informacijos saugumo valdymo sistemas pagal LST EN ISO 27001 standartą ir kompetentinga atlikti kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjo (toliau – kvalifikuotos elektroninės atpažinties paslaugos teikėjas) teikiamos kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – kvalifikuota elektroninės atpažinties paslauga) atitikties nustatytiems reikalavimams vertinimą;
3.4. AVĮ išduotas atitikties 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams sertifikatas ar kitas dokumentas, patvirtinantis, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiama kvalifikuota elektroninės atpažinties paslauga atitinka vieno iš Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytų saugumo užtikrinimo lygių reikalavimus, jei tokia atitiktis buvo patvirtinta ataskaitoje;
3.7. kvalifikuotos elektroninės atpažinties paslaugos teikėjo, kurio išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės atitiktis Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams buvo įvertinta, pavadinimas, registracijos numeris, buveinės adresas;
3.8. kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės detalus įvertinimas, kuriame būtų aprašyta, kaip išduodama ar ketinama išduoti elektroninės atpažinties priemonė atitinka Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytą saugumo užtikrinimo lygį;
3.9. kvalifikuotos elektroninės atpažinties paslaugos teikėjo veiklos dokumentų, kuriais remiantis buvo vertinta kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės atitiktis Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams, sąrašas ir jų kopijos, patvirtintos atitikties vertinimą atlikusio AVĮ auditoriaus;
3.10. kiekvieno atlikto atitikties vertinimo etapo (pavyzdžiui, dokumentų atitikties vertinimo, įgyvendinimo atitikties vertinimo, patikrinimų vietoje ir kita) aprašymas, nurodytas laikotarpis, per kurį buvo atliktas atitikties vertinimas (jo pradžia ir pabaiga), ir darbo valandų ar darbo dienų, per kurias buvo atliekamas atitikties vertinimas, skaičius;
3.11. identifikuotos visos kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės neatitiktys Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams ir neatitikčių galima įtaka kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės saugumo užtikrinimo lygiui;
3.12. detaliai nurodyti atlikti patikrinimai ir vertinimo būdai, kurie buvo taikyti atliekant atitikties Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams vertinimą;
3.13. nurodytos visos trečiosios šalys, kurios kvalifikuotos elektroninės atpažinties paslaugos teikėjo būtų įgaliotos atlikti tam tikrus jo ketinamos teikti kvalifikuotos elektroninės atpažinties paslaugos teikimo procesus ar jų dalį; turi būti įvertinti visi kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiamos ar ketinamos teikti kvalifikuotos elektroninės atpažinties paslaugos teikimo procesai;
3.15. nurodyti atvejai ir aplinkybės, kuriems esant AVĮ turi iš naujo įvertinti ataskaitoje nurodyto kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės, kurios atitiktis Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytam saugumo užtikrinimo lygiui patvirtinta ataskaita, saugumo užtikrinimo lygį (išskyrus numatytus periodinius auditus).
4. Jei kvalifikuotos elektroninės atpažinties paslaugos teikėjo teikiamos kvalifikuotos elektroninės atpažinties paslaugos atitiktis buvo papildomai patvirtinta ar sertifikuota pagal specifinį standartą ar kitą viešą specifikaciją, tokio patvirtinimo ar sertifikavimo ataskaita turi būti pateikta kaip atskiras dokumentas, aiškiai nurodant nustatytas neatitiktis taikytų specifinių standartų ar kitų viešų specifikacijų reikalavimams ir neatitikčių galimą įtaką išduodamos ar ketinamos išduoti elektroninės atpažinties priemonės saugumo užtikrinimo lygiui.
Kvalifikuotos elektroninės atpažinties
priemonės išdavimo paslaugos teikimo
priežiūros tvarkos aprašo
3 priedas
KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PASLAUGOS TEIKĖJO VEIKLOS, SUSIJUSIOS SU KVALIFIKUOTOS ELEKTRONINĖS ATPAŽINTIES PASLAUGOS TEIKIMU, NUTRAUKIMO PLANO REIKALAVIMAI
1. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjo (toliau – kvalifikuotos elektroninės atpažinties paslaugos teikėjas) veiklos, susijusios su kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – kvalifikuota elektroninės atpažinties paslauga) teikimu, nutraukimo planas (toliau – planas) turi atitikti šiame priede nurodytus minimalius reikalavimus.
2. Plane turi būti aprašytos procedūros ir priemonės, kurių kvalifikuotos elektroninės atpažinties paslaugos teikėjas imtųsi, jei nutrauktų teikiamos kvalifikuotos elektroninės atpažinties paslaugos teikimą.
3. Plane numatytos kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimo procedūros ir priemonės turi užtikrinti, kad:
3.1. po kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimo nebebus galima kvalifikuotos elektroninės atpažinties paslaugos teikėjo vardu išduoti naujų elektroninės atpažinties priemonių;
3.2. prieš pat kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimą bus panaikinta visų kvalifikuotos elektroninės atpažinties paslaugos teikėjo vardu išduotų elektroninės atpažinties priemonių naudojimo galimybė, išskyrus atvejus, kai plane numatytos įsipareigojimų, susijusių su kvalifikuota elektroninės atpažinties paslauga, kurios teikimas nutraukiamas, perdavimo kitam kvalifikuotos elektroninės atpažinties paslaugos teikėjui sąlygos užtikrina, kad tos kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos prižiūrimos elektroninės atpažinties priemonės ir jų valdymas ir toliau atitiks 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 8 straipsnio 2 dalyje nurodytų saugumo užtikrinimo lygių reikalavimus.
4. Plane turi būti nustatytos procedūros ir priemonės, leidžiančios plane nustatytą laikotarpį naudotis įrašais, įskaitant visą svarbią informaciją, susijusią su duomenimis, kuriuos parengė ir gavo kvalifikuotos elektroninės atpažinties paslaugos teikėjas, visų pirma, siekiant pateikti įrodymus teismo procese, įvertinti atitiktį 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) reikalavimams ir siekiant užtikrinti kvalifikuotos elektroninės atpažinties paslaugos teikimo tęstinumą, ir kitą informaciją, reikalingą suteiktos kvalifikuotos elektroninės atpažinties paslaugos išvestinių duomenų teisingumui patikrinti.
5. Plane turi būti aiškiai identifikuoti laikotarpis ir visi įrašai, kuriais tą laikotarpį pagal šio priedo 4 punktą turi būti sudaroma galimybė naudotis, jų saugojimo formos ir būdai, kurie turi užtikrinti šių įrašų išsaugojimą ateityje ir jų įskaitomumą.
6. Plane aprašytos procedūros ir priemonės turi apimti tiek kvalifikuotos elektroninės atpažinties paslaugos teikimo savanorišką nutraukimą kvalifikuotos elektroninės atpažinties paslaugos teikėjo iniciatyva, tiek priverstinį kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimą nesant kvalifikuotos elektroninės atpažinties paslaugos teikėjo iniciatyvos.
7. Plane turi būti aprašyti visi galimi kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimo atvejai (pavyzdžiui, kai kvalifikuotos elektroninės atpažinties paslaugos teikėjas priima sprendimą nutraukti kvalifikuotos elektroninės atpažinties paslaugos teikimą, o įsipareigojimai, susiję su kvalifikuota elektroninės atpažinties paslauga, kurios teikimas nutraukiamas, nėra perduodami kitam kvalifikuotos elektroninės atpažinties paslaugos teikėjui, taip pat kai yra perduodami kitam kvalifikuotos elektroninės atpažinties paslaugos teikėjui; kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimas, kai kvalifikuotos elektroninės atpažinties paslaugos teikėjas nutraukia savo veiklą (pavyzdžiui, yra likviduojamas, reorganizuojamas ir kita); kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimas dėl kvalifikuotos elektroninės atpažinties paslaugos teikėjo bankroto; kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimas, kai panaikinamas kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamos prižiūrimos elektroninės atpažinties priemonės Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytas saugumo užtikrinimo lygis ir panašiai).
8. Plane turi būti detaliai aprašytos procedūros ir priemonės, kurių, siekiant apsaugoti kvalifikuotos elektroninės atpažinties paslaugos gavėjų interesus, bus imamasi kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimo atveju, įskaitant teisingos informacijos, kurios reikia naudojantis kvalifikuota elektroninės atpažinties paslauga, kurios teikimas nutraukiamas, sukurtų rezultatų patikrai, saugojimo ir teikimo tvarka bei susitarimų su kitu kvalifikuotos elektroninės atpažinties paslaugos teikėju, siekiant, kad kvalifikuotos elektroninės atpažinties paslaugos gavėjai kuo sklandžiau gautų naujas kvalifikuotas elektroninės atpažinties paslaugas, sudarymo tvarka.
9. Plane turi būti nurodytos visos suinteresuotos šalys, kurias paveiks ar gali paveikti kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimas, taip pat suinteresuotos šalys, kurių tiesiogiai kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimas gali ir nepaveikti, tačiau kurios turi būti informuotos apie kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimą (pavyzdžiui, Lietuvos Respublikos ryšių reguliavimo tarnyba ir panašiai). Plane turi būti detaliai aprašytos procedūros ir priemonės, kaip suinteresuotos šalys bus informuojamos apie kvalifikuotos elektroninės atpažinties paslaugos teikimo nutraukimą, taip pat šios priemonės ir procedūros turi apimti tiek atvejus, kai kvalifikuotos elektroninės atpažinties paslaugos teikimas nutraukiamas kvalifikuotos elektroninės atpažinties paslaugos teikėjo iniciatyva, tiek nesant kvalifikuotos elektroninės atpažinties paslaugos teikėjo iniciatyvos.
_____________________
PATVIRTINTA
Lietuvos Respublikos ryšių reguliavimo
tarnybos tarybos 2023 m. gruodžio 21 d.
nutarimu Nr. TN-709
ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ, NAUDOJAMŲ TEIKIANT ELEKTRONINES PASLAUGAS, SAUGUMO UŽTIKRINIMO LYGIO PASIRINKIMO GAIRĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninės atpažinties priemonių, naudojamų teikiant elektronines paslaugas, saugumo užtikrinimo lygio pasirinkimo gairės (toliau – Gairės) paaiškina, kaip Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – Tarnyba), vertindama elektroninės atpažinties priemonių atitiktį 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams, taikys 2015 m. rugsėjo 8 d. Europos Komisijos įgyvendinimo reglamento (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių, priede nurodytas technines specifikacijas ir procedūras.
2. Gairėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme (toliau – Įstatymas), Reglamente (ES) Nr. 910/2014 ir Įgyvendinimo reglamente (ES) 2015/1502.
II SKYRIUS
ĮGYVENDINIMO REGLAMENTO (ES) 2015/1502 PRIEDE NURODYTOS TECHNINĖS SPECIFIKACIJOS IR PROCEDŪROS
1. Terminų apibrėžtys:
Terminų apibrėžtys |
Paaiškinimas |
1) autoritetingas šaltinis – bet kokios formos šaltinis, kurio tikslūs duomenys, informacija ir (arba) įrodymai yra patikimi ir juos galima naudoti tapatybei įrodyti; |
Autoritetingi šaltiniai Lietuvoje fizinio ir juridinio asmens tapatybei įrodyti mutatis mutandis nurodyti Tarnybos tvirtinamame Asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus sertifikatus tvarkos apraše (toliau – Asmens tapatybės tikrinimo tvarka). |
2) tapatumo nustatymo veiksnys – veiksnys, patvirtintas kaip esantis susijęs su asmeniu ir priklausantis prie vienos iš šių kategorijų: |
Gali būti derinami skirtingų kategorijų tapatumo nustatymo veiksniai (pavyzdžiui, kriptografinis prieigos raktas, apsaugotas piršto atspaudu arba PIN kodu).
|
a) turėjimu grindžiamas tapatumo nustatymo veiksnys – tapatumo nustatymo veiksnys, kai subjektas turi įrodyti jį turįs; |
Pavyzdžiui, išmanioji kortelė, kriptografinis prieigos raktas, kt.
|
b) žiniomis grindžiamas tapatumo nustatymo veiksnys – tapatumo nustatymo veiksnys, kai subjektas turi įrodyti apie jį žinąs; |
Pavyzdžiui, PIN kodas, slaptažodis, kt.
|
c) būdingasis tapatumo nustatymo veiksnys – tapatumo nustatymo veiksnys, kuris grindžiamas fizinio asmens fizinėmis savybėmis ir subjektas turi įrodyti turįs tas fizines savybes; |
Pavyzdžiui, nuotrauka, piršto antspaudas, akies rainelė, kt.
|
3) dinaminis tapatumo nustatymas – elektroninis procesas, kuriuo naudojant kriptografijos ar kitus metodus suteikiama priemonė sukurti reikalaujamam elektroniniam įrodymui, kad subjektas kontroliuoja arba turi identifikavimo duomenis, ir kuris, priklausomai nuo subjekto ir subjekto tapatybę tikrinančios sistemos, kinta kiekvieną kartą nustatant tapatybę; |
Papildomų paaiškinimų nėra.
|
4) informacijos saugumo valdymo sistema – visuma procesų ir procedūrų, skirtų priimtinu lygiu valdyti rizikai, susijusiai su informacijos saugumu. |
Papildomų paaiškinimų nėra.
|
2. Techninės specifikacijos ir procedūros
2.1. Registracija
2.1.1. Prašymo teikimas ir užregistravimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
1. Užtikrinti, kad prašytojas būtų susipažinęs su elektroninės atpažinties priemonių naudojimo sąlygomis. |
Prašymą elektroninės atpažinties priemonei gauti pateikęs asmuo (toliau –pareiškėjas) turi aktyviu veiksmu patvirtinti, kad susipažino ir sutinka su elektroninės atpažinties priemonių naudojimo sąlygomis. |
2. Užtikrinti, kad prašytojas būtų susipažinęs su rekomenduojamomis saugumo priemonėmis, susijusiomis su elektroninės atpažinties priemonėmis. |
Pareiškėjas turi aktyviu veiksmu patvirtinti, kad susipažino su rekomenduojamomis saugumo priemonėmis, susijusiomis su elektroninės atpažinties priemonėmis. |
|
3. Rinkti reikiamus tapatybės duomenis, reikalingus tapatybei įrodyti ir patikrinti. |
Turi būti surinkti bent šie duomenys asmens tapatybei nustatyti: vardas, pavardė, asmens kodas, jei reikia, gimimo vieta, biometriniai duomenys. Pareiškėjas turi būti informuotas apie surinktų asmens duomenų tvarkymą pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 13 ir 14 straipsnius. |
2.1.2. Tapatybės įrodymas ir tikrinimas (fizinio asmens)
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
1. Gali būti laikoma, kad asmuo turi įrodymų, kuriuos yra pripažinusi valstybė narė, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę. |
Dokumentai, tinkami asmens tapatybei įrodyti, mutatis mutandis nurodyti Asmens tapatybės tikrinimo tvarkoje. |
2. Gali būti laikoma, kad įrodymas yra tikras arba egzistuoja remiantis autoritetingu šaltiniu, ir atrodo, kad įrodymas yra galiojantis.
|
Asmens tapatybės dokumentų tikrinimo metu turi būti nustatyta bent, kad: · visi asmens tapatybės dokumente pateikiami duomenys, reikalingi elektroninės atpažinties priemonei išduoti, yra įskaitomi ir sutampa su nurodytaisiais pareiškėjo pateiktame prašyme; · asmens tapatybės dokumentas yra galiojantis; · asmens tapatybės dokumentas nėra suklastotas ar padirbtas (galimo suklastojimo ar padirbimo požymiai yra, pavyzdžiui, dokumente neteisingai parašyti žodžiai, akivaizdžiai skirtingi įrašų šriftai, trūksta puslapių arba akivaizdus jų išdėstymo nenuoseklumas, nėra nuotraukos arba ji pakeista ir pan.).
Asmens tapatybės dokumento originalo arba elektroniniu būdu perduotos kopijos tikrumas gali būti patikrintas, pavyzdžiui, tiesiogiai žmogaus arba su optoelektronikos įranga; elektroniniu būdu pateikto asmens tapatybės dokumento kopija yra patvirtinta jį teikiančio asmens kvalifikuotu elektroniniu parašu ir pan. |
|
3. Autoritetingas šaltinis žino, kad nurodyta tapatybė egzistuoja ir galima daryti prielaidą, kad asmuo, pretenduojantis į tapatybę yra vienas ir tas pats. |
Papildomų paaiškinimų nėra.
|
|
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–4 punktuose nurodytų sąlygų: 1. buvo patikrinta ir patvirtinta, kad asmuo turi įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę, ir įrodymai patikrinti siekiant nustatyti, ar jie yra tikri; arba, remiantis autoritetingu šaltiniu, žinoma, kad jie egzistuoja ir yra susiję su realiu asmeniu, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra tvirtinama tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad įrodymai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; arba |
Asmens tapatybė turi būti patikrinta pagal mutatis mutandis nurodytus Asmens tapatybės tikrinimo tvarkos reikalavimus. Asmens tapatybei patvirtinti turi būti patikrinta, ar asmuo pateikia savo asmens tapatybės dokumentą, pavyzdžiui, patikrinant asmens veido ir dokumente esančios nuotraukos atitikimą. Tai leidžia sumažinti riziką, kad asmens tapatybei patvirtinti bus pateiktas pavogtas ar kito asmens prarastas asmens tapatybės dokumentas.
|
2. asmens tapatybės dokumentas pateiktas per registracijos procesą jo išdavimo valstybėje narėje ir atrodo, kad dokumentas yra susijęs su jį pateikusiu asmeniu, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; |
||
3. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Europos Parlamento ir Tarybos reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga; arba |
Papildomų paaiškinimų nėra.
|
|
4. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų; jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga. |
Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką. Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę. |
|
Aukštas |
Turi būti laikomasi 1 arba 2 punkto reikalavimų: 1. Be pakankamo lygio elementų, turi būti atitinkama viena iš a–c punktuose nurodytų sąlygų: a) jeigu buvo patikrinta ir patvirtinta, kad asmuo turi fotografinių arba biometrinių atpažinties įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir tie įrodymai nurodo pareikštą tapatybę, tie įrodymai tikrinami siekiant nustatyti, ar jie galioja, remiantis autoritetingu šaltiniu, ir prašytojo tapatybė nustatoma kaip tvirtinama tapatybė, lyginant vieną ar kelias asmens fizines savybes su autoritetingu šaltiniu, arba |
Fizinių savybių palyginimas turi būti atliekamas patikimai, kad būtų užtikrintas aiškus pareiškėjo asmens tapatybės patvirtinimas, mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką.
|
b) jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam aukšto saugumo užtikrinimo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga, ir imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja; arba |
Asmens tapatybės duomenų galiojimas turi būti patikrintas ir prireikus šie duomenys turi būti atnaujinti, nes anksčiau patikrinti asmens tapatybės duomenys gali būti pasenę, pavyzdžiui, pasikeitus vardui, pavardei, adresui ar pan.
|
|
c) jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga, ir imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja. |
Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką. Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę. |
|
|
ARBA 2. Jeigu prašytojas nepateikia jokių pripažintų fotografinių ar biometrinių tapatybės atpažinties įrodymų, taikomos tos pačios procedūros, kurios nacionaliniu lygiu naudojamos įstaigos, atsakingos už registraciją, valstybėje narėje, siekiant gauti tokius pripažintus fotografinius arba biometrinius tapatybės nustatymo įrodymus. |
Asmens tapatybei nustatyti išduodant elektroninės atpažinties priemones gali būti mutatis mutandis taikomos Lietuvos Respublikos piliečio paso ar asmens tapatybės kortelės, kelionės dokumento ar kito asmens tapatybę patvirtinančio dokumento išdavimo procedūros (pavyzdžiui, nurodytos Asmens tapatybės kortelės ir paso išdavimo tvarkos apraše[3]).
|
2.1.3. Tapatybės įrodymas ir tikrinimas (juridinio asmens)
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
1. Juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais. |
Dokumentai, tinkami juridinio asmens tapatybei įrodyti, mutatis mutandis nurodyti Asmens tapatybės tikrinimo tvarkoje. |
2. Atrodo, kad įrodymai yra galiojantys, ir gali būti laikoma, kad jie yra tikri arba egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra savanoriškas ir reglamentuojamas juridinio asmens ir autoritetingo šaltinio susitarimu. |
Juridinio asmens tapatybės dokumentų tikrinimo metu turi būti nustatyta bent, kad: · visi juridinio asmens tapatybės dokumentuose pateikiami duomenys, reikalingi elektroninės atpažinties priemonei išduoti, yra įskaitomi ir sutampa su nurodytais pareiškėjo pateiktame prašyme; · juridinio asmens tapatybės dokumentai yra galiojantys; · juridinio asmens tapatybės dokumentai nėra suklastoti ar padirbti (galimo suklastojimo ar padirbimo požymiai yra, pavyzdžiui, dokumentuose neteisingai parašyti žodžiai, akivaizdžiai skirtingi įrašų šriftai, trūksta puslapių arba akivaizdus jų išdėstymo nenuoseklumas ir pan.).
Juridinio asmens tapatybės dokumentų originalų arba elektroniniu būdu perduotų kopijų tikrumas gali būti patikrintas, pavyzdžiui, tiesiogiai žmogaus arba su optoelektronikos įranga; elektroniniu būdu pateiktų juridinio asmens tapatybės dokumentų kopijos yra patvirtintos juos teikiančio juridinio asmens įgalioto atstovo kvalifikuotu elektroniniu parašu arba juridinio asmens kvalifikuotu elektroniniu spaudu ir pan. |
|
3. Autoritetingam šaltiniui nežinoma, ar juridinis asmuo yra būklėje, kuri neleistų jam veikti kaip tam juridiniam asmeniui. |
Papildomų paaiškinimų nėra.
|
|
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų: 1. juridinio asmens pareikšta tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir (jei taikoma) registracijos numeriu Ir įrodymai tikrinami siekiant nustatyti, ar jie tikri, arba žinoma, kad jie egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra reikalingas tam, kad juridinis asmuo galėtų veikti savo sektoriuje, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad juridinio asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; arba |
Juridinio asmens pareikštos tapatybės patvirtinimas turi būti mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką. Pareiškėjo juridinio asmens tapatybei įrodyti turi būti naudojami registro, kuriame kaupiami ir saugomi duomenys apie juridinį asmenį, įrašai.
|
2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga; Arba |
Papildomų paaiškinimų nėra.
|
|
3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų, jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga. |
Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką. Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę. |
|
Aukštas |
Be pakankamo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų: 1. juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir bent vienu nacionalinėje aplinkoje naudojamu unikaliu identifikatoriumi, susijusiu su juridiniu asmeniu, Ir įrodymai tikrinami siekiant nustatyti, ar jie yra tikri, remiantis autoritetingu šaltiniu; arba |
Turi būti užtikrintas aiškus pareiškėjo asmens tapatybės patvirtinimas, mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką.
|
2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo, nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam aukšto lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga, ir imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja; arba |
Asmens tapatybės duomenų galiojimas turi būti patikrintas ir prireikus šie duomenys turi būti atnaujinti, nes anksčiau patikrinti juridinio asmens tapatybės duomenys gali būti pasenę, pavyzdžiui, pasikeitus pavadinimui, adresui, juridinio asmens įgalioto atstovo vardui, pavardei, ar pan.
|
|
3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga, ir imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja. |
Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką. Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę. |
2.1.4. Fizinių ir juridinių asmenų elektroninės atpažinties priemonių susiejimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
Atitinkamais atvejais fizinio asmens elektroninės atpažinties priemonių ir juridinio asmens elektroninės atpažinties priemonių susiejimui (toliau – susiejimas) taikomos šios sąlygos:
1. Turi būti įmanoma sustabdyti ir (arba) atšaukti susiejimą. Susiejimo gyvavimo ciklas (pvz., aktyvavimas, sustabdymas, atnaujinimas, atšaukimas) tvarkomas laikantis nacionaliniu lygiu pripažintų procedūrų. 2. Fizinis asmuo, kurio elektroninės atpažinties priemonės yra susietos su juridinio asmens elektroninės atpažinties priemonėmis, pagal nacionaliniu lygiu pripažintas procedūras susiejimą gali įgalioti kitam fiziniam asmeniui. Vis dėlto atsakomybė išlieka įgaliojančiojo fizinio asmens. 3. Susiejimas atliekamas taip: |
Papildomų paaiškinimų nėra.
|
|
||
Žemas |
1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas žemu arba aukštesniu lygiu. |
Papildomų paaiškinimų nėra.
|
2. Susiejimas nustatytas remiantis nacionaliniu lygiu pripažintomis procedūromis. |
||
3. Autoritetingam šaltiniui nežinoma, kad fizinis asmuo yra būklėje, dėl kurios jis negalėtų veikti juridinio asmens vardu |
||
Pakankamas |
Žemo lygio 3 punkto, be to: 1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas pakankamu arba aukštu lygiu. |
|
2. Susiejimas nustatytas remiantis nacionaliniu lygiu pripažintomis procedūromis, kurį atlikus susiejimas įregistruotas autoritetingame šaltinyje. |
||
3. Susiejimas buvo patikrintas remiantis autoritetingo šaltinio informacija. |
||
Aukštas |
Žemo lygio 3 punkto ir pakankamo lygio 2 punkto, be to: 1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas aukštu lygiu. |
|
2. Susiejimas patikrintas remiantis nacionalinėje aplinkoje naudojamu unikaliu identifikatoriumi, susijusiu su juridiniu asmeniu, taip pat remiantis autoritetingo šaltinio informacija, kuria nurodomas konkretus fizinis asmuo. |
2.2. Elektroninės atpažinties priemonių valdymas
2.2.1. Elektroninės atpažinties priemonių savybės ir struktūra
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
1. Elektroninės atpažinties priemonėje naudojamas bent vienas tapatumo nustatymo veiksnys. |
Nustatant asmens tapatybę, tapatumo nustatymo veiksniai gali būti naudojami tiesiogiai, pavyzdžiui, siunčiant slaptažodį arba netiesiogiai atrakinant prieigos raktą (pavyzdžiui, rakto įrodymas). |
2. Elektroninės atpažinties priemonė sukurta taip, kad išdavėjas imtųsi pagrįstų veiksmų patikrinti, kad tik asmuo, kuriam ji priklauso, galėtų ją kontroliuoti arba turėti. |
Papildomų paaiškinimų nėra.
|
|
Pakankamas |
1. Elektroninės atpažinties priemonėje naudojami bent du skirtingų kategorijų tapatumo nustatymo veiksniai. |
Pavyzdžiui, turėjimu grindžiami tapatumo nustatymo veiksniai derinami su žiniomis grindžiamais tapatumo nustatymo veiksniais. Naudojant kelis skirtingų kategorijų vienas kitą papildančius tapatumo nustatymo veiksnius, gali padidėti bendras elektroninės atpažinties priemonių saugumas, kadangi skirtingų kategorijų tapatumo nustatymo veiksniams nekyla tos pačios grėsmės. Pavyzdžiui, slaptažodžiai įvedimo metu gali būti stebimi arba įrašomi; turėjimu grindžiami tapatumo nustatymo veiksniai gali būti pavogti arba pamesti; būdingieji tapatumo nustatymo veiksniai gali būti pažeidžiami klastotėmis (nuotraukų, lateksinių pirštų atspaudų ir kt.).
|
2. Elektroninės atpažinties priemonė sukurta taip, kad galima būtų laikyti, kad ją gali naudoti tik asmuo, kuriam ji priklauso, ir kuris ją kontroliuoja arba turi. |
Elektroninės atpažinties priemonė turi būti susieta su asmeniu, kuriam ji priklauso. Pasibaigus pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonės galiojimui, būtinas naujas asmens tapatybės patvirtinimas arba naujos elektroninės atpažinties priemonės išdavimas. |
|
Aukštas |
Pakankamo lygio, be to: 1. Elektroninės atpažinties priemonė apsaugo nuo kopijavimo ir klastojimo, taip pat nuo išpuolių vykdytojų su dideliu išpuolių vykdymo potencialu. |
Apsauga nuo kopijavimo ir klastojimo apima visą elektroninės atpažinties priemonę, o ne kiekvieną atskirą tapatumo nustatymo veiksnį. Pasibaigus aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonės galiojimui, būtinas naujas asmens tapatybės patvirtinimas arba naujos elektroninės atpažinties priemonės išdavimas. |
2. Elektroninės atpažinties priemonė sukurta taip, kad asmuo, kuriam ji priklauso, ją galėtų patikimai apsaugoti nuo kitų asmenų naudojimo. |
„Patikimai apsaugoti“ reiškia pastangas, kurių imtasi siekiant užkirsti kelią elektroninės atpažinties priemonių naudojimui be asmens žinios ir aktyvaus sutikimo. Pavyzdžiui, privatus raktas, esantis kriptografinio rakto prieigos rakte, neturėtų būti naudojamas be asmens, kuriam jis priklauso, aktyvaus sutikimo. Šis sutikimas gali būti išreikštas, pavyzdžiui, naudojant PIN kodą, susietą su prieigos raktu ir žinomą tik to asmens. |
2.2.2. Išdavimas, pristatymas ir aktyvavimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pasiekė tik tą asmenį, kuriam ji numatyta. |
Jei yra vienas, pavyzdžiui, žiniomis grindžiamas tapatumo nustatymo veiksnys (slaptažodis), kuris išduodamas internetu, aktyvavimo kodas gali būti išsiųstas paštu patikrintu adresu arba pareiškėjo mobiliuoju telefonu, pavyzdžiui, SMS žinute, patikrinus (perskambinant), ar telefono numeris tikrai priklauso tam asmeniui. Jei yra keli tapatumo nustatymo veiksniai, bent vienas veiksnys turi būti pateiktas aukščiau aprašytu būdu. |
Pakankamas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pristatyta tik tam asmeniui, kuriam ji priklauso. |
Pristatymo mechanizmas turi būti saugus ir grindžiamas aktyvavimo procesu, kai galima pagrįstai manyti, kad tik tas asmuo, kuriam priklauso išduota elektroninės atpažinties priemonė, turi reikiamos informacijos šiai priemonei aktyvuoti. Pavyzdžiui, žiniomis grindžiamas tapatumo nustatymo veiksnys, transport PIN kodas, pateikiamas atskirai nuo elektroninės atpažinties priemonės. Pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonėms gali būti naudojami keli tapatumo nustatymo veiksniai ir galimi keli išdavimo, pristatymo ir aktyvavimo deriniai. Kai turėjimu grindžiamas tapatumo nustatymo veiksnys yra materialus įtaisas, galimi šie pristatymo būdai: pristatymas asmeniškai ir pristatymas registruotu paštu. Tokio įtaiso pristatymo procesas galėtų būti, pavyzdžiui, toks: 1) kriptografinės priemonės, pavyzdžiui, FIDO U2F (Universal 2nd Factor (U2F) Protocol), OTP (One Time Password) pristatymas asmeniškai arba registruotu paštu; 2) paštu, el. paštu, SMS žinute siunčiamas pranešimas su nuoroda arba aktyvavimo kodu, kad būtų galima nustatyti įtaiso slaptažodį. Kai turėjimu grindžiamas tapatumo nustatymo veiksnys nėra materialus, pavyzdžiui, mobiliajame telefone įdiegta programėlė, būtina užtikrinti, kad pastaroji iš tikrųjų būtų įdiegta į įrenginį, priklausantį asmeniui, kuriam nustatoma tapatybė, ir būtų patvirtintas tarpusavio ryšys. |
Aukštas |
Aktyvavimo procesu patvirtinama, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso. |
Aukšto saugumo lygio aktyvavimo procesui reikia tam tikros vartotojo sąveikos, kad būtų ne tik įsitikinta, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso, tačiau yra aiškus asmens žingsnis, kuriuo jis prisiima atsakomybę už gautą priemonę. Tik po to priemonė gali būti naudojama tapatumo nustatymo tikslais. Siekiant užtikrinti aukštą saugumo užtikrinimo lygį, aktyvavimo procesu užtikrinama, kad tik teisėtas savininkas galėtų aktyvuoti elektroninės atpažinties priemonę, o aktyvavimo procesas būtų apsaugotas nuo atsitiktinio praradimo ir viešai neatskleistų grėsmių, pavyzdžiui, slapto susitarimo. Jeigu šiuos procesus atlieka fiziniai asmenys, elektroninės atpažinties priemonės registravimo ir išdavimo niekada negali atlikti vienas asmuo. Jei naudojami žiniomis grindžiami tapatumo nustatymo veiksniai, pavyzdžiui, aktyvavimo kodai, asmuo juos turi gauti per nustatytą laikotarpį. Jei naudojami turėjimu grindžiami tapatumo nustatymo veiksniai, pavyzdžiui, kriptografinė priemonė, kurios aktyvavimo kodą pasirenka jos turėtojas, elektroninės atpažinties priemonė pristatoma asmeniui fiziškai dalyvaujant tik po to, kai jo tapatybė patvirtinta pagal nustatytus reikalavimus. |
2.2.3. Sustabdymas, atšaukimas ir pakartotinis aktyvavimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
1. Elektroninės atpažinties priemonių galiojimą galima laiku ir veiksmingai sustabdyti ir (arba) jas atšaukti. |
Informacija, kad elektroninės atpažinties priemonių galiojimą galima laiku ir veiksmingai sustabdyti ir (arba) jas atšaukti, prieinama šių priemonių turėtojams, pavyzdžiui, telefonu, el. paštu, interneto svetainėje ir kt. Sustabdymo ir (arba) atšaukimo valdymas prieinamas visą parą. |
2. Imtasi priemonių siekiant užkirsti kelią neteisėtam galiojimo sustabdymui, atšaukimui ir (arba) pakartotinam aktyvavimui. |
Turi būti įsitikinta, kad dėl priemonės galiojimo sustabdymo, atšaukimo ir (arba) pakartotino aktyvavimo kreipiasi asmuo, kurio prašymu išduota elektroninės atpažinties priemonė. Priemonės galiojimo sustabdymas ir (arba) atšaukimas galimas ir kitais, įstatymų numatytais, atvejais, pavyzdžiui, teisėsaugos institucijų motyvuotu reikalavimu, siekiant užkirsti kelią nusikalstamoms veikoms. |
|
3. Pakartotinis aktyvavimas galimas tik jeigu toliau atitinkami tie patys iki galiojimo sustabdymo arba atšaukimo nustatyti patikimumo užtikrinimo reikalavimai. |
Pakartotinis aktyvavimas galimas tik atlikus tapatybės patvirtinimo procedūras mutatis mutandis pagal Asmens tapatybės tikrinimo tvarkos reikalavimus. |
2.2.4. Atnaujinimas ir pakeitimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas ir pakankamas |
Atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, atnaujinimui arba pakeitimui turi būti keliami tokie patys saugumo užtikrinimo reikalavimai kaip pradiniam tapatybės įrodymo nustatymui ir tikrinimui, arba atnaujinimas ar pakeitimas turi būti pagrįstas tokio paties arba aukštesnio patikimumo lygio galiojančiomis elektroninės atpažinties priemonėmis. |
Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką. Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę. |
Aukštas |
Žemo ir pakankamo lygio, be to: kai atnaujinimas ar pakeitimas pagrįstas galiojančiomis elektroninės atpažinties priemonėmis, tapatybės duomenys tikrinami su autoritetingu šaltiniu. |
Papildomų paaiškinimų nėra.
|
2.3. Tapatumo nustatymas
2.3.1. Tapatumo nustatymo mechanizmas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
Šiame skirsnyje daugiausia dėmesio skiriama grėsmėms, susijusioms su tapatumo nustatymo mechanizmu, ir išvardijami kiekvieno saugumo užtikrinimo lygio reikalavimai. Šiame skirsnyje laikoma, kad kontrolės priemonės atitinka tam tikro lygio riziką. |
Papildomų paaiškinimų nėra.
|
Šioje lentelėje pateikti tapatumo nustatymo mechanizmo, pagal kurį fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų savo tapatybę pasikliaujančiajai šaliai, kiekvieno saugumo užtikrinimo lygio reikalavimai. |
Papildomų paaiškinimų nėra. |
|
Žemas |
1. Prieš pateikiant asmens tapatybės duomenis patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas. |
Asmens tapatybės informacija perduodama pasikliaujančiajai šaliai laikantis 2015 m. rugsėjo 8 d. Europos Komisijos įgyvendinimo reglamento (ES) 2015/1501 dėl sąveikumo sistemos pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 12 straipsnio 8 dalį priede pateiktų reikalavimų dėl minimalaus asmens tapatybės duomenų rinkinio. |
2. Jeigu pagal tapatumo nustatymo mechanizmą turi būti saugomi asmens tapatybės duomenys, ta informacija apsaugoma, siekiant ją apsaugoti nuo praradimo ir pažeidimo, įskaitant analizavimą neprisijungus prie interneto. |
Saugomiems asmens duomenims taikoma griežta prieigos kontrolė (tinklo saugumo, fizinio patekimo į patalpas ir prieiga prie sistemos komponentų). Asmens tapatybės duomenims apsaugoti turi būti naudojamos priemonės, pavyzdžiui, šifravimo ir maišos funkcijos ir pan. |
|
3. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su baziniu sustiprintu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
Visi būtini elektroninės atpažinties priemonių patikros etapai, susiję su nurodyta rizika, turi būti aiškiai aprašyti, įgyvendinti ir išbandyti. |
|
Pakankamas |
Žemo lygio, be to: 1. prieš pateikiant asmens tapatybės duomenis, vykdant dinaminį tapatumo nustatymą patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas. |
Siekiant užtikrinti nenuspėjamumą ir saugumą, tapatumo nustatymo veiksnys turi apimti vienkartinį kodą arba vienkartinį klausimą ir atsakymą (angl. one-time challenge-response). Vienkartinis kodas arba klausimas turi būti generuojami taip, kad nebūtų galimybės jų suklastoti. Naudojant atsitiktinius skaičius klausimui ir atsakymui, būtina užtikrinti šių skaičių kokybę, pavyzdžiui, vadovautis gerąja kriptografiškai saugių pseudoatsitiktinių skaičių generatorių praktika. Draudžiama naudoti paprastą pranešimą, perduodamą be šifravimo (OTP SMS). |
2. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su vidutiniu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
Serverio palaikoma tapatumo nustatymo mechanizmo dalis, palaikanti ryšį su elektroninės atpažinties priemonėmis, turi būti įgyvendinama naudojant kriptografinį modulį. Turi būti aprašytas techninių ir organizacinių priemonių, pavyzdžiui, tinklo saugumo, prieigos prie serverių kontrolės ir kt. rizikos mažinimo priemonių įgyvendinimas. |
|
Aukštas |
Pakankamo lygio, be to: tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su dideliu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
Jei tapatumo nustatymo mechanizmui apsaugoti naudojama kriptografija, reikia pasirinkti tvirtus kriptografinius protokolus ir atitinkamus raktų ilgius. |
2.4. Valdymas ir organizavimas
2.4.1. Bendrosios nuostatos
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
Visi dalyviai, teikiantys paslaugą, susijusią su tarpvalstybinio lygmens elektronine atpažintimi (toliau – teikėjai), turi būti nustatę dokumentais patvirtintą informacijos saugumo valdymo praktiką, politikos priemones, rizikos valdymo metodus ir kitas pripažintas kontrolės priemones, kad atitinkamų valstybių narių elektroninės atpažinties schemų valdymo organams galėtų garantuoti, jog įdiegta veiksminga praktika. 2.4 skirsnyje laikoma, kad visi reikalavimai / elementai atitinka tam tikro lygio riziką. 1. Paslaugų teikėjai, teikiantys bet kokią paslaugą, kuriai taikomas šis reglamentas, yra valdžios institucija ar juridinis subjektas, tokiu pripažįstamas pagal valstybės narės nacionalinę teisę; jie turi nustatytą struktūrą ir visapusiškai veikia visose su paslaugų teikimu susijusiose srityse. |
Papildomų paaiškinimų nėra.
|
2. Paslaugų teikėjai laikosi visų jiems tenkančių teisinių reikalavimų, susijusių su paslaugos valdymu ir teikimu, įskaitant reikalavimus, susijusius su informacija, kurios gali būti prašoma, tapatybės įrodymo nustatymu, su tuo, kokia informacija gali būti saugoma ir kiek laiko. |
||
3. Paslaugų teikėjai gali įrodyti savo gebėjimą prisiimti atsakomybės už žalą riziką, taip pat turėt pakankamų finansinių išteklių tęsti veiklą ir teikti paslaugas. |
||
4. Paslaugų teikėjai yra atsakingi už bet kokių kitam subjektui perduotų savo įsipareigojimų vykdymą ir turi laikytis schemos politikos nuostatų taip, tarsi tas pareigas būtų įvykdę patys paslaugų teikėjai. |
Bet kuris kitas subjektas (subrangovas) turi turėti galimybę atlikti savo organizacijos auditą tokiomis pačiomis sąlygomis kaip ir elektroninės atpažinties priemonių teikėjas, kuris turi būti informuotas apie šio audito rezultatus. |
|
5. Elektroninės atpažinties schemose, kurios nesukurtos pagal nacionalinę teisę, turi būti numatytas veiksmingas nutraukimo planas. Tokiame plane turi būti numatyta, kokia tvarka nutraukti paslaugą arba jos tęsimą paskirti kitam paslaugų teikėjui, kaip atitinkamos valdžios institucijos ir galutiniai naudotojai turi būti informuojami ir kaip pagal schemos politiką įrašai turi būti saugomi, laikomi ir sunaikinami. |
Papildomų paaiškinimų nėra.
|
2.4.2. Paskelbti pranešimai ir informacija naudotojams
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
1. Paskelbta paslaugos apibrėžtis, kurioje pateikti visi taikomi terminai, sąlygos ir mokesčiai, įskaitant bet kokius naudojimosi ja apribojimus. Paslaugos apibrėžtyje turi būti nustatytos privatumo taisyklės. |
Paslaugos apibrėžtis skelbiama Nacionalinės elektroninės atpažinties informacinės sistemos tvarkytojo tvirtinamoje Elektroninės atpažinties priemonės saugumo užtikrinimo lygio, tinkamo elektroninėms paslaugoms teikti, vertinimo metodikoje. |
2. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros siekiant užtikrinti, kad paslaugos naudotojams būtų laiku ir patikimu būdu pranešta apie bet kokius paslaugos apibrėžties ir taikomų terminų, sąlygų ir privatumo taisyklių pasikeitimus. |
Šiuo atveju pranešimas reiškia ne tik tai, kad informacija visada turėtų būti pateikta naudotojui. Pagal šį reikalavimą, pranešimas apie bet kokius pakeitimus, atsižvelgiant į pakeitimo turinį, turi būti paskelbtas paslaugų teikėjo interneto svetainėje, taip pat rekomenduojama išsiųsti naudotojams pranešimą, kad jie galėtų laiku susipažinti su šia nauja informacija nedelsdami, ne vėliau kaip per 3 darbo dienas nuo šių pakeitimų dienos. |
|
3. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros, pagal kurias būtų visapusiškai ir deramai atsakoma į prašymus pateikti informacijos. |
Pagal BDAR 15 straipsnį, naudotojas turi turėti teisę susipažinti su jo asmens duomenimis. Šios procedūros turi būti aprašytos paslaugos teikėjo veiklos dokumentuose ir prieinamos paslaugos naudotojui. |
2.4.3. Informacijos saugumo valdymas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
Veikia veiksminga informacijos saugumo valdymo sistema, skirta informacijos saugumo rizikai valdyti ir kontroliuoti. |
Papildomų paaiškinimų nėra. |
Pakankamas ir aukštas |
Žemo lygio, be to: informacijos saugumo valdymo sistemoje laikomasi pasiteisinusių standartų arba principų, skirtų informacijos saugumo rizikai valdyti ir kontroliuoti. |
Jei nėra įdiegta informacijos saugumo vadybos sistema pagal ISO 27001 standartą, būtina įrodyti, kad informacijos saugumo valdymo sistema atitinka šį standartą ar principus, užtikrinančius panašų saugumo lygį. |
2.4.4. Įrašų saugojimas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
1.Registruoti ir išlaikyti atitinkamą informaciją naudojant veiksmingą įrašų valdymo sistemą, atsižvelgiant į taikomus teisės aktus ir gerąją praktiką, susijusius su duomenų apsauga ir saugojimu. |
Turi būti užtikrintas saugomų įrašų vientisumas ir konfidencialumas visą jų gyvavimo laikotarpį. Įvykiai informacijos valdymo sistemoje turi būti registruojami elektroniniu būdu. Registravimas turi būti automatinis, nuo sistemos veikimo pradžios iki pabaigos, be pertraukų. Turi būti fiksuojami bent šie įvykiai: - naudotojų paskyrų (prieigos teisių) ir atitinkamų tapatumo nustatymo duomenų (slaptažodžių, sertifikatų ir kt.) kūrimas, keitimas ir ištrynimas; - IT sistemų ir taikomųjų programų paleidimas ir sustabdymas; - žurnalo įrašai: log funkcijos paleidimas ir nutraukimas, log parametrų keitimas, veiksmai, kurių buvo imtasi po log funkcijos gedimo; - registruotų naudotojų prisijungimas / atsijungimas ir nesėkmingi šių veiksmų bandymai. Kiti su saugumu susiję veiksmai, kurių IT sistemos automatiškai neatlieka, turi būti registruojami elektroninėmis priemonėmis arba rankiniu būdu. Tai būtų: - fizinės prieigos; - sistemų konfigūracijos keitimo ir techninės priežiūros veiksmai; - personalo keitimas; - šaltinių, kuriuose yra konfidencialios informacijos (raktai, aktyvavimo duomenys, asmeninė informacija apie naudotojus ir kt.), sunaikinimo ir atkūrimo veiksmai; - prašymas (pradinis ir atnaujintas) dėl elektroninės atpažinties priemonės priėmimo; - prašymas dėl elektroninės atpažinties priemonės patvirtinimo arba atmetimo; - įvykiai, susiję su neskelbtinos kriptografinės medžiagos ir raktų valdymu (generacija (raktų ceremonija), atsarginių kopijų kūrimas ir (arba) atkūrimas, atšaukimas, atnaujinimas, sunaikinimas ir kt.); - esant poreikiui, naudotojo privačiųjų elementų (raktų porų, aktyvavimo kodų ir kt.) arba viešųjų elementų (sertifikatų ir kt.) generavimas; - elektroninės atpažinties priemonių perdavimas naudotojams ir aiškus naudotojų sutikimas arba atsisakymas; - esant poreikiui, elektroninės atpažinties priemonių išdavimas naudotojui; - už elektroninės atpažinties schemą atsakingos įstaigos dokumentų (naudojimo sąlygų ar kt.) paskelbimas ir atnaujinimas; - prašymas atšaukti elektroninės atpažinties priemonės priėmimą; - prašymas atšaukti elektroninės atpažinties priemonės patvirtinimą arba atmetimą; - jei elektroninės atpažinties priemonėms naudojami sertifikatai, BEL (ir deltaCRL) arba OCSP užklausų ir (arba) atsakymų generavimas ir skelbimas. Registravimas turi būti suprojektuotas ir įgyvendinamas taip, kad būtų sumažinta rizika, pavyzdžiui, įvykių žurnalų keitimas ar sunaikinimas. Vientisumo kontrolės mechanizmas turi užtikrinti, kad bus aptiktas bet koks savanoriškas ar atsitiktinis šių įrašų pakeitimas. Įvykių žurnalai turi būti apsaugoti nuo praradimo ir dalinio ar visiško sunaikinimo (savanoriškai ar atsitiktinai).
Žurnalų apsaugai galima naudoti elektronines laiko žymas. Sistemų laikrodžiai sinchronizuojami mažiausiai iki minutės, o pagal patikimą UTC laiko šaltinį – iki sekundės. Sistema turi daryti tikslius įrašus. Laikrodžius sinchronizuojant su UTC laiku, rekomenduojama remtis bent dviem nepriklausomais laiko šaltiniais. Atsižvelgiant į informacijos pobūdį, turi būti užtikrintas įvykių žurnalų konfidencialumas. Įvykių žurnalai turi būti analizuojami kasdien, kas savaitę daromos visų įvykių žurnalų suvestinės, turi būti įdiegtas pranešimų apie perspėjimus mechanizmas. Be įvykių žurnalų įrašų, informacijos valdymo sistemoje turi būti bent šie elementai: - elektroninės atpažinties priemonės išdavimo politika ir procedūros; - IT įrangos programinė įranga (vykdomieji failai) ir konfigūracijos rinkmenos; - elektroninės atpažinties priemonės naudojimo sąlygos; - elektroninės atpažinties paslaugos teikėjo sutartys su kitais subjektais; - išduoti arba paskelbti sertifikatai, CLR arba OCSP atsakymai; - elektroninės atpažinties sertifikatų sertifikavimo politika; - informaciniai išrašai arba pranešimai; - naudotojų tapatybę patvirtinantys dokumentai arba kiti tapatybės įrodymai.
Informacijos valdymo sistema turi atitikti BDAR ir kitus asmens duomenų apsaugos reikalavimus: - neapdoroti biometriniai duomenys (pavyzdžiui, nuotrauka, pirštų atspaudai) neregistruojami, išskyrus atvejus, kai šių duomenų kilmę kontroliuoja tik asmuo (pavyzdžiui, naudojamas užšifruotas kontrolės mechanizmas); - gali būti įrašomi tik tie biometriniai duomenys, pagal kuriuos neįmanoma nustatyti asmens tapatybės; - visa asmens tapatybės dokumento kopija neregistruojama, o kaip nebiometrinių duomenų įrodymas įrašomas, pavyzdžiui, dokumento numeris, jo galiojimas ir kt.); - siekiant atlikti nustatytos asmens tapatybės ex post priežiūrą, neapdoroti biometriniai duomenys, susiję su šiuo tapatybės patikrinimu, gali būti registruojami tiek laiko, kiek reikia šiai priežiūrai atlikti, tačiau ne ilgiau kaip 72 valandas.
Jei nėra įdiegta informacijos saugumo vadybos sistema pagal ISO 27001 standartą, būtina įrodyti, kad įrašų valdymo sistema atitinka šį standartą ar principus, susijusius su duomenų apsauga ir saugojimu, užtikrinančius panašų saugumo lygį. |
2. Laikyti informaciją, kiek tai leidžiama pagal nacionalinę teisę arba kitą nacionalinę administracinę tvarką, ir apsaugoti bei išsaugoti duomenis tiek, kiek būtina siekiant atlikti auditą ir saugumo pažeidimų tyrimus; po to duomenys turi būti saugiai sunaikinti. |
Įrašai saugomi paslaugos teikėjo veiklos nutraukimo plane numatytą laikotarpį, laikantis procedūrų ir priemonių, leidžiančių nustatytą laikotarpį naudotis įrašais, visų pirma, siekiant pateikti įrodymus teismo procese, įvertinti atitiktį BDAR reikalavimams. Turi būti aiškiai identifikuoti laikotarpis ir visi įrašai, kuriais tą laikotarpį turi būti sudaroma galimybė jais naudotis, nurodyti jų saugojimo formos ir būdai, kurie turi užtikrinti šių įrašų išsaugojimą ateityje ir jų įskaitomumą. Kai įrašai nebereikalingi, jie turi būti tinkamai sunaikinti. Tai taikoma visoms įrašų saugojimo laikmenoms, elektroninėms ir spausdintoms. |
2.4.5. Įrenginiai ir darbuotojai
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas, pakankamas ir aukštas |
Šioje lentelėje pateikiami reikalavimai įrenginiams, darbuotojams ir (jei taikytina) subrangovams, kurie vykdo pareigas pagal šį reglamentą. Atitiktis kiekvienam reikalavimui turi būti proporcinga rizikos laipsniui, susijusiam su nustatytu saugumo užtikrinimo lygiu |
Papildomų paaiškinimų nėra. |
1. Įdiegtos procedūros, kuriomis užtikrinama, kad darbuotojai ir subrangovai būtų pakankamai išmokyti, būtų kvalifikuoti ir turėtų patirties, reikalingos vykdant atitinkamas funkcijas. |
Tais atvejais, kai darbuotojams trūksta įgūdžių, turi būti parengta mokymo programa, kuri užtikrintų, kad darbuotojai įgytų ir išlaikytų reikiamus įgūdžius.
|
|
2. Yra pakankamai darbuotojų ir subrangovų, galinčių tinkamai vykdyti paslaugą ir suteikti išteklių pagal jos politiką ir procedūras. |
Papildomų paaiškinimų nėra. |
|
3. Įrenginiai, naudojami teikiant paslaugą, yra nuolat stebimi ir apsaugo nuo aplinkos įvykių daromos žalos, neleistinos prieigos ir kitų veiksnių, kurie gali paveikti paslaugos saugumą. |
Paslaugos, kurioms ypač svarbus saugumas (pavyzdžiui, priemonės atšaukimas), turėtų būti atsparios gedimams ir pertrūkiams. Paslauga turėtų būti apsaugota nuo gedimų ir gamtos reiškinių, tokių kaip gaisras, potvynis, audros, žemės drebėjimai ir kt. Pavyzdžiui, siekiant užtikrinti veiklos tęstinumą arba atkūrimą nelaimės atveju, gali prireikti pagal veiklos tęstinumo planą įrengti antrinę vietą, esančią pakankamu atstumu nuo pagrindinės vietos. Įrenginių fiziniam saugumui užtikrinti naudojami tinkami užraktai, prieigos kontrolės mechanizmas ir fizinė stebėsena (pvz., uždaros grandinės technologija, angl. CCTV). Gali būti įdiegtas automatizuotas prieigos stebėjimo procesas, skirtas įspėti paslaugos teikėjui neteisėtos prieigos ir kitų neleistinų įvykių atveju. |
|
4. Įrenginiai, naudojami teikiant paslaugą, užtikrina, kad patekti į zonas, kuriose laikoma arba tvarkoma asmens, kriptografinė ar kita neskelbtina informacija, galėtų tik įgalioti darbuotojai ar subrangovai. |
Papildomų paaiškinimų nėra. |
2.4.6. Techninė kontrolė
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
1. Veikia proporcingos techninės kontrolės priemonės, skirtos paslaugų saugumui kylančiai rizikai valdyti ir tvarkomos informacijos konfidencialumui, vientisumui ir prieinamumui apsaugoti. |
Konfidencialumo ir vientisumo apsaugos reikalavimai vertinami atskirai. Nors vientisumo (arba autentiškumo) apsauga iš esmės priklauso nuo saugumo užtikrinimo lygio, vertinant su asmeniu susijusių duomenų konfidencialumą, turi būti atsižvelgiama į duomenų rūšį ir duomenų apsaugos reikalavimus. Turi būti apsaugotas asmens duomenų konfidencialumas, kontrolė turi būti pagrįsta įvertinimu, taikant rizika pagrįstą metodą pagal pasirinktą informacijos saugumo valdymo sistemą. Tai turėtų apimti apsaugą nuo įsilaužimo, piktnaudžiavimo, netinkamo naudojimo, paslaugų atsisakymo (DoS) ir paskirstytų paslaugų atsisakymo (DDoS) atakų. |
2.Elektroninių ryšių kanalai, naudojami keistis asmens arba neskelbtina informacija, yra apsaugoti nuo pasiklausymo, keitimo ir pakartotino išklausymo. |
Elektroninių ryšių kanalai turi būti užšifruoti ir pasirašyti naudojant kriptografinį mechanizmą, kad būtų apsaugoti nuo pasiklausymo ir manipuliavimo, taip pat įdiegti apsaugos nuo pakartojimo mechanizmai (pavyzdžiui, keitimasis asmens duomenimis neįtraukiamas į protokolą). |
|
3.Prieiga prie neskelbtinos kriptografinės medžiagos, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, suteikiama tik toms funkcijoms ir taikomosioms programoms, kurioms prieiga yra būtina. Turi būti užtikrinta, kad tokia medžiaga niekada nebūtų nuolat saugoma paprasto teksto pavidalu. |
Prieiga turi būti suteikiama tik fiziniams asmenims, turintiems leidimą patekti į pastatą, ir turi būti užtikrintas įvykių atsekamumas. Ne darbo valandomis saugumas turi būti sustiprintas fizinio ar loginio įsibrovimo aptikimo priemonėmis. Siekiant užtikrinti sistemų prieinamumo saugumą, prieiga prie prietaisų turi būti suteikiama tik fiziniams asmenims, įgaliotiems atlikti operacijas, kurioms reikalinga fizinė prieiga. Tam pačiam fiziniam asmeniui gali būti priskirti įvairūs vaidmenys, jei tai nekelia pavojaus įgyvendinamų funkcijų saugumui, tačiau, siekiant užtikrinti vaidmenų patikimumą, rekomenduojama, kad vienas asmuo neturėtų atlikti įvairių vaidmenų. Apie kiekvieno vaidmens priskyrimą asmeniui turi būti pranešta raštu, šis vaidmuo turi būti aiškiai įvardintas ir aprašytas pareigybės aprašyme. |
|
4. Veikia procedūros, kuriomis užtikrinama, kad saugumas būtų nuolat išlaikytas ir kad būtų sugebama reaguoti į rizikos lygių pokyčius, incidentus ir saugumo pažeidimus. |
Vadovaujamasi Tarnybos tvirtinamu Pranešimų apie patikimumo užtikrinimo paslaugų ir prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašu. |
|
5. Visos laikmenos, kuriose laikoma asmens, kriptografinė ar kita neskelbtina informacija, saugomos, transportuojamos ir šalinamos saugiai ir patikimai. |
Papildomų paaiškinimų nėra. |
|
Pakankamas ir aukštas |
Tokie patys, kaip žemo lygio, be to: neskelbtina kriptografinė medžiaga, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, yra apsaugota nuo klastojimo. |
Neskelbtina kriptografinė medžiaga – tai pagrindinė medžiaga, naudojama elektroninės atpažinties priemonėms išduoti ir naudotojų tapatybei nustatyti. Apsaugos nuo klastojimo mechanizmai skirti kovoti su bet kokiais bandymais atskleisti kriptografinio rakto medžiagą, ja manipuliuoti ar piktnaudžiauti. Tai pasiekiama įdiegus tiek fizines, tiek logines šių raktų apsaugos kontrolės priemones. Ši kriptografinė medžiaga turi užtikrinti įgyvendinamų saugumo mechanizmų skaidrumą ir atitikti aukščiausius kokybės ir saugumo standartus. Produktai turi būti gaunami iš patikimo pardavėjo ir užsakomi taip, kad būtų užtikrinta jų saugojimo grandinė. |
2.4.7. Atitiktis ir auditas
Saugumo užtikrinimo lygis |
Būtini elementai |
Paaiškinimas |
Žemas |
Periodiškai vykdomas vidaus auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
Atliekant auditą, atsižvelgiama į su IS ir (arba) jos dalimis susijusios rizikos lygį. Atliktas auditas leidžia daryti prielaidą dėl atitikties šio saugumo užtikrinimo lygio reikalavimams. Jei elektroninės atpažinties priemonės grindžiamos elektroniniais sertifikatais, rekomenduojama, kad atliekant auditą būtų atsižvelgiama į standarto EN 319 411–1 „Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements“ reikalavimus. |
Pakankamas |
Periodiškai vykdomas nepriklausomas vidaus arba išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
Taikomi žemo saugumo užtikrinimo lygio reikalavimų paaiškinimai. Auditas turi apimti IS architektūros auditą, IS konfigūracijos auditą, programų kodo auditą, įsilaužimo testus ir bendrą organizacijos auditą. |
Aukštas |
1.Periodiškai vykdomas nepriklausomas išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
Taikomi žemo ir pakankamo saugumo užtikrinimo lygio reikalavimų paaiškinimai.
|
2. Tais atvejais, kai schemą tiesiogiai valdo valdžios institucija, ji tikrinama pagal nacionalinę teisę. |
[1] 2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių.
[2]2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1501 dėl sąveikumo sistemos pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 12 straipsnio 8 dalį.
[3]Patvirtintame Lietuvos Respublikos vidaus reikalų ministro ir Lietuvos Respublikos užsienio reikalų ministro 2015 m. kovo 19 d. įsakymu Nr. 1V-200/V-62 „Dėl Asmens tapatybės kortelės ir paso išdavimo tvarkos aprašo patvirtinimo“.