Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

1. Užtikrinti, kad prašytojas būtų susipažinęs su elektroninės atpažinties priemonių naudojimo sąlygomis.

Prašymą elektroninės atpažinties priemonei gauti pateikęs asmuo (toliau –pareiškėjas) turi aktyviu veiksmu patvirtinti, kad susipažino ir sutinka su elektroninės atpažinties priemonių naudojimo sąlygomis.

2. Užtikrinti, kad prašytojas būtų susipažinęs su rekomenduojamomis saugumo priemonėmis, susijusiomis su elektroninės atpažinties priemonėmis.

Pareiškėjas turi aktyviu veiksmu patvirtinti, kad susipažino su rekomenduojamomis saugumo priemonėmis, susijusiomis su elektroninės atpažinties priemonėmis.

3. Rinkti reikiamus tapatybės duomenis, reikalingus tapatybei įrodyti ir patikrinti.

Turi būti surinkti bent šie duomenys asmens tapatybei nustatyti: vardas, pavardė, asmens kodas, jei reikia, gimimo vieta, biometriniai duomenys.

Pareiškėjas turi būti informuotas apie surinktų asmens duomenų tvarkymą pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 13 ir 14 straipsnius.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

1. Gali būti laikoma, kad asmuo turi įrodymų, kuriuos yra pripažinusi valstybė narė, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę.

Dokumentai, tinkami asmens tapatybei įrodyti, mutatis mutandis nurodyti Asmens tapatybės tikrinimo tvarkoje.

2. Gali būti laikoma, kad įrodymas yra tikras arba egzistuoja remiantis autoritetingu šaltiniu, ir atrodo, kad įrodymas yra galiojantis.

Asmens tapatybės dokumentų tikrinimo metu turi būti nustatyta bent, kad:

·   visi asmens tapatybės dokumente pateikiami duomenys, reikalingi elektroninės atpažinties priemonei išduoti, yra įskaitomi ir sutampa su nurodytaisiais pareiškėjo pateiktame prašyme;

·   asmens tapatybės dokumentas yra galiojantis;

·   asmens tapatybės dokumentas nėra suklastotas ar padirbtas (galimo suklastojimo ar padirbimo požymiai yra, pavyzdžiui, dokumente neteisingai parašyti žodžiai, akivaizdžiai skirtingi įrašų šriftai, trūksta puslapių arba akivaizdus jų išdėstymo nenuoseklumas, nėra nuotraukos arba ji pakeista ir pan.).

Asmens tapatybės dokumento originalo arba elektroniniu būdu perduotos kopijos tikrumas gali būti patikrintas, pavyzdžiui, tiesiogiai žmogaus arba su optoelektronikos įranga; elektroniniu būdu pateikto asmens tapatybės dokumento kopija yra patvirtinta jį teikiančio asmens kvalifikuotu elektroniniu parašu ir pan.

3. Autoritetingas šaltinis žino, kad nurodyta tapatybė egzistuoja ir galima daryti prielaidą, kad asmuo, pretenduojantis į tapatybę yra vienas ir tas pats.

Papildomų paaiškinimų nėra.

Pakankamas

Be žemo lygio elementų, turi būti atitinkama viena iš 1–4 punktuose nurodytų sąlygų:

1. buvo patikrinta ir patvirtinta, kad asmuo turi įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę,

ir

įrodymai patikrinti siekiant nustatyti, ar jie yra tikri; arba, remiantis autoritetingu šaltiniu, žinoma, kad jie egzistuoja ir yra susiję su realiu asmeniu,

ir

buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra tvirtinama tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad įrodymai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo;

arba

Asmens tapatybė turi būti patikrinta pagal mutatis mutandis nurodytus Asmens tapatybės tikrinimo tvarkos reikalavimus.

Asmens tapatybei patvirtinti turi būti patikrinta, ar asmuo pateikia savo asmens tapatybės dokumentą, pavyzdžiui, patikrinant asmens veido ir dokumente esančios nuotraukos atitikimą. Tai leidžia sumažinti riziką, kad asmens tapatybei patvirtinti bus pateiktas pavogtas ar kito asmens prarastas asmens tapatybės dokumentas.

2. asmens tapatybės dokumentas pateiktas per registracijos procesą jo išdavimo valstybėje narėje ir atrodo, kad dokumentas yra susijęs su jį pateikusiu asmeniu,

ir

buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo;

3. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Europos Parlamento ir Tarybos reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga;

arba

Papildomų paaiškinimų nėra.

4. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų; jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga.

Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką.

Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę.

Aukštas

Turi būti laikomasi 1 arba 2 punkto reikalavimų:

1. Be pakankamo lygio elementų, turi būti atitinkama viena iš a–c punktuose nurodytų sąlygų:

a) jeigu buvo patikrinta ir patvirtinta, kad asmuo turi fotografinių arba biometrinių atpažinties įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir tie įrodymai nurodo pareikštą tapatybę, tie įrodymai tikrinami siekiant nustatyti, ar jie galioja, remiantis autoritetingu šaltiniu,

ir

prašytojo tapatybė nustatoma kaip tvirtinama tapatybė, lyginant vieną ar kelias asmens fizines savybes su autoritetingu šaltiniu,

arba

Fizinių savybių palyginimas turi būti atliekamas patikimai, kad būtų užtikrintas aiškus pareiškėjo asmens tapatybės patvirtinimas, mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką.

b) jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam aukšto saugumo užtikrinimo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga,

ir

imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja;

arba

Asmens tapatybės duomenų galiojimas turi būti patikrintas ir prireikus šie duomenys turi būti atnaujinti, nes anksčiau patikrinti asmens tapatybės duomenys gali būti pasenę, pavyzdžiui, pasikeitus vardui, pavardei, adresui ar pan.

c) jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir

atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio

13 dalyje, arba lygiavertė įstaiga,

ir

imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias

pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja.

Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką.

Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę.

ARBA

2. Jeigu prašytojas nepateikia jokių pripažintų fotografinių ar biometrinių tapatybės atpažinties įrodymų, taikomos tos pačios procedūros, kurios nacionaliniu lygiu naudojamos įstaigos, atsakingos už registraciją, valstybėje narėje, siekiant gauti tokius pripažintus fotografinius arba biometrinius tapatybės nustatymo įrodymus.

Asmens tapatybei nustatyti išduodant elektroninės atpažinties priemones gali būti mutatis mutandis taikomos Lietuvos Respublikos piliečio paso ar asmens tapatybės kortelės, kelionės dokumento ar kito asmens tapatybę patvirtinančio dokumento išdavimo procedūros (pavyzdžiui, nurodytos Asmens tapatybės kortelės ir paso išdavimo tvarkos apraše^[3]).

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

1. Juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais.

Dokumentai, tinkami juridinio asmens tapatybei įrodyti, mutatis mutandis nurodyti Asmens tapatybės tikrinimo tvarkoje.

2. Atrodo, kad įrodymai yra galiojantys, ir gali būti laikoma, kad jie yra tikri arba egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra savanoriškas ir reglamentuojamas juridinio asmens ir autoritetingo šaltinio susitarimu.

Juridinio asmens tapatybės dokumentų tikrinimo metu turi būti nustatyta bent, kad:

·   visi juridinio asmens tapatybės dokumentuose pateikiami duomenys, reikalingi elektroninės atpažinties priemonei išduoti, yra įskaitomi ir sutampa su nurodytais pareiškėjo pateiktame prašyme;

·   juridinio asmens tapatybės dokumentai yra galiojantys;

·   juridinio asmens tapatybės dokumentai nėra suklastoti ar padirbti (galimo suklastojimo ar padirbimo požymiai yra, pavyzdžiui, dokumentuose neteisingai parašyti žodžiai, akivaizdžiai skirtingi įrašų šriftai, trūksta puslapių arba akivaizdus jų išdėstymo nenuoseklumas ir pan.).

Juridinio asmens tapatybės dokumentų originalų arba elektroniniu būdu perduotų kopijų tikrumas gali būti patikrintas, pavyzdžiui, tiesiogiai žmogaus arba su optoelektronikos įranga; elektroniniu būdu pateiktų juridinio asmens tapatybės dokumentų kopijos yra patvirtintos juos  teikiančio juridinio asmens įgalioto atstovo kvalifikuotu elektroniniu parašu arba juridinio asmens kvalifikuotu elektroniniu spaudu ir pan.

3. Autoritetingam šaltiniui nežinoma, ar juridinis asmuo yra būklėje, kuri neleistų jam veikti kaip tam juridiniam asmeniui.

Papildomų paaiškinimų nėra.

Pakankamas

Be žemo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų:

1. juridinio asmens pareikšta tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir (jei taikoma) registracijos numeriu

Ir

įrodymai tikrinami siekiant nustatyti, ar jie tikri, arba žinoma, kad jie egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra reikalingas tam, kad juridinis asmuo galėtų veikti savo sektoriuje,

ir

buvo imtasi veiksmų siekiant sumažinti riziką, kad juridinio asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo;

arba

Juridinio asmens pareikštos tapatybės patvirtinimas turi būti mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką.

Pareiškėjo juridinio asmens tapatybei įrodyti turi būti naudojami registro, kuriame kaupiami ir saugomi duomenys apie juridinį asmenį, įrašai.

2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga;

Arba

Papildomų paaiškinimų nėra.

3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų, jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga.

Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką.

Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę.

Aukštas

Be pakankamo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų:

1. juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir bent vienu nacionalinėje aplinkoje naudojamu unikaliu identifikatoriumi, susijusiu su juridiniu asmeniu,

Ir

įrodymai tikrinami siekiant nustatyti, ar jie yra tikri, remiantis autoritetingu šaltiniu;

arba

Turi būti užtikrintas aiškus pareiškėjo asmens tapatybės patvirtinimas, mutatis mutandis atliekamas bent pagal Asmens tapatybės tikrinimo tvarką.

2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo, nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam aukšto lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga,

ir

imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja;

arba

Asmens tapatybės duomenų galiojimas turi būti patikrintas ir prireikus šie duomenys turi būti atnaujinti, nes anksčiau patikrinti juridinio asmens tapatybės duomenys gali būti pasenę, pavyzdžiui, pasikeitus pavadinimui, adresui, juridinio asmens įgalioto atstovo vardui, pavardei, ar pan.

3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga,

ir

imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja.

Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką.

Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

1. Elektroninės atpažinties priemonėje naudojamas bent vienas tapatumo nustatymo veiksnys.

Nustatant asmens tapatybę, tapatumo nustatymo veiksniai gali būti naudojami tiesiogiai, pavyzdžiui, siunčiant slaptažodį arba netiesiogiai atrakinant prieigos raktą (pavyzdžiui, rakto įrodymas).

2. Elektroninės atpažinties priemonė sukurta taip, kad išdavėjas imtųsi pagrįstų veiksmų patikrinti, kad tik asmuo, kuriam ji priklauso, galėtų ją kontroliuoti arba turėti.

Papildomų paaiškinimų nėra.

Pakankamas

1. Elektroninės atpažinties priemonėje naudojami bent du skirtingų kategorijų tapatumo nustatymo veiksniai.

Pavyzdžiui, turėjimu grindžiami tapatumo nustatymo veiksniai derinami su žiniomis grindžiamais tapatumo nustatymo veiksniais.

Naudojant kelis skirtingų kategorijų vienas kitą papildančius tapatumo nustatymo veiksnius, gali padidėti bendras elektroninės atpažinties priemonių saugumas, kadangi skirtingų kategorijų tapatumo nustatymo veiksniams nekyla tos pačios grėsmės. Pavyzdžiui, slaptažodžiai įvedimo metu gali būti stebimi arba įrašomi; turėjimu grindžiami tapatumo nustatymo veiksniai gali būti pavogti arba pamesti; būdingieji tapatumo nustatymo veiksniai gali būti pažeidžiami klastotėmis (nuotraukų, lateksinių pirštų atspaudų ir kt.).

2. Elektroninės atpažinties priemonė sukurta taip, kad galima būtų laikyti, kad ją gali naudoti tik asmuo, kuriam ji priklauso, ir kuris ją kontroliuoja arba turi.

Elektroninės atpažinties priemonė turi būti susieta su asmeniu, kuriam ji priklauso.

Pasibaigus pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonės galiojimui, būtinas naujas asmens tapatybės patvirtinimas arba naujos elektroninės atpažinties priemonės išdavimas.

Aukštas

Pakankamo lygio, be to:

1. Elektroninės atpažinties priemonė apsaugo nuo kopijavimo ir klastojimo, taip pat nuo išpuolių vykdytojų su dideliu išpuolių vykdymo potencialu.

Apsauga nuo kopijavimo ir klastojimo apima visą elektroninės atpažinties priemonę, o ne kiekvieną atskirą tapatumo nustatymo veiksnį.

Pasibaigus aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonės galiojimui, būtinas naujas asmens tapatybės patvirtinimas arba naujos elektroninės atpažinties priemonės išdavimas.

2. Elektroninės atpažinties priemonė sukurta taip, kad asmuo, kuriam ji priklauso, ją galėtų patikimai apsaugoti nuo kitų asmenų naudojimo.

„Patikimai apsaugoti“ reiškia pastangas, kurių imtasi siekiant užkirsti kelią elektroninės atpažinties priemonių naudojimui be asmens žinios ir aktyvaus sutikimo. Pavyzdžiui, privatus raktas, esantis kriptografinio rakto prieigos rakte, neturėtų būti naudojamas be asmens, kuriam jis priklauso, aktyvaus sutikimo. Šis sutikimas gali būti išreikštas, pavyzdžiui, naudojant PIN kodą, susietą su prieigos raktu ir žinomą tik to asmens.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pasiekė tik tą asmenį, kuriam ji numatyta.

Jei yra vienas, pavyzdžiui, žiniomis grindžiamas tapatumo nustatymo veiksnys (slaptažodis), kuris išduodamas internetu, aktyvavimo kodas gali būti išsiųstas paštu patikrintu adresu arba pareiškėjo mobiliuoju telefonu, pavyzdžiui, SMS žinute, patikrinus (perskambinant), ar telefono numeris tikrai priklauso tam asmeniui.  Jei yra keli tapatumo nustatymo veiksniai, bent vienas veiksnys turi būti pateiktas aukščiau aprašytu būdu.

Pakankamas

Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pristatyta tik tam asmeniui, kuriam ji priklauso.

Pristatymo mechanizmas turi būti saugus ir grindžiamas aktyvavimo procesu, kai galima pagrįstai manyti, kad tik tas asmuo, kuriam priklauso išduota elektroninės atpažinties priemonė, turi reikiamos informacijos šiai priemonei aktyvuoti. Pavyzdžiui, žiniomis grindžiamas tapatumo nustatymo veiksnys, transport PIN kodas, pateikiamas atskirai nuo elektroninės atpažinties priemonės.

Pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonėms gali būti naudojami keli tapatumo nustatymo veiksniai ir galimi keli išdavimo, pristatymo ir aktyvavimo deriniai. Kai turėjimu grindžiamas tapatumo nustatymo veiksnys yra materialus įtaisas, galimi šie pristatymo būdai: pristatymas asmeniškai ir pristatymas registruotu paštu. Tokio įtaiso pristatymo procesas galėtų būti, pavyzdžiui, toks: 1) kriptografinės priemonės, pavyzdžiui, FIDO U2F (Universal 2nd Factor (U2F) Protocol), OTP (One Time Password) pristatymas asmeniškai arba registruotu paštu; 2) paštu, el. paštu, SMS žinute siunčiamas pranešimas su nuoroda arba aktyvavimo kodu, kad būtų galima nustatyti įtaiso slaptažodį. Kai turėjimu grindžiamas tapatumo nustatymo veiksnys nėra materialus, pavyzdžiui, mobiliajame telefone įdiegta programėlė, būtina užtikrinti, kad pastaroji iš tikrųjų būtų įdiegta į įrenginį, priklausantį asmeniui, kuriam nustatoma tapatybė, ir būtų patvirtintas tarpusavio ryšys.

Aukštas

Aktyvavimo procesu patvirtinama, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso.

Aukšto saugumo lygio aktyvavimo procesui reikia tam tikros vartotojo sąveikos, kad būtų ne tik įsitikinta, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso, tačiau yra aiškus asmens žingsnis, kuriuo jis prisiima atsakomybę už gautą priemonę. Tik po to priemonė gali būti naudojama tapatumo nustatymo tikslais.

Siekiant užtikrinti aukštą saugumo užtikrinimo lygį, aktyvavimo procesu užtikrinama, kad tik teisėtas savininkas galėtų aktyvuoti elektroninės atpažinties priemonę, o aktyvavimo procesas būtų apsaugotas nuo atsitiktinio praradimo ir viešai neatskleistų grėsmių, pavyzdžiui, slapto susitarimo.

Jeigu šiuos procesus atlieka fiziniai asmenys, elektroninės atpažinties priemonės registravimo ir išdavimo niekada negali atlikti vienas asmuo.

Jei naudojami žiniomis grindžiami tapatumo nustatymo veiksniai, pavyzdžiui, aktyvavimo kodai, asmuo juos turi gauti per nustatytą laikotarpį.

Jei naudojami turėjimu grindžiami tapatumo nustatymo veiksniai, pavyzdžiui, kriptografinė priemonė, kurios aktyvavimo kodą pasirenka jos turėtojas, elektroninės atpažinties priemonė pristatoma asmeniui fiziškai dalyvaujant tik po to, kai jo tapatybė patvirtinta pagal nustatytus reikalavimus.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

1. Elektroninės atpažinties priemonių galiojimą galima laiku ir veiksmingai sustabdyti ir (arba) jas atšaukti.

Informacija, kad elektroninės atpažinties priemonių galiojimą galima laiku ir veiksmingai sustabdyti ir (arba) jas atšaukti, prieinama šių priemonių turėtojams, pavyzdžiui, telefonu, el. paštu, interneto svetainėje ir kt. Sustabdymo ir (arba) atšaukimo valdymas prieinamas visą parą.

2. Imtasi priemonių siekiant užkirsti kelią neteisėtam galiojimo sustabdymui, atšaukimui ir (arba) pakartotinam aktyvavimui.

Turi būti įsitikinta, kad dėl priemonės galiojimo sustabdymo, atšaukimo ir (arba) pakartotino aktyvavimo kreipiasi  asmuo, kurio prašymu išduota elektroninės atpažinties priemonė. Priemonės galiojimo sustabdymas ir (arba) atšaukimas galimas ir kitais, įstatymų numatytais, atvejais, pavyzdžiui, teisėsaugos institucijų motyvuotu reikalavimu, siekiant užkirsti kelią nusikalstamoms veikoms.

3. Pakartotinis aktyvavimas galimas tik jeigu toliau atitinkami tie patys iki galiojimo sustabdymo arba atšaukimo nustatyti patikimumo užtikrinimo reikalavimai.

Pakartotinis aktyvavimas galimas tik atlikus tapatybės patvirtinimo procedūras mutatis mutandis pagal Asmens tapatybės tikrinimo tvarkos reikalavimus.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas ir pakankamas

Atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, atnaujinimui arba pakeitimui turi būti keliami tokie patys saugumo užtikrinimo reikalavimai kaip pradiniam tapatybės įrodymo nustatymui ir tikrinimui, arba atnaujinimas ar pakeitimas turi būti pagrįstas tokio paties arba aukštesnio patikimumo lygio galiojančiomis elektroninės atpažinties priemonėmis.

Asmens tapatybei patikrinti ir patvirtinti gali būti naudojama anksčiau išduota elektroninės atpažinties priemonė, jeigu ją išduodant asmens tapatybės patikrinimas ir patvirtinimas buvo atliktas asmeniui fiziškai dalyvaujant ar kitu būdu, lygiaverčiu fiziniam dalyvavimui. Tai leidžia sumažinti vagystės ar apgaulės būdu įgytos elektroninės asmens tapatybės panaudojimo siekiant gauti elektroninės atpažinties priemonę riziką.

Turi būti reikalaujama elektroninės atpažinties priemonės, naudojamos asmens tapatybei patikrinti, išdavimo įrodymų, pavyzdžiui, elektroninės atpažinties schemos, kurioje ši elektroninės atpažinties priemonė įrašyta, aprašymo, kuriame aiškiai nurodyta, kad išduodant šią elektroninės atpažinties priemonę asmens tapatybė negali būti patvirtinta naudojant kitą elektroninės atpažinties priemonę.

Aukštas

Žemo ir pakankamo lygio, be to:

kai atnaujinimas ar pakeitimas pagrįstas galiojančiomis elektroninės atpažinties priemonėmis, tapatybės duomenys tikrinami su autoritetingu šaltiniu.

Papildomų paaiškinimų nėra.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

Šiame skirsnyje daugiausia dėmesio skiriama grėsmėms, susijusioms su tapatumo nustatymo mechanizmu, ir išvardijami kiekvieno saugumo užtikrinimo lygio reikalavimai. Šiame skirsnyje laikoma, kad kontrolės priemonės atitinka tam tikro lygio riziką.

Papildomų paaiškinimų nėra.

Šioje lentelėje pateikti tapatumo nustatymo mechanizmo, pagal kurį fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų savo tapatybę pasikliaujančiajai šaliai, kiekvieno saugumo užtikrinimo lygio reikalavimai.

Papildomų paaiškinimų nėra.

Žemas

1. Prieš pateikiant asmens tapatybės duomenis patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas.

Asmens tapatybės informacija perduodama pasikliaujančiajai šaliai laikantis 2015 m. rugsėjo 8 d. Europos Komisijos įgyvendinimo reglamento (ES) 2015/1501 dėl sąveikumo sistemos pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 12 straipsnio 8 dalį priede pateiktų reikalavimų dėl minimalaus asmens tapatybės duomenų rinkinio.

2. Jeigu pagal tapatumo nustatymo mechanizmą turi būti saugomi asmens tapatybės duomenys, ta informacija apsaugoma, siekiant ją apsaugoti nuo praradimo ir pažeidimo, įskaitant analizavimą neprisijungus prie interneto.

Saugomiems asmens duomenims taikoma griežta prieigos kontrolė (tinklo saugumo, fizinio patekimo į patalpas ir prieiga prie sistemos komponentų). Asmens tapatybės duomenims apsaugoti turi būti naudojamos priemonės, pavyzdžiui, šifravimo ir maišos funkcijos ir pan.

3. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su baziniu sustiprintu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus.

Visi būtini elektroninės atpažinties priemonių patikros etapai, susiję su nurodyta rizika, turi būti aiškiai aprašyti, įgyvendinti ir išbandyti.

Pakankamas

Žemo lygio, be to:

1. prieš pateikiant asmens tapatybės duomenis, vykdant dinaminį tapatumo nustatymą patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas.

Siekiant užtikrinti nenuspėjamumą ir saugumą, tapatumo nustatymo veiksnys turi apimti vienkartinį kodą arba vienkartinį klausimą ir atsakymą (angl. one-time challenge-response). Vienkartinis kodas arba klausimas turi būti generuojami taip, kad nebūtų galimybės jų suklastoti. Naudojant atsitiktinius skaičius klausimui ir atsakymui, būtina užtikrinti šių skaičių kokybę, pavyzdžiui, vadovautis gerąja kriptografiškai saugių pseudoatsitiktinių skaičių generatorių praktika. Draudžiama naudoti paprastą pranešimą, perduodamą be šifravimo (OTP SMS).

2. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su vidutiniu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus.

Serverio palaikoma tapatumo nustatymo mechanizmo dalis, palaikanti ryšį su elektroninės atpažinties priemonėmis, turi būti įgyvendinama naudojant kriptografinį modulį. Turi būti aprašytas techninių ir organizacinių priemonių, pavyzdžiui, tinklo saugumo, prieigos prie serverių kontrolės ir kt. rizikos mažinimo priemonių įgyvendinimas.

Aukštas

Pakankamo lygio, be to: tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su dideliu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus.

Jei tapatumo nustatymo mechanizmui apsaugoti naudojama kriptografija, reikia pasirinkti tvirtus kriptografinius protokolus ir atitinkamus raktų ilgius.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

1. Paskelbta paslaugos apibrėžtis, kurioje pateikti visi taikomi terminai, sąlygos ir mokesčiai, įskaitant bet kokius naudojimosi ja apribojimus. Paslaugos apibrėžtyje turi būti nustatytos privatumo taisyklės.

Paslaugos apibrėžtis skelbiama Nacionalinės elektroninės atpažinties informacinės sistemos tvarkytojo tvirtinamoje Elektroninės atpažinties priemonės saugumo užtikrinimo lygio, tinkamo elektroninėms paslaugoms teikti, vertinimo metodikoje.

2. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros siekiant užtikrinti, kad paslaugos naudotojams būtų laiku ir patikimu būdu pranešta apie bet kokius paslaugos apibrėžties ir taikomų terminų, sąlygų ir privatumo taisyklių pasikeitimus.

Šiuo atveju pranešimas reiškia ne tik tai, kad informacija visada turėtų būti pateikta naudotojui. Pagal šį reikalavimą, pranešimas apie bet kokius pakeitimus, atsižvelgiant į pakeitimo turinį, turi būti paskelbtas paslaugų teikėjo interneto svetainėje, taip pat rekomenduojama išsiųsti naudotojams pranešimą, kad jie galėtų laiku susipažinti su šia nauja informacija nedelsdami, ne vėliau kaip per 3 darbo dienas nuo šių pakeitimų dienos.

3. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros, pagal kurias būtų visapusiškai ir deramai atsakoma į prašymus pateikti informacijos.

Pagal BDAR 15 straipsnį, naudotojas turi turėti teisę susipažinti su jo asmens duomenimis. Šios procedūros turi būti aprašytos paslaugos teikėjo veiklos dokumentuose ir prieinamos paslaugos naudotojui.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

Veikia veiksminga informacijos saugumo valdymo sistema, skirta informacijos saugumo rizikai valdyti ir kontroliuoti.

Papildomų paaiškinimų nėra.

Pakankamas ir aukštas

Žemo lygio, be to:

informacijos saugumo valdymo sistemoje laikomasi pasiteisinusių standartų arba principų, skirtų informacijos saugumo rizikai valdyti ir kontroliuoti.

Jei nėra įdiegta informacijos saugumo vadybos sistema pagal ISO 27001 standartą, būtina įrodyti, kad informacijos saugumo valdymo sistema atitinka šį standartą ar principus, užtikrinančius panašų saugumo lygį.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

1.Registruoti ir išlaikyti atitinkamą informaciją naudojant veiksmingą įrašų valdymo sistemą, atsižvelgiant į taikomus teisės aktus ir gerąją praktiką, susijusius su duomenų apsauga ir saugojimu.

Turi būti užtikrintas saugomų įrašų vientisumas ir konfidencialumas visą jų gyvavimo laikotarpį. Įvykiai informacijos valdymo sistemoje turi būti registruojami elektroniniu būdu. Registravimas turi būti automatinis, nuo sistemos veikimo pradžios iki pabaigos, be pertraukų. Turi būti fiksuojami bent šie įvykiai:

- naudotojų paskyrų (prieigos teisių) ir atitinkamų tapatumo nustatymo duomenų (slaptažodžių, sertifikatų ir kt.) kūrimas, keitimas ir ištrynimas;

- IT sistemų ir taikomųjų programų paleidimas ir sustabdymas;

- žurnalo įrašai: log funkcijos paleidimas ir nutraukimas, log parametrų keitimas, veiksmai, kurių buvo imtasi po log funkcijos gedimo;

- registruotų naudotojų prisijungimas / atsijungimas ir nesėkmingi šių veiksmų bandymai.

Kiti su saugumu susiję veiksmai, kurių IT sistemos automatiškai neatlieka, turi būti registruojami elektroninėmis priemonėmis arba rankiniu būdu. Tai būtų:

- fizinės prieigos;

- sistemų konfigūracijos keitimo ir techninės priežiūros veiksmai;

- personalo keitimas;

- šaltinių, kuriuose yra konfidencialios informacijos (raktai, aktyvavimo duomenys, asmeninė informacija apie naudotojus ir kt.), sunaikinimo ir atkūrimo veiksmai;

- prašymas (pradinis ir atnaujintas) dėl elektroninės atpažinties priemonės priėmimo;

- prašymas dėl elektroninės atpažinties priemonės patvirtinimo arba atmetimo;

- įvykiai, susiję su neskelbtinos kriptografinės medžiagos ir raktų valdymu (generacija (raktų ceremonija), atsarginių kopijų kūrimas ir (arba) atkūrimas, atšaukimas, atnaujinimas, sunaikinimas ir kt.);

- esant poreikiui, naudotojo privačiųjų elementų (raktų porų, aktyvavimo kodų ir kt.) arba viešųjų elementų (sertifikatų ir kt.) generavimas;

- elektroninės atpažinties priemonių perdavimas naudotojams ir aiškus naudotojų sutikimas arba atsisakymas;

- esant poreikiui, elektroninės atpažinties priemonių išdavimas naudotojui;

- už elektroninės atpažinties schemą atsakingos įstaigos dokumentų (naudojimo sąlygų ar kt.) paskelbimas ir atnaujinimas;

- prašymas atšaukti elektroninės atpažinties priemonės priėmimą;

- prašymas atšaukti elektroninės atpažinties priemonės patvirtinimą arba atmetimą;

- jei elektroninės atpažinties priemonėms naudojami sertifikatai, BEL (ir deltaCRL) arba OCSP užklausų ir (arba) atsakymų generavimas ir skelbimas.

Registravimas turi būti suprojektuotas ir įgyvendinamas taip, kad būtų sumažinta rizika, pavyzdžiui, įvykių žurnalų keitimas ar sunaikinimas. Vientisumo kontrolės mechanizmas turi užtikrinti, kad bus aptiktas bet koks savanoriškas ar atsitiktinis šių įrašų pakeitimas.

Įvykių žurnalai turi būti apsaugoti nuo praradimo ir dalinio ar visiško sunaikinimo (savanoriškai ar atsitiktinai).

Žurnalų apsaugai galima naudoti elektronines laiko žymas. Sistemų laikrodžiai sinchronizuojami mažiausiai iki minutės, o pagal patikimą UTC laiko šaltinį – iki sekundės. Sistema turi daryti tikslius įrašus. Laikrodžius sinchronizuojant su UTC laiku, rekomenduojama remtis bent dviem nepriklausomais laiko šaltiniais.

Atsižvelgiant į informacijos pobūdį, turi būti užtikrintas įvykių žurnalų konfidencialumas.

Įvykių žurnalai turi būti analizuojami kasdien, kas savaitę daromos visų įvykių žurnalų suvestinės, turi būti įdiegtas pranešimų apie perspėjimus mechanizmas.

Be įvykių žurnalų įrašų, informacijos valdymo sistemoje turi būti bent šie elementai:

- elektroninės atpažinties priemonės išdavimo politika ir procedūros;

- IT įrangos programinė įranga (vykdomieji failai) ir konfigūracijos rinkmenos;

- elektroninės atpažinties priemonės naudojimo sąlygos;

- elektroninės atpažinties paslaugos teikėjo sutartys su kitais subjektais;

- išduoti arba paskelbti sertifikatai, CLR arba OCSP atsakymai;

- elektroninės atpažinties sertifikatų sertifikavimo politika;

- informaciniai išrašai arba pranešimai;

- naudotojų tapatybę patvirtinantys dokumentai arba kiti tapatybės įrodymai.

Informacijos valdymo sistema turi atitikti BDAR ir kitus asmens duomenų apsaugos reikalavimus:

- neapdoroti biometriniai duomenys (pavyzdžiui, nuotrauka, pirštų atspaudai) neregistruojami, išskyrus atvejus, kai šių duomenų kilmę kontroliuoja tik asmuo (pavyzdžiui, naudojamas užšifruotas kontrolės mechanizmas);

- gali būti įrašomi tik tie biometriniai duomenys, pagal kuriuos neįmanoma nustatyti asmens tapatybės;

- visa asmens tapatybės dokumento kopija neregistruojama, o kaip nebiometrinių duomenų įrodymas įrašomas, pavyzdžiui, dokumento numeris, jo galiojimas ir kt.);

- siekiant atlikti nustatytos asmens tapatybės ex post priežiūrą, neapdoroti biometriniai duomenys, susiję su šiuo tapatybės patikrinimu, gali būti registruojami tiek laiko, kiek reikia šiai priežiūrai atlikti, tačiau ne ilgiau kaip 72 valandas.

Jei nėra įdiegta informacijos saugumo vadybos sistema pagal ISO 27001 standartą, būtina įrodyti, kad įrašų valdymo sistema atitinka šį standartą ar principus, susijusius su duomenų apsauga ir saugojimu, užtikrinančius panašų saugumo lygį.

2. Laikyti informaciją, kiek tai leidžiama pagal nacionalinę teisę arba kitą nacionalinę administracinę tvarką, ir apsaugoti bei išsaugoti duomenis tiek, kiek būtina siekiant atlikti auditą ir saugumo pažeidimų tyrimus; po to duomenys turi būti saugiai sunaikinti.

Įrašai saugomi paslaugos teikėjo veiklos nutraukimo plane numatytą laikotarpį, laikantis procedūrų ir priemonių, leidžiančių nustatytą laikotarpį naudotis įrašais, visų pirma, siekiant pateikti įrodymus teismo procese, įvertinti atitiktį BDAR reikalavimams. Turi būti aiškiai identifikuoti laikotarpis ir visi įrašai, kuriais tą laikotarpį turi būti sudaroma galimybė jais naudotis, nurodyti jų saugojimo formos ir būdai, kurie turi užtikrinti šių įrašų išsaugojimą ateityje ir jų įskaitomumą. Kai įrašai nebereikalingi, jie turi būti tinkamai sunaikinti. Tai taikoma visoms įrašų saugojimo laikmenoms, elektroninėms ir spausdintoms.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas, pakankamas ir aukštas

Šioje lentelėje pateikiami reikalavimai įrenginiams, darbuotojams ir (jei taikytina) subrangovams, kurie vykdo pareigas pagal šį reglamentą. Atitiktis kiekvienam reikalavimui turi būti proporcinga rizikos laipsniui, susijusiam su nustatytu saugumo užtikrinimo lygiu

Papildomų paaiškinimų nėra.

1. Įdiegtos procedūros, kuriomis užtikrinama, kad darbuotojai ir subrangovai būtų pakankamai išmokyti, būtų kvalifikuoti ir turėtų patirties, reikalingos vykdant atitinkamas funkcijas.

Tais atvejais, kai darbuotojams trūksta įgūdžių, turi būti parengta mokymo programa, kuri užtikrintų, kad darbuotojai įgytų ir išlaikytų reikiamus įgūdžius.

2. Yra pakankamai darbuotojų ir subrangovų, galinčių tinkamai vykdyti paslaugą ir suteikti išteklių pagal jos politiką ir procedūras.

Papildomų paaiškinimų nėra.

3. Įrenginiai, naudojami teikiant paslaugą, yra nuolat stebimi ir apsaugo nuo aplinkos įvykių daromos žalos, neleistinos prieigos ir kitų veiksnių, kurie gali paveikti paslaugos saugumą.

Paslaugos, kurioms ypač svarbus saugumas (pavyzdžiui, priemonės atšaukimas), turėtų būti atsparios gedimams ir pertrūkiams. Paslauga turėtų būti apsaugota nuo gedimų ir gamtos reiškinių, tokių kaip gaisras, potvynis, audros, žemės drebėjimai ir kt.

Pavyzdžiui, siekiant užtikrinti veiklos tęstinumą arba atkūrimą nelaimės atveju, gali prireikti pagal veiklos tęstinumo planą įrengti antrinę vietą, esančią pakankamu atstumu nuo pagrindinės vietos.

Įrenginių fiziniam saugumui užtikrinti naudojami tinkami užraktai, prieigos kontrolės mechanizmas ir fizinė stebėsena (pvz., uždaros grandinės technologija, angl. CCTV). Gali būti įdiegtas automatizuotas prieigos stebėjimo procesas, skirtas įspėti paslaugos teikėjui neteisėtos prieigos ir kitų neleistinų įvykių atveju.

4. Įrenginiai, naudojami teikiant paslaugą, užtikrina, kad patekti į zonas, kuriose laikoma arba tvarkoma asmens, kriptografinė ar kita neskelbtina informacija, galėtų tik įgalioti darbuotojai ar subrangovai.

Papildomų paaiškinimų nėra.

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

1. Veikia proporcingos techninės kontrolės priemonės, skirtos paslaugų saugumui kylančiai rizikai valdyti ir tvarkomos informacijos konfidencialumui, vientisumui ir prieinamumui apsaugoti.

Konfidencialumo ir vientisumo apsaugos reikalavimai vertinami atskirai. Nors vientisumo (arba autentiškumo) apsauga iš esmės priklauso nuo saugumo užtikrinimo lygio, vertinant su asmeniu susijusių duomenų konfidencialumą, turi būti atsižvelgiama į duomenų rūšį ir duomenų apsaugos reikalavimus. Turi būti apsaugotas asmens duomenų konfidencialumas, kontrolė turi būti pagrįsta įvertinimu, taikant rizika pagrįstą metodą pagal pasirinktą informacijos saugumo valdymo sistemą. Tai turėtų apimti apsaugą nuo įsilaužimo, piktnaudžiavimo, netinkamo naudojimo, paslaugų atsisakymo (DoS) ir paskirstytų paslaugų atsisakymo (DDoS) atakų.

2.Elektroninių ryšių kanalai, naudojami keistis asmens arba neskelbtina informacija, yra apsaugoti nuo pasiklausymo, keitimo ir pakartotino išklausymo.

Elektroninių ryšių kanalai turi būti užšifruoti ir pasirašyti naudojant kriptografinį mechanizmą, kad būtų apsaugoti nuo pasiklausymo ir manipuliavimo, taip pat įdiegti apsaugos nuo pakartojimo mechanizmai (pavyzdžiui, keitimasis asmens duomenimis neįtraukiamas į protokolą).

3.Prieiga prie neskelbtinos kriptografinės medžiagos, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, suteikiama tik toms funkcijoms ir taikomosioms programoms, kurioms prieiga yra būtina. Turi būti užtikrinta, kad tokia medžiaga niekada nebūtų nuolat saugoma paprasto teksto pavidalu.

Prieiga turi būti suteikiama tik fiziniams asmenims, turintiems leidimą patekti į pastatą, ir turi būti užtikrintas įvykių atsekamumas. Ne darbo valandomis saugumas turi būti sustiprintas fizinio ar loginio įsibrovimo aptikimo priemonėmis. Siekiant užtikrinti sistemų prieinamumo saugumą, prieiga prie prietaisų turi būti suteikiama tik fiziniams asmenims, įgaliotiems atlikti operacijas, kurioms reikalinga fizinė prieiga.

Tam pačiam fiziniam asmeniui gali būti priskirti įvairūs vaidmenys, jei tai nekelia pavojaus įgyvendinamų funkcijų saugumui, tačiau, siekiant užtikrinti vaidmenų patikimumą, rekomenduojama, kad vienas asmuo neturėtų atlikti įvairių vaidmenų.

Apie kiekvieno vaidmens priskyrimą asmeniui turi būti pranešta raštu, šis vaidmuo turi būti aiškiai įvardintas ir aprašytas pareigybės aprašyme.

4. Veikia procedūros, kuriomis užtikrinama, kad saugumas būtų nuolat išlaikytas ir kad būtų sugebama reaguoti į rizikos lygių pokyčius, incidentus ir saugumo pažeidimus.

Vadovaujamasi Tarnybos tvirtinamu Pranešimų apie patikimumo užtikrinimo paslaugų ir prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašu.

5. Visos laikmenos, kuriose laikoma asmens, kriptografinė ar kita neskelbtina informacija, saugomos, transportuojamos ir šalinamos saugiai ir patikimai.

Papildomų paaiškinimų nėra.

Pakankamas ir aukštas

Tokie patys, kaip žemo lygio, be to:

neskelbtina kriptografinė medžiaga, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, yra apsaugota nuo klastojimo.

Neskelbtina kriptografinė medžiaga – tai pagrindinė medžiaga, naudojama elektroninės atpažinties priemonėms išduoti ir naudotojų tapatybei nustatyti. Apsaugos nuo klastojimo mechanizmai skirti kovoti su bet kokiais bandymais atskleisti kriptografinio rakto medžiagą, ja manipuliuoti ar piktnaudžiauti. Tai pasiekiama įdiegus tiek fizines, tiek logines šių raktų apsaugos kontrolės priemones. Ši kriptografinė medžiaga turi užtikrinti įgyvendinamų saugumo mechanizmų skaidrumą ir atitikti aukščiausius kokybės ir saugumo standartus. Produktai turi būti gaunami iš patikimo pardavėjo ir užsakomi taip, kad būtų užtikrinta jų saugojimo grandinė. 

Saugumo užtikrinimo lygis

Būtini elementai

Paaiškinimas

Žemas

Periodiškai vykdomas vidaus auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų.

Atliekant auditą, atsižvelgiama į su IS ir (arba) jos dalimis susijusios rizikos lygį.

Atliktas auditas leidžia daryti prielaidą dėl atitikties šio saugumo užtikrinimo lygio reikalavimams.

Jei elektroninės atpažinties priemonės grindžiamos elektroniniais sertifikatais, rekomenduojama, kad atliekant auditą būtų atsižvelgiama į standarto EN 319 411–1 „Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements“ reikalavimus.

Pakankamas

Periodiškai vykdomas nepriklausomas vidaus arba išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų.

Taikomi žemo saugumo užtikrinimo lygio reikalavimų paaiškinimai.

Auditas turi apimti IS architektūros auditą, IS konfigūracijos auditą, programų kodo auditą, įsilaužimo testus ir bendrą organizacijos auditą.

Aukštas

1.Periodiškai vykdomas nepriklausomas išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų.

Taikomi žemo ir pakankamo saugumo užtikrinimo lygio reikalavimų paaiškinimai.

2. Tais atvejais, kai schemą tiesiogiai valdo valdžios institucija, ji tikrinama pagal nacionalinę teisę.