LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

ĮSAKYMAS

DĖL VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2021 m. spalio 25 Nr. 3-497

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu, 30 straipsnio 1 ir 2 dalimis, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 ir 23 punktais, Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais:

1. T v i r t i n u pridedamus:

1.1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatus;

1.2. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatus.

2. S k i r i u valstybės įmonę Lietuvos automobilių kelių direkciją Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos tvarkytoja.

3. P a v e d u valstybės įmonei Lietuvos automobilių kelių direkcijai:

3.1. per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos saugos įgaliotinį, duomenų valdymo įgaliotinį, asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą, asmenį, kontroliuojantį paslaugų teikėjo darbą, ir administratorių;

3.2. per 3 mėnesius nuo šio įsakymo įsigaliojimo dienos pateikti Lietuvos Respublikos susisiekimo ministrui:

3.2.1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;

3.2.2. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos veiklos tęstinumo valdymo plano projektą;

3.2.3. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos naudotojų administravimo taisyklių projektą;

3.2.4. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos techninio aprašymo (specifikacijos) projektą.

Susisiekimo ministras Marius Skuodis

SUDERINTA

Lietuvos Respublikos

vidaus reikalų ministerijos

2021 m. rugpjūčio 20 d. raštu

Nr. 1D-4777

SUDERINTA

Lietuvos Respublikos

ekonomikos ir inovacijų ministerijos

2021 m. rugsėjo 17 d.

raštu Nr. (4.6-82Mr)-3-4066

SUDERINTA

Valstybės įmonės Distancinių

tyrimų ir geoinformatikos

centro „GIS-Centras“

2021 m. rugsėjo 17 d.

raštu Nr. (5.2E)12RD-223

SUDERINTA

Valstybės įmonės Lietuvos

automobilių kelių direkcijos

2021 m. rugpjūčio 3 d. raštu

Nr. 2-13042

SUDERINTA

Valstybinės duomenų apsaugos

inspekcijos

2021 m. rugpjūčio 31 d.

raštu Nr. 2R-4403 (3.2.Mr)

SUDERINTA

Informacinės visuomenės

plėtros komiteto

2021 m. rugpjūčio 27 d.

raštu Nr. S-434 (2021)

SUDERINTA

Nacionalinio kibernetinio

saugumo centro prie Krašto

apsaugos ministerijos

2021 m. rugpjūčio 2 d.

raštu Nr. (4.1 E) 6K-596

SUDERINTA

Valstybės įmonės Registrų

centro

2021 m. rugsėjo 1 d. raštu

Nr. S-102002 (1.10E)

SUDERINTA

Nacionalinės žemės tarnybos

prie Žemės ūkio ministerijos

2021 m. rugpjūčio 3 d.

raštu Nr. 1SD-1820-(3.3E.)

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2021 m. spalio 25 d. įsakymu Nr. 3-497

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO

INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatai (toliau – Nuostatai) nustato Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS) steigimo teisinį pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.

2. KTVIS steigimo teisinis pagrindas yra:

2.1. Lietuvos Respublikos kelių įstatymo 7 straipsnio 2 dalis;

2.2. Valstybės įmonės Lietuvos automobilių kelių direkcijos įstatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 24 d. įsakymu Nr. 3-476, 7.2 papunktis.

3. KTVIS kuriama ir tvarkoma vadovaujantis:

3.1. Kelių įstatymu;

3.2. Lietuvos Respublikos kelių priežiūros ir plėtros programos finansavimo įstatymu;

3.3. Lietuvos Respublikos saugaus eismo automobilių keliais įstatymu;

3.4. Lietuvos Respublikos transporto veiklos pagrindų įstatymu;

3.5. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.7. Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymu;

3.8. Lietuvos Respublikos Vyriausybės 2017 m. kovo 29 d. nutarimu Nr. 238 „Dėl valstybinės reikšmės kelių perdavimo patikėjimo teise valdyti, naudoti ir jais disponuoti Lietuvos automobilių kelių direkcijai prie Susisiekimo ministerijos“;

3.9. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

3.10. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

3.11. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.12. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

3.13. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas);

3.14. Nuostatais ir kitais teisės aktais.

4. Nuostatuose vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679, Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše.

5. KTVIS tikslas – informacinių technologijų priemonėmis centralizuotai rinkti valstybinės ir vietinės reikšmės viešųjų kelių (toliau – vietinės reikšmės keliai), jų elementų turto duomenis nuo turto gyvavimo ciklo pradžios iki pabaigos.

6. KTVIS uždaviniai:

6.1. automatizuoti valstybinės ir vietinės reikšmės kelių, jų elementų turto duomenų centralizuotą rinkimą ir teikimą;

6.2. automatizuoti sprendimų dėl valstybinės ir vietinės reikšmės kelių plėtros planavimą ir priėmimą;

6.3. automatizuoti kelių turto valdymo veiklos procesus;

6.4. informacinių ir ryšių technologijų (toliau – IRT) kanalais ir priemonėmis nuotoliniu būdu teikti elektronines paslaugas (toliau – KTVIS elektroninė paslauga):

6.4.1. rangovų informacijos pateikimo;

6.4.2. centralizuoto kelių duomenų tvarkymo.

7. Pagrindinės KTVIS funkcijos:

7.1. apskaityti valstybinės ir vietinės reikšmės kelius;

7.2. rinkti, kaupti, saugoti, tikslinti, analizuoti, skleisti ir kitaip tvarkyti Nuostatų III skyriuje nurodytus KTVIS duomenis;

7.3. teikti duomenų gavėjams duomenis apie kelius ir jų elementus.

8. KTVIS asmens duomenų tvarkymo tikslai:

8.1. identifikuoti valstybės įmonės Lietuvos automobilių kelių direkcijos (toliau – Kelių direkcija) rangovų teisės aktų nustatyta tvarka paskirtus atstovus arba laimėjusius Kelių direkcijos skelbtus duomenų rinkimo, tikrinimo, tikslinimo ir analizavimo konkursus (toliau – rangovai) atstovus, vietinės reikšmės kelių valdytojų arba savininkų atstovus, valstybės tarnautojus ar darbuotojus, dirbančius pagal darbo sutartis valstybės ar savivaldybių institucijose ar įstaigose, kurie naudojasi KTVIS elektronine paslauga, (toliau – KTVIS išoriniai naudotojai);

8.2. identifikuoti Kelių direkcijos darbuotojus, dirbančius pagal darbo sutartis ir turinčius teisę naudotis KTVIS ištekliais numatytoms funkcijoms atlikti, bei juridinių asmenų darbuotojus ar asmenis, kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduodamos KTVIS ir (ar) jos infrastuktūros priežiūros funkcijos, turinčius teisę naudotis KTVIS ištekliais sutartiniams įsipareigojimams vykdyti, (toliau – KTVIS vidiniai naudotojai);

8.3. užtikrinti tinkamą KTVIS išorinių ir vidinių naudotojų administravimą, taip pat prižiūrėti ir valdyti KTVIS procesus, fiksuojant šių asmenų KTVIS atliekamus veiksmus.

II SKYRIUS

KTVIS organizacinė struktūrA

9. KTVIS valdytoja ir šioje sistemoje tvarkomų asmens duomenų valdytoja yra Lietuvos Respublikos susisiekimo ministerija (toliau – KTVIS valdytojas).

10. KTVIS valdytojas:

10.1. atlieka Reglamente (ES) 2016/679 nustatytas duomenų valdytojo prievoles, taip pat Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

10.2. metodiškai vadovauja KTVIS tvarkytojui ir koordinuoja KTVIS funkcionavimą.

11. KTVIS tvarkytojas ir šioje sistemoje tvarkomų asmens duomenų tvarkytojas yra Kelių direkcija.

12. Kelių direkcija:

12.1. vykdo Reglamente (ES) 2016/679 nustatytas duomenų tvarkytojo prievoles ir asmens duomenų valdytojo įgaliota įgyvendina duomenų subjektų teises, numatytas Reglamento (ES) 2016/679 III skyriuje. Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytos duomenų tvarkytojo prievolės duomenų valdytojo atžvilgiu detaliai aptariamos KTVIS valdytojo ir Kelių direkcijos sudarytoje asmens duomenų tvarkymo sutartyje;

12.2. atlieka Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos tvarkytojui nustatytas funkcijas, taip pat turi šiame įstatyme nustatytas teises ir atlieka jame nurodytas pareigas;

12.3. konsultuoja KTVIS išorinius naudotojus dėl KTVIS naudojimo;

12.4. sudaro sutartis su KTVIS duomenų teikėjais ir KTVIS duomenų gavėjais;

12.5. organizuoja KTVIS modernizavimą;

12.6. teikia KTVIS valdytojui pasiūlymus dėl KTVIS veikimo ir tobulinimo, organizuoja KTVIS valdytojo priimtų sprendimų dėl KTVIS tobulinimo ir modernizavimo įgyvendinimą;

12.7. kuria duomenų mainų sąsajas su KTVIS duomenų teikėjais ir vykdo jų priežiūrą;

12.8. dalyvauja rengiant su KTVIS funkcionalumu bei duomenų tvarkymu susijusius teisės aktų projektus;

12.9. Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka organizuoja pirkimo procedūras ir sudaro sutartis su juridiniais asmenimis ar asmenimis (asmenų grupėmis), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduodamos KTVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – KTVIS paslaugos teikėjas (-ai);

12.10. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su KTVIS tvarkymu, nustatytas funkcijas.

13. KTVIS paslaugos teikėjas (-ai) yra KTVIS tvarkytojas (-ai) ir KTVIS duomenų tvarkytojo (-ų) pasitelktas (-i) kitas (-i) asmens duomenų tvarkytojas (-ai), kuris (kurie):

13.1. Kelių direkcijos pavedimu tvarko asmens duomenis ir vykdo Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytas prievoles. Detalios Reglamento (ES) 2016/679
28 straipsnio 3 ir 4 dalyse nustatytos sąlygos nurodomos Kelių direkcijos ir KTVIS paslaugos teikėjo (-ų) sudarytoje asmens duomenų tvarkymo sutartyje;

13.2. atlieka Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos tvarkytojui nustatytas funkcijas ir įgyvendina šio įstatymo 34 straipsnio 6 dalies 1–6 ir
12 punktuose nurodytas teises ir pareigas;

13.3. suteikia techninius išteklius, reikalingus KTVIS programinei įrangai diegti;

13.4. vykdo KTVIS veikimo, techninės ir programinės įrangos palaikymą ir priežiūrą.

14. KTVIS duomenų teikėjai:

14.1. Kelių direkcija teikia duomenis iš Valstybinės reikšmės kelių eismo informacinės sistemos (toliau – EIS) (EIS valdytojas yra Susisiekimo ministerija);

14.2. Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos teikia Lietuvos Respublikos teritorijos M 1:10 000 skaitmeninį rastrinį ortofotografinį žemėlapį ORT10LT per Lietuvos erdvinės informacijos portalą (toliau – LEI portalas);

14.3. valstybės įmonė Registrų centras teikia duomenis iš Juridinių asmenų registro (toliau – JAR), Lietuvos Respublikos adresų registro (toliau – AR), Lietuvos Respublikos gyventojų registro (toliau – GR) ir Nekilnojamojo turto registro (toliau – NTR) (visų registrų valdytojas yra Lietuvos Respublikos teisingumo ministerija);

14.4. valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ teikia Georeferencinio pagrindo kadastro duomenis per LEI portalą (LEI portalo ir Georeferencinio pagrindo kadastro valdytojas yra Lietuvos Respublikos žemės ūkio ministerija);

14.5. Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos teikia duomenis iš Valstybės tarnautojų registro (toliau – VATARAS) (VATARAS valdytojas yra Lietuvos Respublikos vidaus reikalų ministerija);

14.6. Informacinės visuomenės plėtros komitetas teikia duomenis iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (VIISP valdytojas yra Informacinės visuomenės plėtros komitetas).

15. KTVIS naudojantys asmenys yra KTVIS išoriniai naudotojai.

16. KTVIS išoriniai naudotojai turi teisę:

16.1. naudotis KTVIS tvarkoma ir jiems prieinama informacija;

16.2. keisti (sukurti, ištrinti, papildyti) duomenis pagal jiems priskirtas naudojimo teises.

17. KTVIS išoriniai naudotojai įsipareigoja:

17.1. teikti KTVIS tik teisingus ir aktualius duomenis;

17.2. neperduoti teisės jungtis prie KTVIS tretiesiems asmenims;

17.3. savarankiškai ir visiškai atsakyti už KTVIS pateiktų duomenų turinį ir aktualumą;

17.4. teikiamą informaciją ir duomenis naudoti tik teisėtais tikslais.

III SKYRIUS

KTVIS INFORMACINĖ STRUKTŪRA

18. KTVIS informacinę struktūrą sudaro KTVIS duomenys ir kitų valstybės registrų bei informacinių sistemų teikiami duomenys:

18.1. kelių tinklo duomenų rinkinys, kuriame saugomi:

18.1.1. valstybinės reikšmės kelių ir kelio elementų geografiniai ir atributiniai duomenys (nurodyti Valstybės įmonės Lietuvos automobilių kelių direkcijos direktoriaus 2021 m. sausio 6 d. įsakyme Nr. V/2020-214 „Dėl Duomenų apie Lietuvos valstybinės reikšmės kelius teikimo taisyklių patvirtinimo“);

18.1.2. Europos tarptautinio kelių, esančių Lietuvos Respublikos teritorijoje, tinklo duomenys, kaip nurodyta 18.1.1 papunktyje;

18.1.3. vietinės reikšmės kelių atributiniai duomenys: kelių numeriai, kelių pavadinimai, kelių ilgiai, kelių savininkų ir (arba) valdytojų pavadinimai, viršutinės kelių dangos duomenys, adreso informacija (savivaldybės, gyvenamosios vietovės, gatvės pavadinimas);

18.2. kelių projektų duomenų rinkinys, kuriame saugomi Kelių direkcijos su rangovais pasirašytose sutartyse nurodytų kelių objektų duomenys, kelio objekte rangovo atliktų kelių projektavimo, tiesimo, taisymo, priežiūros ir kitų darbų duomenys;

18.3. kelių techninių projektų duomenų rinkinys, kuriame saugoma informacija apie parengtus kelių techninius projektus (erdviniai duomenys dwg, pdf, kitais formatais);

18.4. Lietuvos Respublikos teritorijos M 1:10 000 skaitmeninis rastrinis ortofotografinis žemėlapis ORT10LT;

18.5. Georeferencinio pagrindo kadastro erdvinių duomenų rinkinys, naudojamas rinkti, kaupti, saugoti, tikslinti ir kitaip tvarkyti valstybinės reikšmės kelių duomenis;

18.6. statistinė informacija apie eismą: eismo intensyvumas, vidutinis greitis, avaringi ruožai ir juodosios dėmės, eismo įvykiai;

18.7. kelių turto vertės ir nusidėvėjimų finansinių duomenų rinkinys, kuriame saugomi duomenys apie realią kelių turto vertę ir turto nusidėvėjimą;

18.8. kelių statybos, remonto, rekonstravimo poreikių duomenų rinkinys, kuriame saugoma informacija apie kelių ir kelių elementų rekonstravimo poreikius;

18.9. rangovų atliktų darbų finansinių duomenų rinkinys, kuriame saugoma informacija apie darbams atlikti skirtas finansines išlaidas;

18.10. erdvinių duomenų rinkinys, kuriame saugomi duomenys, reikalingi kelių statiniams projektuoti, statyti ar eksploatuoti;

18.11. elektroninio statybos darbų žurnalo duomenų rinkinys, kuriame saugoma informacija apie rangovų atliktus darbus ir jų apimtį;

18.12. juridinio asmens duomenų išrašo rinkinys, kuriame saugomi juridinio asmens kodas, pavadinimas, teisinė forma, teisinis statusas, buveinė (adresas) bei juridinio asmens struktūrinio padalinio duomenys (padalinio pavadinimas, teisinė forma, teisinis statusas, buveinė (adresas);

18.13. KTVIS išorinių ir vidinių naudotojų (toliau – KTVIS naudotojai) duomenų rinkinys, kuriame saugomi KTVIS naudotojų duomenys:

18.13.1. KTVIS išorinių naudotojų, prisijungusių kaip rangovo atstovai ar vietinės reikšmės kelių valdytojų arba savininkų atstovai, vardas (-ai), pavardė (-ės), asmens kodas, mirties data (gavus šiuos duomenis iš GR, naudotojo profilis yra padaromas neaktyvus), prisijungimo vardas, užšifruotas prisijungimo slaptažodis, elektroninio pašto adresas, institucijos, kuriai atstovauja KTVIS išorinis naudotojas, duomenys, darbo su KTVIS teisės, prisijungimo prie KTVIS data, laikas, IP adresas bei veiksmai, kuriuos atliko KTVIS išorinis naudotojas;

18.13.2. KTVIS vidinių naudotojų vardas (-ai), pavardė (-ės), prisijungimo vardas, užšifruotas prisijungimo slaptažodis, elektroninio pašto adresas, darbo su KTVIS teisės, prisijungimo prie KTVIS data, laikas, IP adresas bei veiksmai, kuriuos atliko KTVIS vidinis naudotojas;

18.14. KTVIS išorinių naudotojų, prisijungusių kaip valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis valstybės ar savivaldybių institucijose ar įstaigose (toliau – darbuotojai), duomenys:

18.14.1. duomenys apie valstybės tarnautoją ar darbuotoją (asmens kodas, vardas (-ai), pavardė (-ės), valstybės tarnautojo ar darbuotojo identifikavimo kodas VATARAS, valstybės tarnautojo ar darbuotojo pareigybės pavadinimas);

18.14.2. duomenys apie valstybės ar savivaldybių instituciją ar įstaigą, kurioje pareigybė registruota (valstybės ar savivaldybių institucijos ar įstaigos pavadinimas, kodas, valstybės ar savivaldybių institucijos ar įstaigos buveinės adresas, valstybės ar savivaldybių institucijos ar įstaigos teisinis statusas);

18.14.3. duomenys apie valstybės ar savivaldybių institucijos ar įstaigos struktūrinį padalinį, kuriame pareigybė registruota (valstybės ar savivaldybių institucijos ar įstaigos struktūrinio padalinio pavadinimas, įsteigimo teisinis pagrindas, valstybės ar savivaldybių institucijos ar įstaigos struktūrinio padalinio buveinės adresas (nurodomas tada, kai jis skiriasi nuo įstaigos buveinės adreso);

18.14.4. prisijungimo vardas, užšifruotas prisijungimo slaptažodis, elektroninio pašto adresas, darbo su KTVIS teisės, prisijungimo prie KTVIS data, laikas, IP adresas bei veiksmai, kuriuos atliko KTVIS išorinis naudotojas.

19. KTVIS duomenų bazėje tvarkomi duomenys, gaunami iš šių informacinių sistemų ir registrų:

19.1. iš EIS – Nuostatų 18.6 papunktyje nurodyti duomenys;

19.2. per LEI portalą – Nuostatų 18.4 ir 18.5 papunkčiuose nurodyti duomenys;

19.3. iš GR – Nuostatų 18.13.1 papunktyje nurodyti duomenys (vardas (-ai), pavardė (-ės), asmens kodas, mirties data), reikalingi KTVIS naudotojo tapatybei nustatyti ir naudotojo profilio būsenai pakeisti;

19.4. iš JAR – Nuostatų 18.12 papunktyje nurodyti duomenys (išskyrus duomenis apie juridinio asmens struktūrinius padalinius);

19.5. iš AR – Nuostatų 18.1.3 papunktyje nurodyti kelių adresų duomenys (savivaldybės, gyvenamosios vietovės, gatvės pavadinimas);

19.6. iš NTR – Nuostatų 18.1.3 papunktyje nurodyti kelių numeriai, kelių pavadinimai, kelių ilgiai, kelių savininkų ir (arba) valdytojų pavadinimai, viršutinės kelių dangos duomenys;

19.7. iš VIISP – Nuostatų 18.13.1 papunktyje nurodyti tapatybės nustatymo duomenys (vardas (-ai), pavardė (-ės), asmens kodas);

19.8. iš VATARAS – Nuostatų 18.14.1–18.14.3 papunkčiuose nurodyti duomenys.

20. Vietinės reikšmės kelių valdytojai arba savininkai teikia per KTVIS el. paslaugų portalą Nuostatų 18.1.3 papunktyje nurodytus duomenis.

21. Rangovai per KTVIS el. paslaugų portalą teikia Nuostatų 18.2, 18.3, 18.10 ir
18.11 papunkčiuose nurodytus duomenis.

IV SKYRIUS

KTVIS FUNKCINĖ STRUKTŪRA

22. KTVIS funkcinę struktūrą sudaro:

22.1. kelių turto valdymo posistemis, kurio funkcijos – apskaityti valstybinės ir vietinės reikšmės kelius ir jų elementus, rinkti, kaupti, saugoti, tikslinti, analizuoti, skleisti ir kitaip tvarkyti Nuostatų III skyriuje nurodytus KTVIS duomenis ir teikti duomenų gavėjams duomenis apie kelius. Kelių turto valdymo posistemį sudaro moduliai:

22.1.1. turto valdymo modulis, kuris atlieka centralizuoto kaupimo, valdymo ir kelių turto duomenų susiejimo su visu turto gyvavimo ciklu funkcijas;

22.1.2. turto finansinių duomenų valdymo modulis, kuris atlieka kelio vertės, nusidėvėjimo apskaičiavimus bei kelio užimamos žemės vertės apskaitymus;

22.1.3. darbų valdymo modulis, kuris atlieka numatytosios priežiūros, suplanuotų (projektų) ir pagal poreikį atsiradusių (darbo užsakymų) kelių darbų valdymo, duomenų analizės, kontrolės, pakeitimų valdymo, dokumentų valdymo funkcijas;

22.1.4. sandėlio valdymo modulis, kuris atlieka prekių, reikalingų Kelių direkcijos funkcijoms vykdyti, valdymo (priėmimo, paskirstymo, saugojimo, perkėlimo ir nurašymo) funkcijas bei valstybinės reikšmės kelių rekonstravimo, kapitalinio ar paprastojo remonto metu susidarančių likutinių medžiagų apskaitos, saugojimo, tolesnio jų panaudojimo funkcijas;

22.1.5. pirkimų valdymo modulis, kuris atlieka kelių projektavimo, tiesimo, taisymo paslaugų užsakymo administravimo funkcijas ir kuris skirtas kelių turto gedimų šalinimo bei priežiūros darbams reikalingoms pirkimų paraiškoms suformuoti ir pirkimo užsakymo kontrolės funkcijoms pasirašius rangos darbų sutartis vykdyti;

22.1.6. sutarčių valdymo modulis, kuris atlieka su paslaugų teikėjais ir medžiagų tiekėjais sudarytų pirkimo bei garantinių įsipareigojimų sutarčių administravimą, seka pirkimo sutarčių galiojimą, lėšų išnaudojimą, generuoja atitinkamus priminimus, susieja pirkimo sutartis su klasifikuotomis prekėmis bei paslaugomis, susieja sutarčių specifikacijas su kelių remontui ar priežiūrai naudojamomis prekėmis ir paslaugomis;

22.1.7. biudžeto prognozės modeliavimo valdymo modulis, kuris atlieka biudžeto panaudojimo galimybių vertinimo funkcijas;

22.1.8. biudžeto valdymo modulis, kuris atlieka projektų vykdymo ir kelių turto gedimų šalinimo, remonto bei priežiūros darbų biudžeto sekimo funkcijas, taip pat biudžeto korekcijos (revizijas) ir biudžeto tvirtinimo funkcijas;

22.1.9. erdvinių duomenų valdymo modulis, kuris atlieka erdvinių objektų administravimą bei susiejimą su KTVIS saugomais objektais;

22.1.10. brėžinių valdymo modulis, kuris atlieka KTVIS saugomo objekto brėžinio ar projektinės dokumentacijos apskaitą bei versijų kontrolę;

22.1.11. mobiliosios programėlės modulis, kuris atlieka KTVIS darbo poreikio ir kelių turto sukūrimo mobiliuosiuose įrenginiuose funkcijas;

22.1.12. veiklos analitinių ataskaitų rengimo modulis, kuris sudaro galimybes įvairiais pjūviais analizuoti KTVIS saugomus duomenis apie kelių turtą;

22.2. elektroninių paslaugų posistemis, kurį sudaro:

22.2.1. rangovų informacijos pateikimo modulis, kuris sudaro galimybę rangovams gauti informaciją apie kelių projektus ir sutartis, teikti ir derinti darbų atlikimo grafikus, pinigų srautų prognozes, kurti naujus darbo poreikius ir darbo užsakymus, teikti ir derinti atliktų darbų aktus, gauti informaciją, reikalingą jiems užpildyti, iš elektroninio statybos darbų žurnalo posistemio, taip pat sudaro galimybes atlikti dokumentų valdymo funkcijas: teikti, gauti, derinti, pasirašyti el. parašu naujus dokumentus, matyti jų būsenų pasikeitimus;

22.2.2. centralizuoto kelių duomenų tvarkymo modulis, kuris leidžia KTVIS naudotojams gauti informaciją apie registruotus vietinės reikšmės kelius ir pildyti (rankiniu būdu ar naudojant importo įrankius) informaciją apie neregistruotus vietinės reikšmės kelius, peržiūrėti vietinės reikšmės kelių turto duomenis, formuoti ataskaitas pagal sistemoje iš anksto parengtus šablonus;

22.3. elektroninio statybos darbų žurnalo posistemis, kuris atlieka atliktų statybos darbų eigos ir kokybės fiksavimo bei susijusių duomenų tvarkymo funkcijas;

22.4. geografinės informacijos tvarkymo posistemis, kuris leidžia atlikti šias funkcijas: rinkti, kaupti, saugoti, tikslinti ir kitaip tvarkyti valstybinės reikšmės kelių duomenis naudojant Georeferencinio pagrindo kadastro erdvinių duomenų rinkinį, teikti duomenis KVIS vidiniams naudotojams per interneto portalą panaudojant Lietuvos teritorijos georeferencinį pagrindą ir Lietuvos teritorijos ortofotografinį žemėlapį;

22.5. administravimo posistemis, kurio funkcijos – administruoti KTVIS naudotojus ir jų teises, tvarkyti klasifikatorius, valdyti integracinius duomenų srautus, formuoti ataskaitas, valdyti saugumo ir veikimo parametrus.

V SKYRIUS

KTVIS duomenų teikimas ir naudojimas

23. KTVIS tvarkomi duomenys, išskyrus asmens duomenis bei duomenis, kurie nurodyti kaip konfidencialūs, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.

24. KTVIS tvarkomi asmens duomenys teikiami Nuostatų 28 punkto nustatyta tvarka, laikantis Reglamento (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymo.

25. KTVIS tvarkomi duomenys teikiami neatlygintinai.

26. KTVIS tvarkomi duomenys teikiami tokio turinio ir formato, kaip yra tvarkomi.

27. Jeigu parengtinis perduodamų KTVIS duomenų turinys ar formatas neatitinka prašančiojo registro ar valstybės informacinės sistemos tvarkytojo poreikių arba prašantysis registro ar valstybės informacinės sistemos tvarkytojas neturi techninių galimybių reikiamai apdoroti gautų KTVIS duomenų, jeigu dėl sąsajų tarp registro ir (arba) informacinės sistemos nebuvimo nėra galimybės perduoti reikalingų duomenų, KTVIS tvarkytojas Lietuvos Respublikos Vyriausybės nustatyta tvarka sukuria priemones, reikalingas prašomam KTVIS duomenų formatui ar turiniui parengti ir (arba) apdoroti. Šių priemonių sukūrimo sąnaudų tinkamumą ir pagrįstumą vertina Vyriausybės įgaliota institucija ir šios priemonės finansuojamos iš valstybės biudžeto lėšų Vyriausybės nustatyta tvarka.

28. KTVIS duomenys, įskaitant asmens duomenis, teikiami KTVIS duomenų gavėjui pagal duomenų teikimo sutartis (daugkartinio teikimo atvejais) arba duomenų gavėjo prašymą (vienkartinio teikimo atvejais). Kai KTVIS duomenys, įskaitant asmens duomenis, teikiami pagal KTVIS duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomų duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai KTVIS duomenys, įskaitant asmens duomenis, teikiami KTVIS duomenų gavėjui pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teikiamų duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, sąlygos, duomenų teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

29. Pagal duomenų teikimo sutartis kitoms valstybės informacinėms sistemoms ir registrams KTVIS tvarkomi duomenys teikiami automatiniu būdu elektroninių ryšių tinklais.

30. Duomenų gavėjo prašymu KTVIS tvarkomi duomenys teikiami raštu, žodžiu ir (ar) elektroninių ryšių priemonėmis.

31. Atsisakyti teikti KTVIS duomenis galima tik Valstybės informacinių išteklių valdymo įstatymo 27 straipsnio 7 dalyje nurodytais pagrindais.

32. Kai atsisakoma teikti KTVIS duomenis, asmeniui, pateikusiam prašymą gauti KTVIS duomenis, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

33. Pakartotinai naudoti teikiami ir publikuojami šie duomenų rinkiniai: valstybinės reikšmės kelių tinklo duomenys, kelių elementų duomenys, kelių projektų duomenys, kelių turto vertės ir nusidėvėjimų finansiniai duomenys bei vietinės reikšmės kelių duomenys.

34. KTVIS duomenis, įskaitant asmens duomenis, duomenų gavėjas gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nurodyti duomenų gavėjo prašyme arba duomenų teikimo sutartyje. Asmens duomenys naudojami vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu.

35. KTVIS tvarkomi duomenys, įskaitant asmens duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka, Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu.

36. Kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems teisės aktams.

37. KTVIS duomenų gavėjas, KTVIS duomenų teikėjas, susijusio registro ar kitos informacinės sistemos tvarkytojas, kiti asmenys, pastebėję netikslumų, turi teisę reikalauti KTVIS valdytojo ir (arba) Kelių direkcijos ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis arba apriboti KTVIS duomenų tvarkymą, apie tai raštu pranešdami KTVIS valdytojui ir (arba) Kelių direkcijai.

38. Kelių direkcija, gavusi reikalavimą patikslinti ar ištaisyti netikslius, neteisingus, neišsamius duomenis (toliau – netikslūs duomenys), per 5 darbo dienas nuo informacijos gavimo patikrina KTVIS duomenų tikslumą ir, jei reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisiusi netikslius duomenis, Kelių direkcija per vieną darbo dieną nuo jų ištaisymo elektroninių ryšių priemonėmis arba raštu apie tai praneša KTVIS duomenų gavėjams, kuriems perduoti netikslūs duomenys. Kelių direkcija, nustačiusi, kad KTVIS yra duomenų netikslumų, turi nedelsdama (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių priemonėmis ir (ar) raštu perduoti šią informaciją susijusiam duomenų teikėjui.

VI SKYRIUS

KTVIS DUOMENŲ SAUGA

39. KTVIS duomenų saugą reglamentuoja Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatai ir KTVIS saugos politikos įgyvendinamieji dokumentai, kurie rengiami, derinami ir tvirtinami Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.

40. Už KTVIS duomenų, įskaitant asmens duomenis, ir elektroninės informacijos saugą pagal kompetenciją atsako KTVIS valdytojas, Kelių direkcija ir KTVIS paslaugos teikėjas (-ai) Lietuvos Respublikos įstatymų nustatyta tvarka. KTVIS valdytojas, Kelių direkcija ir KTVIS paslaugos teikėjas (-ai) atsako už KTVIS duomenų, įskaitant asmens duomenis, tvarkymo teisėtumą ir pagal kompetenciją privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas KTVIS esantiems duomenims apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų KTVIS duomenų pobūdį, aprėptį, kontekstą ir tikslus, taip pat KTVIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.

41. KTVIS duomenų, įskaitant asmens duomenų, sauga užtikrinama vadovaujantis:

41.1. Reglamentu (ES) 2016/679;

41.2. Valstybės informacinių išteklių valdymo įstatymu;

41.3. Kibernetinio saugumo įstatymu;

41.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

41.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu;

41.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

41.7. Lietuvos standartais LST EN ISO/IEC 27001, LST EN ISO/IEC 27002 ir kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

41.8. Nuostatais ir Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatais;

41.9. kitais duomenų saugą reglamentuojančiais teisės aktais.

42. Asmenys, tvarkantys asmens duomenis, yra įpareigoti saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai, ir už neteisėtą asmens duomenų atskleidimą atsako Lietuvos Respublikos įstatymų nustatyta tvarka. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus jų darbo, sutartiniams ar kitiems santykiams.

43. Duomenys saugomi KTVIS duomenų bazėje iki naujų duomenų gavimo, atnaujinus duomenis seni duomenys iš KTVIS duomenų bazės perkeliami į KTVIS duomenų bazės archyvą, kuriame duomenys saugomi neterminuotai. Asmens duomenys KTVIS duomenų bazėje saugomi
2 metus nuo KTVIS naudotojo paskyros uždarymo dienos. Pasibaigus nurodytam asmens duomenų saugojimo terminui, asmens duomenys nedelsiant sunaikinami. Už asmens duomenų sunaikinimą atsakinga Kelių direkcija.

VII SKYRIUS

KTVIS FINANSAVIMAS

44. KTVIS kūrimas ir diegimas finansuojami Lietuvos Respublikos valstybės biudžeto ir Europos Sąjungos struktūrinės paramos lėšomis. KTVIS techninė priežiūra ir modernizavimas finansuojami iš Lietuvos Respublikos valstybės biudžeto lėšų ir Europos Sąjungos struktūrinės paramos lėšų.

VIII SKYRIUS

KTVIS modernizavimas ir likvidavimas

45. KTVIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.

46. Likviduojamos KTVIS dokumentai ir duomenys perduodami kitai valstybės informacinei sistemai arba sunaikinami ar perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

Baigiamosios nuostatos

47. Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias KTVIS veiklą, atsako įstatymų nustatyta tvarka.

48. Detali duomenų subjekto teisių įgyvendinimo tvarka nustatyta Lietuvos Respublikos susisiekimo ministro tvirtinamame Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos susisiekimo ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos apraše.

__________________________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2021 m. spalio 25 d. įsakymu Nr. 3-497

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO

INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS) saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), kurių tikslas – nustatyti ir įgyvendinti organizacines, administracines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti KTVIS duomenis ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.

2. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Aprašas).

3. KTVIS saugos politiką nustato šie Lietuvos Respublikos susisiekimo ministro patvirtinti teisės aktai (toliau – saugos politikos įgyvendinamieji teisės aktai):

3.1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės;

3.2. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos naudotojų administravimo taisyklės;

3.3. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos veiklos tęstinumo valdymo planas.

4. Saugos nuostatai kartu su saugos politikos įgyvendinamaisiais teisės aktais sudaro KTVIS saugos dokumentus.

5. KTVIS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – KTVIS elektroninės informacijos sauga) užtikrinimo tikslai:

5.1. sudaryti sąlygas saugiai automatizuotomis priemonėmis tvarkyti KTVIS elektroninę informaciją;

5.2. užtikrinti KTVIS elektroninės informacijos patikimumą, konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterinės, programinės ir ryšių įrangos funkcionavimą;

5.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), asmens duomenų saugumo pažeidimų prevenciją, reaguoti į saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

6. KTVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

6.1. KTVIS elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

6.2. KTVIS elektroninės informacijos tvarkymo kontrolė;

6.3. saugaus darbo su KTVIS elektronine informacija kontrolė;

6.4. fizinė KTVIS elektroninės informacijos tvarkymo priemonių (tarnybinių stočių, informacijos perdavimo įrangos, programinės įrangos) ir patalpų apsauga;

6.5. KTVIS veiklos tęstinumas.

7. Saugos nuostatais privalo vadovautis:

7.1. valstybės įmonės Lietuvos automobilių kelių direkcijos (toliau – Kelių direkcija) darbuotojai, dirbantys pagal darbo sutartis, KTVIS saugos įgaliotinis (toliau – saugos įgaliotinis), KTVIS administratorius, asmuo ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas), KTVIS duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis);

7.2. Kelių direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos KTVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – KTVIS paslaugos teikėjas (-ai), darbuotojai, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys KTVIS elektroninę informaciją (toliau – KTVIS paslaugos teikėjo (-ų) darbuotojai);

7.3. kiti subjektai, kuriems taikomi Saugos nuostatų reikalavimai.

8. KTVIS valdytoja yra Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius).

9. KTVIS tvarkytojai yra Kelių direkcija (J. Basanavičiaus g. 36, 03109 Vilnius) ir KTVIS paslaugos teikėjas (-ai).

10. KTVIS valdytojo funkcijos ir atsakomybė:

10.1. atsako už KTVIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

10.2. tvirtina KTVIS saugos dokumentus, prižiūri ir kontroliuoja, kad KTVIS būtų tvarkoma vadovaujantis šiais dokumentais, KTVIS nuostatais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

10.3. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą;

10.4. atsižvelgdamas į kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitą, prireikus tvirtina nustatytų trūkumų šalinimo planą;

10.5. priima sprendimą atlikti KTVIS informacinių technologijų saugos atitikties vertinimą;

10.6. prireikus tvirtina KTVIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

10.7. pagal kompetenciją atsako už KTVIS elektroninės informacijos saugą;

10.8. nagrinėja Kelių direkcijos pasiūlymus dėl KTVIS elektroninės informacijos saugos tobulinimo ir priima dėl jų sprendimus;

10.9. įpareigoja Kelių direkciją paskirti saugos įgaliotinį, duomenų valdymo įgaliotinį, KTVIS administratorių ir kibernetinio saugumo vadovą;

10.10. atlieka kitas KTVIS saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, nustatytas funkcijas.

11. Kelių direkcijos funkcijos ir atsakomybė:

11.1. rengia ir pateikia KTVIS valdytojui tvirtinti KTVIS saugos dokumentų projektus;

11.2. pagal kompetenciją atsako už KTVIS elektroninės informacijos tvarkymo teisėtumą, saugumą ir užtikrina KTVIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir KTVIS saugos dokumentams;

11.3. pagal kompetenciją prižiūri KTVIS komponentus, už kurių tvarkymą yra atsakinga Kelių direkcija, užtikrina jų veikimą;

11.4. rūpinasi KTVIS duomenų saugumu, užtikrina tinkamą KTVIS administravimą ir nepertraukiamą KTVIS veiklą;

11.5. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir KTVIS saugos reikalavimų atitiktį Saugos nuostatams ir saugos politikos įgyvendinamiesiems teisės aktams;

11.6. teikia KTVIS valdytojui pasiūlymus dėl KTVIS elektroninės informacijos saugos tobulinimo;

11.7. skiria saugos įgaliotinį, duomenų valdymo įgaliotinį, KTVIS administratorių ir kibernetinio saugumo vadovą;

11.8. atlieka kitas KTVIS valdytojo pavestas, KTVIS saugos dokumentuose bei teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, priskirtas funkcijas.

12. KTVIS paslaugos teikėjo (-ų) vadovas (-ai) paskiria administratorių (-ius) (toliau – KTVIS paslaugos teikėjo administratorius), jis nurodomas Kelių direkcijos ir KTVIS paslaugų teikėjo (-ų) sudarytoje (-ose) sutartyje (-yse).

13. Saugos įgaliotinio funkcijos ir atsakomybė:

13.1. įgyvendina KTVIS duomenų saugą;

13.2. teikia Kelių direkcijos vadovui pasiūlymus dėl:

13.2.1. KTVIS saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.2.2. KTVIS informacinių technologijų saugos atitikties vertinimo atlikimo Aprašo
43 punkte nurodytoje Lietuvos Respublikos krašto apsaugos ministro tvirtinamoje Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;

13.2.3. KTVIS administratoriaus paskyrimo ir reikalavimų jam nustatymo;

13.3. užtikrina KTVIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

13.4. informuoja Kelių direkcijos vadovą apie KTVIS saugos problemas;

13.5. atsako už KTVIS saugos dokumentuose numatytų reikalavimų ir funkcijų vykdymą;

13.6. organizuoja KTVIS rizikos įvertinimą, prireikus – neeilinį KTVIS rizikos įvertinimą ir KTVIS informacinių technologijų saugos atitikties įvertinimą;

13.7. koordinuoja saugos incidentų, įvykusių KTVIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

13.8. pasirašytinai supažindina Kelių direkcijos darbuotojus, dirbančius pagal darbo sutartį ir KTVIS naudojančius paskirtoms funkcijoms vykdyti, bei KTVIS paslaugos teikėjo (-ų) darbuotojus (toliau kartu – KTVIS vidiniai naudotojai), KTVIS administratorių ir KTVIS paslaugos teikėjo administratorių su KTVIS saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių dokumentų reikalavimų nesilaikymą;

13.9. teikia KTVIS administratoriui, KTVIS paslaugos teikėjo administratoriui ir KTVIS vidiniams naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

13.10. periodiškai inicijuoja KTVIS administratoriaus, KTVIS paslaugos teikėjo administratoriaus ir KTVIS vidinių naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas (priminimai elektroniniu paštu, teminiai seminarai, atmintinės naujiems darbuotojams ir kt.);

13.11. atlieka kitas Kelių direkcijos vadovo pavestas užduotis, KTVIS saugos dokumentuose ir kituose saugos reikalavimus nustatančiuose teisės aktuose jam priskirtas funkcijas.

14. Saugos įgaliotinis negali atlikti KTVIS administratoriaus funkcijų.

15. KTVIS administratoriaus funkcijos ir atsakomybė:

15.1. registruoja išorinius ir vidinius KTVIS naudotojus, nustato prieigos prie KTVIS teises;

15.2. vyko KTVIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos, kurios pagrindu funkcionuoja KTVIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei KTVIS komponentų sąranka) administravimą;

15.3. nustato KTVIS pažeidžiamas vietas, vykdo saugumo reikalavimų atitikties stebėseną;

15.4. pagal kompetenciją rengia ir teikia Kelių direkcijos vadovui ir saugos įgaliotiniui pasiūlymus dėl KTVIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

15.5. reaguoja į saugos incidentus, registruoja saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja saugos įgaliotinį apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;

15.6. užtikrina įdiegtą KTVIS sąveiką su kitomis informacinėmis sistemomis ir registrais;

15.7. perkelia KTVIS elektroninę informaciją į KTVIS duomenų bazės archyvą ir tvarko elektroninės informacijos perkėlimo įrašų žurnalą;

15.8. sunaikina asmens duomenis KTVIS duomenų bazėje, pasibaigus asmens duomenų saugojimo terminui, nurodytam Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatų 43 punkte;

15.9. teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę, saugos politikos pažeidimus, nustatytas KTVIS pažeidžiamas vietas;

15.10. dalyvauja atkuriant KTVIS elektroninę informaciją iš atsarginių KTVIS elektroninės informacijos kopijų;

15.11. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su KTVIS saugos politikos įgyvendinimu;

15.12. ne rečiau kaip kartą per metus ir (arba) atlikus KTVIS pakeitimus tikrina (peržiūri) KTVIS sąranką ir KTVIS būsenos rodiklius;

15.13. pagal kompetenciją atsako už techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

15.14. atlieka kitas KTVIS saugos dokumentuose administratoriui priskirtas funkcijas ir kitus Kelių direkcijos vadovo nurodymus ir pavedimus, susijusius su KTVIS saugos užtikrinimu.

16. Kelių direkcija turi paskirti darbuotoją, kontroliuojantį KTVIS paslaugos teikėjo (-ų) darbą (toliau – paslaugos teikėjo administratorius).

17. KTVIS paslaugos teikėjo administratoriaus funkcijos ir atsakomybė:

17.1. atlieka KTVIS paslaugos teikėjo darbuotojų, KTVIS naudojančių sutartiniams įsipareigojimams vykdyti, asmens duomenų administravimą;

17.2. rengia ir tikrina KTVIS sudarančių komponentų sąranką, teikia KTVIS administratoriui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

17.3. prižiūri KTVIS sudarančias dalis (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimo aptikimo sistemas, duomenų perdavimo tinklus ir kt.), kontroliuoja KTVIS ir ją sudarančių komponentų nepertraukiamą veikimą ir už tai atsako;

17.4. reaguoja į saugos incidentus, registruoja juos ir informuoja KTVIS administratorių apie nustatytus saugos politikos pažeidimus, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja KTVIS administratorių apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;

17.5. užtikrina, kad būtų laikomasi KTVIS saugos dokumentų ir kitų teisės aktų reikalavimų;

17.6. įdiegia programinės įrangos atnaujinimus, nustato automatinio atnaujinimo procedūras;

17.7. kontroliuoja ir prižiūri programinės ir kompiuterinės įrangos diegimo procesus;

17.8. tikrina pranešimus apie serverių operacinių sistemų ir duomenų bazių valdymo sistemų klaidas ir imasi būtinų priemonių, kad būtų išvengta galimų gedimų;

17.9. daro ir atkuria atsargines KTVIS elektroninės informacijos kopijas;

17.10. atsako už KTVIS elektroninės informacijos atsarginių kopijų darymą, tinkamumą ir saugojimą bei naikinimą;

17.11. atlieka kitas Kelių direkcijos ir KTVIS paslaugos teikėjo sutartyje numatytas funkcijas, KTVIS saugos dokumentuose KTVIS paslaugos teikėjo administratoriui priskirtas funkcijas.

18. Kibernetinio saugumo vadovas atlieka šias funkcijas:

18.1. koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;

18.2. atlieka kitas KTVIS saugos dokumentuose nurodytas ir kituose teisės aktuose, reglamentuojančiuose kibernetinį saugumą, jam priskirtas funkcijas.

19. Saugos įgaliotinis ir kibernetinio saugumo vadovas gali būti tas pats asmuo.

20. Teisės aktų, kuriais vadovaujamasi tvarkant KTVIS elektroninę informaciją ir užtikrinant jos saugą, sąrašas:

20.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas);

20.2. Kibernetinio saugumo įstatymas;

20.3. Valstybės informacinių išteklių valdymo įstatymas;

20.4. Aprašas;

20.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu
Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Klasifikavimo gairių aprašas);

20.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Kibernetinio saugumo aprašas);

20.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu
Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

20.8. Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001, Lietuvos ir tarptautiniai „Informacinės technologijos. Saugumo metodai“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;

20.9. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatai;

20.10. KTVIS saugos dokumentai;

20.11. kiti teisės aktai ir dokumentai, reglamentuojantys informacinių sistemų duomenų tvarkymo teisėtumą ir elektroninės informacijos saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

21. KTVIS tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai vadovaujantis Klasifikavimo gairių aprašo 8.3 ir 8.4 papunkčiais.

22. KTVIS priskiriama antros kategorijos informacinėms sistemoms vadovaujantis Klasifikavimo gairių aprašo 12.2 papunkčiu.

23. KTVIS rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:

23.1. rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip. KTVIS rizikos įvertinimas atliekamas pagal kokybinį rizikos vertinimo metodą. Prireikus saugos įgaliotinis gali organizuoti neeilinį KTVIS rizikos įvertinimą. Neeilinis KTVIS rizikos įvertinimas atliekamas pasikeitus KTVIS struktūrai (esminiai KTVIS funkciniai pakitimai ir programinės įrangos keitimas), įvykus dideliems Kelių direkcijos organizaciniams pokyčiams, atsiradus naujų informacinių technologijų saugos srities reikalavimų, po saugos incidento, kurio metu buvo sutrikdyta KTVIS veikla, sugadinta ar prarasta KTVIS tvarkoma elektroninė informacija. Kartu su pagrindiniu KTVIS rizikos įvertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos KTVIS kibernetiniam saugumui, vertinimas;

23.2. atliekant rizikos įvertinimą vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka, gerosios praktikos pavyzdžiais (COBIT ar kitais), elektroninės informacijos saugą reglamentuojančiais teisės aktais;

23.3. rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas ne vėliau kaip per 5 darbo dienas pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka;

23.4. KTVIS tvarkytojo rašytiniu pavedimu KTVIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Rizikos įvertinimui atlikti sutartiniais pagrindais gali būti samdomi tretieji asmenys.

24. Rizikos įvertinimo metu atliekamos veiklos:

24.1. KTVIS sudarančios įrangos inventorizacija;

24.2. įtakos KTVIS veiklai vertinimas;

24.3. grėsmių ir pažeidimų analizė;

24.4. liekamosios rizikos vertinimas.

25. KTVIS rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje ir ji pateikiama Kelių direkcijos vadovui. KTVIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos KTVIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. KTVIS rizikos įvertinimo ataskaitą rengia arba, jei vertinimą atlieka trečioji šalis, dalyvauja rengiant saugos įgaliotinis. Svarbiausi rizikos veiksniai:

25.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

25.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis siekiant gauti KTVIS elektroninės informacijos, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

25.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

26. Atsižvelgdamas į rizikos įvertinimo ataskaitą, KTVIS valdytojas prireikus tvirtina KTVIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

27. Kibernetinio saugumo atitikties reikalavimams vertinimo metu taip pat turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinių sistemų kibernetiniam saugumui, vertinimas, kurio metu imituojamos kibernetinės atakos ir vykdomos kibernetinių incidentų imitavimo pratybos. Kibernetinių atakų imitavimas turi būti atliekamas šiais etapais:

27.1. planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos;

27.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių tarnybinių stočių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją;

27.3. kibernetinių atakų imitavimo etapas. Atliekami pažeidžiamumų nustatymo plane numatyti testai;

27.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

28. Atsižvelgiant į kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitą, rengiamas nustatytų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, KTVIS valdytojo vadovui teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų KTVIS valdytojo vadovo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Nustatytų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato KTVIS valdytojo vadovas.

29. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitos ir nustatytų trūkumų šalinimo plano kopijas KTVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

30. Siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip, atlieka KTVIS informacinių technologijų saugos atitikties vertinimą.

31. KTVIS informacinių technologijų saugos atitikties vertinimo metu:

31.1. įvertinama esamos KTVIS elektroninės informacijos saugos situacijos atitiktis KTVIS saugos dokumentams ir kitiems elektroninės informacijos saugą reglamentuojantiems teisės aktams;

31.2. inventorizuojama KTVIS techninė ir programinė įranga;

31.3. įvertinama KTVIS administratoriui, KTVIS paslaugos teikėjo administratoriui, KTVIS vidiniams naudotojams ir Kelių direkcijos rangovų teisės aktų nustatyta tvarka paskirtiems atstovams arba laimėjusiems Kelių direkcijos skelbtus duomenų rinkimo, tikrinimo, tikslinimo ir analizavimo konkursus atstovams, vietinės reikšmės kelių valdytojų arba savininkų atstovams, valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis valstybės ar savivaldybių institucijose ar įstaigose, kurie naudojasi KTVIS elektronine paslauga, (toliau – KTVIS išoriniai naudotojai) suteiktų teisių ir vykdomų funkcijų atitiktis;

31.4. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų KTVIS vidinių naudotojų kompiuterizuotų darbo vietų, visose KTVIS tarnybinėse stotyse įdiegtos programos ir jų sąranka;

31.5. įvertinamas pasirengimas užtikrinti KTVIS veiklos tęstinumą įvykus saugos incidentui.

32. Atlikus KTVIS informacinių technologijų saugos atitikties vertinimą, parengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir pateikiama Kelių direkcijos vadovui, taip pat prireikus parengiamas pastebėtų trūkumų šalinimo planas, jį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus KTVIS valdytojas.

33. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas KTVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

34. Techninės, programinės ir organizacinės KTVIS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į KTVIS valdytojo ir Kelių direkcijos turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:

34.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

34.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

34.3. esant galimybei, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

35. Prireikus saugos įgaliotinis gali organizuoti neeilinį KTVIS informacinių technologijų saugos atitikties vertinimą.

36. Neeilinis KTVIS informacinių technologijų saugos atitikties vertinimas atliekamas:

36.1. įvykus KTVIS techninės ar programinės įrangos pokyčiams, kurie gali turėti įtakos KTVIS veikimui;

36.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė KTVIS techninei, programinei įrangai ar KTVIS tvarkomai elektroninei informacijai;

36.3. po saugos incidento, kurio metu buvo sutrikdyta KTVIS veikla, sugadinta ar prarasta KTVIS elektroninė informacija.

37. Pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos KTVIS.

38. KTVIS pokyčius gali inicijuoti saugos įgaliotinis ar KTVIS administratorius, o įgyvendina KTVIS administratorius.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

39. Nustatomi šie KTVIS naudojamos programinės įrangos reikalavimai:

39.1. KTVIS naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus;

39.2. specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose;

39.3. turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos;

39.4. programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus;

39.5. prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis;

39.6. turi būti atliekami periodiški infrastruktūros atsparumo skverbimuisi testavimai.

40. Programinės įrangos, įdiegtos kompiuterizuotose darbo vietose (toliau – KDV) ir tarnybinėse stotyse, naudojimo nuostatos ir reikalavimai:

40.1. KTVIS turi būti naudojama tik legali programinė įranga;

40.2. tarnybinėse stotyse, KTVIS vidinių naudotojų ir KTVIS išorinių naudotojų (toliau – KTVIS naudotojai) KDV privalo būti naudojama programinė įranga, kuri apsaugo nuo kenksmingos programinės įrangos ir kuri turi būti atnaujinama ne rečiau kaip kartą per parą laikantis gamintojo reikalavimų;

40.3. diegti ir naudoti programinę įrangą, nesusijusią su KTVIS valdytojo ar Kelių direkcijos veikla ar KTVIS vidinio naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programas ir kt.), draudžiama;

40.4. KDV, programinė įranga, jos sertifikatai ir licencijos turi būti kasmet inventorizuojami;

40.5. draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą KTVIS vidinio naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri KTVIS paslaugos teikėjo administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik KTVIS paslaugos teikėjo administratoriaus prižiūrimi;

40.6. turi būti naudojama programinė įranga, leidžianti atlikti KTVIS naudojamų kompiuterių tinklų stebėseną ir užtikrinanti šių tinklų saugos prevencines priemones;

40.7. KTVIS tarnybinėse stotyse negali būti įdiegta programinė įranga, kuri yra nesusijusi su KTVIS veikla.

41. Programinės įrangos, skirtos apsaugoti KTVIS nuo kenkimo programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamų elektroninių laiškų ir pan.), naudojimo nuostatos:

41.1. antivirusinė programinė įranga yra naudojama KDV ir serveriuose;

41.2. ugniasienės yra naudojamos KDV ir serveriams apsaugoti;

41.3. KTVIS vidinių naudotojų kompiuteriuose naudojama įranga, skirta KDV apsaugoti nuo kenksmingos programinės įrangos, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV;

41.4. atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta KTVIS ir KDV apsaugoti nuo kenksmingos programinės įrangos;

41.5. KDV esančios programinės įrangos, skirtos KTVIS ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus;

41.6. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

41.7. apsaugos sistema privalo automatiškai informuoti KTVIS administratorių apie KDV ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;

41.8. KTVIS operacinės sistemos ir naudojami programinės įrangos gamintojų rekomenduojami atnaujinimai turi būti įdiegiami nedelsiant;

41.9. KTVIS vidinių naudotojų kompiuterių apsaugos priemonės yra valdomos (ugniasienių įjungimas ir konfigūravimas, antivirusinių programų ir operacinių sistemų atnaujinimas) centralizuotai;

41.10. antivirusinių programų duomenų bazės turi būti atnaujinamos ne rečiau kaip kartą per parą.

42. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie KTVIS:

42.1. KTVIS naudotojai privalo turėti galimybę naudotis tik tokiomis teisėmis ir tais duomenimis, kurie jiems numatyti nustačius prieigos prie KTVIS teises, įgyvendinant principą „būtina žinoti“;

42.2. KTVIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus klasifikatorių, kuriuo naudojantis nebūtų galima atlikti KTVIS naudotojo funkcijų;

42.3. KTVIS naudotojas turi būti KTVIS unikaliai identifikuojamas – KTVIS naudotojas turi patvirtinti savo tapatybę slaptažodžiu, KTVIS naudotojui suteiktas pirminis slaptažodis turi būti pakeistas pirmo prisijungimo metu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos naudotojų administravimo taisyklėmis;

42.4. prieigą prie KTVIS suteikia, apriboja ir panaikina KTVIS administratorius;

42.5. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam KTVIS naudotojui;

42.6. prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, KTVIS pasiekiama visą parą;

42.7. KTVIS naudotojui 15 minučių neatliekant jokių veiksmų informacinėje sistemoje, informacinės sistemos taikomoji programinė įranga turi užsirakinti, kad toliau naudotis KTVIS būtų galima tik pakartotinai identifikavus KTVIS naudotoją;

42.8. baigus darbą ar pasitraukiant iš darbo vietos KTVIS turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo KTVIS, įjungiama ekrano užsklanda su slaptažodžiu;

42.9. KTVIS vidiniam naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai KTVIS vidinis naudotojas atostogauja, vykdomas KTVIS vidinio naudotojo veiklos tyrimas ir pan. Pasibaigus darbo santykiams, KTVIS vidinio naudotojo teisė naudotis KTVIS turi būti panaikinta.

43. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy ir kt.) pagrindinės naudojimo nuostatos:

43.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose minimos priemonės, duomenų perdavimas šifruotu virtualaus privataus tinklo (angl. virtual private network – VPN) duomenų perdavimo kanalu arba naudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą;

43.2. KTVIS vidiniams naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie KTVIS galimybė;

43.3. kompiuterinis tinklas, prie kurio prijungtos KTVIS tarnybinės stotys ir KTVIS naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirtas ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga, už kurios administravimą ir priežiūrą atsakingas KTVIS paslaugos teikėjo administratorius. Konfigūruojant KTVIS duomenų perdavimo tinklo ugniasienes turi būti:

43.3.1. laikomasi principo „draudžiama viskas, išskyrus tai, kas leidžiama“, t. y. turi būti leidžiami tik būtini prisijungimai prie KTVIS duomenų perdavimo tinklo;

43.3.2. sukurti srauto filtrai, leidžiantys nustatyti ir sustabdyti galimus tyčinius arba netyčinius KTVIS duomenų perdavimo tinklo trikdžius;

43.4. visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

43.5. naudojamos turinio filtravimo sistemos;

43.6. naudojama programinė įranga, leidžianti atlikti KTVIS naudojamų kompiuterių tinklų monitoringą ir užtikrinanti šių tinklų saugos prevencines priemones.

44. Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas šifruotas VPN arba Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT). Elektronine informacija keičiamasi per saugųjį HTTP (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą (HTTPS) žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis tik pagal duomenų teikimo sutartyje nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.

45. Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų KTVIS duomenų teikimą ir (ar) gavimą:

45.1. stacionariuosiuose ir nešiojamuosiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis ir KTVIS įjungimo metu turi būti identifikuojamas KTVIS vidinis naudotojas;

45.2. KTVIS vidinių naudotojų nešiojamiesiems kompiuteriams ne institucijos patalpose privaloma naudoti papildomas saugos priemones, kuriomis KTVIS duomenys perduodami saugiu šifruotu duomenų perdavimo kanalu (VPN);

45.3. stacionarieji ir nešiojamieji KTVIS vidinių naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Iš kompiuterių, kurie perduodami remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo KTVIS elektroninė informacija;

45.4. KTVIS vidiniai naudotojai, darbinėms funkcijoms atlikti naudojantys nešiojamuosius kompiuterius, išnešdami juos iš KTVIS tvarkytojų patalpų, norėdami KTVIS elektroninę informaciją perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti duomenų šifravimą, papildomą KTVIS vidinio naudotojo tapatybės patvirtinimą, rakinimo įrenginį. Nešiojamojo kompiuterio pagrindinės įvesties ir išvesties sistema (BIOS) turi būti apsaugota slaptažodžiu ir nurodytas standusis diskas kaip pirminis paleidimo įrenginys. Iš išorės prie KTVIS duomenų bazės prisijungimas ribojamas. Nešiojamuosiuose kompiuteriuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami. KTVIS vidiniai naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

46. Siekiant užtikrinti saugų elektroninės informacijos teikimą ir gavimą:

46.1. iš duomenų gavėjų elektroniniai duomenys gaunami pagal sutartyse numatytas elektroninių duomenų perdavimo technologijų, jų šifravimo mechanizmų specifikacijas ir kitas sąlygas;

46.2. duomenų gavėjų prieigą prie KTVIS kontroliuoja kompiuterių tinklo užkarda;

46.3. turi būti sudaromi KTVIS elektroninių duomenų, kurių kopijos kuriamos, sąrašai;

46.4. už KTVIS elektroninės informacijos teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas saugos įgaliotinis;

46.5. KTVIS elektroninei informacijai perduoti naudojamas SVDPT arba kitas šifruotas perdavimo kanalas, užtikrinantis saugų elektroninės informacijos perdavimą.

47. Pagrindiniai atsarginių KTVIS elektroninės informacijos kopijų (toliau – atsarginės kopijos) kūrimo ir atkūrimo reikalavimai:

47.1. KTVIS duomenys yra periodiškai, bet ne rečiau kaip kas 24 valandas kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad įvykus saugos incidentui visiškas KTVIS funkcionalumas ir veikla būtų atkurti per 8 valandas;

47.2. atsarginėms kopijoms kurti turi būti naudojama speciali programinė įranga;

47.3. privalo būti visos saugomos elektroninės informacijos rezervinio kopijavimo funkcija;

47.4. KTVIS administratorius privalo turėti galimybę inicijuoti elektroninės informacijos atkūrimo iš rezervinės kopijos procedūrą pasirinktinai iš turimų rezervinių kopijų sąrašo. Atkūrus elektroninę informaciją privalo būti užtikrintas ir išlaikytas elektroninės informacijos vientisumas ir integralumas;

47.5. KTVIS elektroninė informacija KTVIS naudotojams turi būti prieinama ne mažiau kaip 96 procentus sistemos veikimo laiko per mėnesį;

47.6. elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų);

47.7. atsarginės kopijos yra daromos ir saugomos taip, kad jos nebūtų prieinamos tretiesiems asmenims, kurie neturi teisės su jomis dirbti;

47.8. atsarginės kopijos turi būti laikomos atskirai nuo tarnybinių stočių;

47.9. atkūrimo iš atsarginių kopijų funkcija privalo būti išbandoma ne rečiau kaip kartą per metus. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale. Duomenų atkūrimo bandymą organizuoja saugos įgaliotinis;

47.10. atsarginės kopijos saugomos ne daugiau nei 60 dienų nuo jų sukūrimo dienos;

47.11. už atsarginių kopijų darymą ir atkūrimą yra atsakingas KTVIS paslaugos teikėjo administratorius.

48. Nustatomi duomenų naikinimo ir šalinimo reikalavimai:

48.1. prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinta visa joje esanti elektroninė informacija, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pvz., DVD laikmenos), duomenų laikmenos turi būti fiziškai sunaikinamos be galimybės atkurti duomenis;

48.2. prieš šalinant laikmenas, turi būti atlikti visų šalinamų laikmenų daugybiniai programinės įrangos perrašymai.

49. Jeigu saugiems duomenų naikinimo ir šalinimo duomenų laikmenose darbams atlikti yra pasitelkiamos trečiosios šalies paslaugos, turi būti sudaryta atitinkama paslaugų sutartis.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

50. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus ir metodus, rizikų valdymą, kiekvienais metais tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis Reglamentu, KTVIS saugos dokumentais, Aprašu, Informacinių technologijų saugos atitikties vertinimo metodika ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą, taip pat būti susipažinęs su esminiais KTVIS elektroninės informacijos saugos reikalavimais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika.

51. Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, kiekvienais metais tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais, Kibernetinio saugumo aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.

52. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo nuobaudos paskyrimo praėję mažiau kaip vieni metai.

53. KTVIS administratorius ar KTVIS paslaugos teikėjo administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą, būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.

54. KTVIS naudotojai privalo turėti atitinkamą kvalifikaciją (informacinių technologijų naudotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio naudotojo pažymėjimas) ar pan.) ir praktinių įgūdžių dirbant su KTVIS.

55. KTVIS vidiniams naudotojams turi būti nuolat rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie elektroninės saugos problematiką (pvz., priminimai elektroniniu paštu, teminiai seminarai, atmintinės ir pan.). Saugos mokymai organizuojami ne rečiau kaip kartą per metus. Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.

56. KTVIS administratorius, KTVIS paslaugos teikėjo administratorius ir KTVIS vidiniai naudotojai turi būti susipažinę su Reglamentu, KTVIS saugos dokumentais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais ir atsakomybe, gresiančia už KTVIS saugos dokumentų nuostatų pažeidimus. Tvarkyti KTVIS elektroninę informaciją gali KTVIS administratorius, KTVIS paslaugos teikėjo administratorius, KTVIS vidiniai naudotojai, tik pasirašę pasižadėjimą saugoti asmens duomenų paslaptį. Ši pareiga galioja perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.

57. KTVIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias KTVIS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti KTVIS administratoriui ar saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame punkte nurodytus pažeidimus, KTVIS administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus.

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

58. Už KTVIS vidinių naudotojų, KTVIS administratoriaus ir KTVIS paslaugos teikėjo administratoriaus pasirašytinai supažindinimą su KTVIS saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo, atsakingas saugos įgaliotinis.

59. KTVIS administratorių ir KTVIS paslaugos teikėjo administratorių su KTVIS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodymą, supažindina saugos įgaliotinis per 10 darbo dienų nuo KTVIS administratoriaus ar KTVIS paslaugos teikėjo administratoriaus paskyrimo.

60. KTVIS vidiniai naudotojai turi būti supažindinami su KTVIS saugos dokumentais šiais atvejais:

60.1. prieš suteikiant KTVIS vidiniams naudotojams prieigą prie KTVIS;

60.2. pakeitus KTVIS saugos dokumentus;

60.3. periodiškai elektroninės informacijos saugumo mokymų metu, bet ne rečiau kaip kartą per metus.

61. Pakartotinai su KTVIS saugos dokumentais ir teisės aktais, reglamentuojančiais KTVIS elektroninės informacijos saugą, saugos įgaliotinis pasirašytinai supažindina KTVIS vidinius naudotojus ir KTVIS administratorių ar KTVIS paslaugos teikėjo administratorių kitą darbo dieną po KTVIS saugos dokumentų ir teisės aktų, reglamentuojančių KTVIS elektroninės informacijos saugą, priėmimo (išdėstymo nauja redakcija), pakeitimo ar pripažinimo netekusiais galios.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

62. Saugos įgaliotinis organizuoja KTVIS saugos dokumentų persvarstymą ne rečiau kaip kartą per metus. KTVIS saugos dokumentai turi būti persvarstomi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, pasikeitus saugos politiką reglamentuojantiems teisės aktams, įvykus esminiams organizaciniams, technologiniams ar kitiems KTVIS pokyčiams, po įvykusio kibernetinio incidento.

63. Saugos įgaliotinis, kibernetinio saugumo vadovas, KTVIS administratorius, KTVIS paslaugos teikėjo administratorius, KTVIS naudotojai ir kiti subjektai, kuriems taikomi Saugos nuostatų reikalavimai, pažeidę KTVIS saugos dokumentų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą, reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

_________________________________