LIETUVOS BANKO VALDYBOS PIRMININKAS
ĮSAKYMAS
DĖL NAUDOJIMOSI INTERNETU IR ELEKTRONINIU PAŠTU LIETUVOS BANKE TAISYKLIŲ PATVIRTINIMO
2017 m. sausio 30 d. Nr. V 2017/(1.7.E-260603)-02-46
Vilnius
PATVIRTINTA
Lietuvos banko valdybos pirmininko
2017 m. sausio 30 d.
įsakymu Nr. V 2017/(1.7.E-260603)-02-46
NAUDOJIMOsi INTERNETU IR ELEKTRONINIU PAŠTU LIETUVOS BANKE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Naudojimosi internetu ir elektroniniu paštu Lietuvos banke taisyklėse (toliau – Taisyklės) nustatytos Lietuvos banko (toliau – Bankas), kaip darbdavio, ir Banko tarnautojų teisės ir pareigos naudojantis internetu ir elektroniniu paštu (toliau – el. paštas).
2. Taisyklės parengtos vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos banko veiklos saugumo politika, Lietuvos banko informacinių sistemų apsaugos politika, Lietuvos banko incidentų valdymo taisyklėmis, Darbo su Europos centrinių bankų sistemos neskelbtina informacija bendrosiomis taisyklėmis ir minimaliais standartais, taip pat atsižvelgta į Europos Parlamento ir Tarybos patariamosios darbo grupės 2002 m. gegužės 29 d. darbinio dokumento 5401/01/EN/GalutinisWP55 dėl elektroninių komunikacijų sekimo ir stebėjimo darbo vietoje rekomendacijas. Taisyklėse vartojamos sąvokos atitinka nurodytuose teisės aktuose vartojamas sąvokas.
3. Internetas ir el. paštas skirtas tarnautojams naudotis tarnybos Banke tikslu. Asmeniniais tikslais internetu ir el. paštu tarnautojai gali naudotis tiek, kiek netrukdo tarnautojui atlikti pareigas Banke ir neprieštarauja Banko tarnautojų etiško elgesio normoms. Draudžiama asmeniniu el. paštu naudotis tarnybos reikmėms.
4. Tarnautojas elektroninėje erdvėje naudodamasis jam suteiktu Banko el. paštu atstovauja Bankui, todėl juo naudotis turi atsakingai. Internetas ir el. paštas yra atviros sistemos – informacija jose nekoduojama ir perduodamos informacijos slaptumas neužtikrinamas, todėl atsakomybė už siunčiamos arba perduodamos informacijos turinį ir informacijos saugumo užtikrinimą tenka tarnautojui, siunčiančiam informaciją.
5. Bankas, siekdamas apsaugoti savo esminius interesus, turi teisę tvarkyti visus tarnautojų elektroninės komunikacijos visomis Banko suteiktomis priemonėmis esamuoju laiku arba išsaugotus duomenis – tarnautojo naršymą internete, el. pašto, įskaitant pranešimus, turinį.
6. Tarnautojų elektroninės komunikacijos duomenų tvarkymu siekiama:
6.1. užtikrinti Banko veikloje naudojamos įslaptintos, Lietuvos banko paslaptį sudarančios ir neskelbtinos Europos centrinių bankų sistemos arba bendrojo priežiūros mechanizmo (ECBS / BPM) informacijos saugumą;
6.4. užtikrinti, kad internetas ir el. paštas būtų naudojamas tarnybos Banke tikslu, o naudojimas asmeniniais tikslais netrukdytų tarnautojui atlikti pareigas ir neprieštarautų Banko tarnautojų etiško elgesio normoms;
6.5. apsaugoti Banko informacines sistemas (toliau – Banko IS) nuo įsilaužimų ir virusų, o kompiuterių tinklą – nuo didelių apkrovų;
II SKYRIUS
INTERNETO IR el. pašto NAUDotojų įregistravimas ir išregistravimas
8. Teisė naudotis internetu ir el. paštu suteikiama vadovaujantis Banko valdybos pirmininko patvirtintomis Informacijos išteklių prieigos teisių suteikimo Lietuvos banke taisyklėmis.
9. Banko el. pašto naudotojų vardai (identifikatoriai) sudaromi susiejant juos su tarnautojo vardu ir pavarde.
10. Organizacijos tarnybos Informacinių technologijų departamentas (toliau – ITD), gavęs struktūrinio padalinio vadovo prašymą, registruoja el. pašto naudotojus ir sukuria el. pašto naudotojų dėžutes Banko el. pašto serverio ištekliuose. ITD, gavęs tarnautojo sutikimą, Banko el. pašto sistemoje vidaus susirašinėjimams naudoja Personalo apskaitos sistemoje turimą jo nuotrauką. Siunčiant elektroninius laiškus į išorę, tarnautojų nuotraukos nesiunčiamos.
11. ITD, atsižvelgdamas į turimus techninius išteklius, nustato standartinės el. pašto dėžutės talpą ir šiuos duomenis skelbia Banko vidaus svetainėje Ribojamos informacijos, gaunamos internetu, sąraše. Struktūrinio padalinio arba padalinio vadovo motyvuotu prašymu ITD naudotojui skiria papildomos vietos el. pašto dėžutėje, jeigu leidžia techniniai ištekliai. ITD atlieka naudotojo gaunamos / išsiunčiamos informacijos statistinę analizę, o prireikus analizės rezultatus teikia struktūrinio padalinio arba padalinio vadovui ir, gavęs jo pritarimą, patenkina prašymą.
12. ITD, atsižvelgdamas į struktūrinio padalinio arba padalinio vadovo motyvuotą prašymą bei Taisyklėse nustatytus reikalavimus, sukuria netipinius (bendrojo naudojimo) el. pašto adresus. Juos rekomenduojama sudaryti laikantis šių nuostatų: pasirinkti vieną žodį (pvz.: duomenubazesadministratorius) arba žodžius jungti brūkšneliu (galima ir pabraukti, pvz.: lb-sistema, asistema_administratoriai), naudoti departamento pavadinimo ir skyriaus pavadinimo santrumpas, atskirtas tašku, jeigu bendras pašto adresas kuriamas departamento skyriui (pvz.: departamentotrumpinys.skyriaustrumpinys@lb.lt).
13. Siekiant užtikrinti tarnautojo, kurio darbo sutartis su Banku pasibaigia, funkcijų tęstinumą, tarnautojas (el. pašto naudotojas) pateikia ITD su savo vadovu suderintą rašytinį prašymą palikti veikiančią jo el. pašto dėžutę, persiunčiant laiškus prašyme nurodyto kito tarnautojo el. pašto adresu. Remdamasis šiuo prašymu, ITD persiunčia laiškus kito tarnautojo el. pašto adresu, o tarnautoją iš el. pašto naudotojų sąrašo išbraukia pasibaigus prašyme nurodytam laikotarpiui. Tarnautojo prašyme turi būti nurodytas kitas tarnautojas (el. pašto naudotojas) ir laikotarpis „nuo–iki“, kuriuo elektroniniai laiškai turi būti siunčiami nurodytam el. pašto naudotojui.
14. Jeigu tarnautojas (el. pašto naudotojas), kurio darbo sutartis su Banku pasibaigia, nepateikia ITD rašytinio prašymo, kaip numatyta Taisyklių 13 punkte, ITD išbraukia jį iš Banko el. pašto naudotojų sąrašo Informacijos išteklių prieigos teisių suteikimo Lietuvos banke taisyklių nustatyta tvarka.
III SKYRIUS
REIKALAVIMAI INTERNETO IR el. pašto NAUDotojAMS
15. Banko tarnautojams draudžiama:
15.1. naudotis Banko internetu ir el. paštu sukčiavimo, priekabiavimo (įskaitant žinučių ar paveikslėlių, galimų vertinti kaip užgaulius, diskriminuojančius, rasistinius, smurtinius arba įžeidinėjančius, siuntinėjimą), asmeninės reklamos ir finansinės naudos tikslais;
15.6. skelbti Banko informacinių technologijų ištekliuose su Banko veikla nesusijusius ir asmeninius tinklalapius;
15.7. savavališkai keisti interneto naršyklės ir el. pašto programinės įrangos parametrus, susijusius su apsauga, arba prisijungiant apeiti bet kurį iš įdiegtų saugumo mechanizmų;
15.11. naudojantis internetu arba el. paštu parsisiųsti arba platinti programinę įrangą arba kitą informaciją, kurios diegimas, naudojimas arba platinimas prieštarautų Lietuvos Respublikos autorių teisių ir gretutinių teisių įstatymo, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimams arba Banko teisės aktų nuostatoms;
15.12. apsimesti svetimais arba neegzistuojančiais el. pašto naudotojais perduodant duomenis arba kitą informaciją;
15.14. siųsti el. paštu arba platinti internetu valstybės ir tarnybos paslaptį sudarančią informaciją;
16. Informacijos siuntimas arba gavimas Banko suteiktomis priemonėmis ne iš Banko kompiuterinės darbo vietos ribojamas, kaip numatyta Ribojamos informacijos, gaunamos internetu, sąraše.
17. Banko el. pašto naudotojas turi nuolat peržiūrėti savo informaciją el. pašto dėžutėje, pašalinti iš sistemos pasenusius ir nebeaktualius laiškus, t. y. juos pašalinti ir iš „Deleted Items“ katalogo. Nepašalinęs nebeaktualių laiškų ir neatlaisvinęs vietos el. pašto dėžutėje, naudotojas negalės siųsti ir (arba) gauti elektroninių laiškų. Kai 90 proc. Banko el. pašto naudotojo dėžutės užpildoma, el. pašto sistema naudotoją informuoja anglų kalba (pranešimas apie perpildytą el. pašto dėžutę paaiškintas Banko vidaus svetainėje). Naudotojas turi pašalinti nereikalingus elektroninius laiškus, o reikalingą informaciją įrašyti į savo darbo vietos kompiuterį.
18. Tarnautojui, kuris naudojasi el. paštu, rekomenduojama:
18.1. elektroninės žinutės laukelyje „Subject“ trumpai ir aiškiai aprašyti laiško turinį ir, jeigu siunčiamas dokumentas pažymėtas slaptumo žyma arba žinutės turinyje yra Banko paslaptį sudarančios informacijos, nurodyti slaptumo žymą;
18.2. suprantamai ir etiškai suformuluoti laiško tekstą, laiške nurodyti siuntėjo duomenis pagal bendrą formą: vardas ir pavardė, pareigos, padalinio ir struktūrinio padalinio pavadinimas, Banko pavadinimas, telefonas (Automatinio parašo elektroniniuose laiškuose nustatymo aprašas pateiktas Banko interneto vidaus svetainėje);
18.3. prieš išvykstant atostogauti arba į tarnybinę komandiruotę, aktyvuoti automatinio atsakymo siuntimo nustatymą (Automatinio atsakymo el. paštu nustatymo aprašas pateiktas Banko vidaus svetainėje);
18.4. siuntėjo tapatybei patvirtinti Banko tarnautojams siunčiamus el. laiškus pasirašyti Banko tarnautojo sertifikatu (Elektroninio laiško pasirašymo sertifikatu aprašas pateiktas Banko vidaus svetainėje);
18.5. nenurodyti (nepateikti) Banko el. pašto asmeninių pažinčių svetainėse, elektroninėse parduotuvėse, komercinių pasiūlymų, nuolaidų, akcijų svetainėse ir pan. asmeniniais tikslais, pvz.: įsigyjant prekes arba nuolaidų korteles, laisvalaikio ir kitose su darbo funkcijomis nesusijusiose svetainėse – forumų, turizmo agentūrų, socialinių tinklų svetainėse, neatsakinėti į reklaminius laiškus (brukalus), kad šiuo adresu nepasinaudotų nepageidaujamų laiškų siuntėjai;
18.6. visada atidžiai užrašyti ir patikrinti el. pašto adresą, kad apsirikus informacija nebūtų nusiųsta kitam (netinkamam) adresatui;
18.7. visada atidžiai peržiūrėti atsiųstų rinkmenų pavadinimus ir, jeigu atsiųsta informacija kelia įtarimų, nežinoma, nesuprantama, nepažįstamas ją atsiuntęs asmuo arba įtariama, kad gali būti atsiųstas virusas, nepaleisti programų, neatidarinėti rinkmenų, o nedelsiant kreiptis į Jūsų kompiuterinę darbo vietą aptarnaujantį ITD tarnautoją;
18.8. įsitikinti, ar tinkamas el. paštu gautos informacijos siuntėjas (žinoma tapatybė), ar tai jis siuntė konkrečią informaciją, jeigu abejojama el. paštu gauta informacija ir jos siuntėju. Pasitikrinti rekomenduojama alternatyviomis priemonėmis (pvz.: faksu, telefonu ir t. t.). Tik siuntėjo skaitmeniniu sertifikatu pasirašyti laiškai garantuoja siuntėjo tapatumą ir neiškraipytą informaciją;
18.9. baigiant tarnybą Banke, peržiūrėti susirašinėjimą el. paštu. Svarbius elektroninius laiškus, užtikrinančius veiklos tęstinumą, persiųsti struktūrinio padalinio arba padalinio vadovo nurodytam tarnautojui, o kitus elektroninius laiškus sunaikinti;
IV SKYRIUS
INTERNETO IR EL. PAŠTO PERŽIŪRA
20. Tarnautojų naudojamo interneto ir el. pašto peržiūra gali būti vykdoma siekiant apginti Lietuvos banko ir jo tarnautojų teisėtus interesus. Peržiūra gali būti vykdoma šiais atvejais:
20.1. kai tarnautojo daugiau nei 30 darbo dienų arba daugiau nei 3 darbo dienas dėl nežinomos priežasties nėra darbe arba pasibaigia tarnautojo darbo sutartis su Banku, o būtina užtikrinti Banko veiklos tęstinumą;
20.2. kai reikia patikrinti informaciją, gautą Asmenų prašymų, skundų, pranešimų nagrinėjimo ir asmenų aptarnavimo Lietuvos banke taisyklėse nustatyta tvarka, apie galimai neteisėtus tarnautojo veiksmus, kurių patvirtinimą ar paneigimą galima įrodyti peržiūrint tarnautojo siųstų arba gautų elektroninių laiškų ir jų priedų turinį ar interneto jungimosi laikas, trukmė ir kt. (toliau – interneto srauto duomenys) ir el. paštu siųstų ir gautų laiškų adresus, datą, laiką ir kt. (toliau – el. pašto srauto duomenys);
20.3. kai Bankas yra atsakingas už tarnautojų atliktų veiksmų padarinius ir reikia ginti Banko interesus siekiant gauti patvirtinimą ar paneigimą dėl galimai neteisėtų tarnautojo veiksmų;
20.4. kai tarnautojas internetą ar el. paštą galimai naudoja ne tarnybos Banke tikslais ir tai trukdo jam atlikti pareigas Banke;
20.6. siekiant patikrinti, kaip tarnautojai laikosi Banko teisės aktuose nustatytų reikalavimų užtikrinant įslaptintos, Lietuvos banko paslaptį sudarančios, neskelbtinos ECBS / BPM informacijos ir asmens duomenų apsaugą, apsaugant Banką nuo šios informacijos neteisėto atskleidimo;
21. Interneto ir el. pašto peržiūros atlikimas 20.1–20.6 papunkčiuose nustatytais tikslais:
21.1. Struktūrinio arba vidaus padalinio vadovas turi teisę peržiūrėti el. paštu siųstų ir gautų laiškų ir jų priedų turinį, kai tarnautojo ilgą laiką arba dėl nežinomos priežasties nėra darbe arba pasibaigia jo darbo sutartis su Banku, kad būtų užtikrintas funkcijų tęstinumas. Struktūrinio arba vidaus padalinio vadovas Saugos departamento direktoriui pateikia prašymą, kuriame nurodo prašomo konkretaus gauto (siųsto) elektroninio laiško duomenis (data, adresas ir kt.) arba nurodo visų prašomų gautų (siųstų) elektroninių laiškų laikotarpį.
21.2. Tarnautojas, kuriam pavesta išnagrinėti asmens prašymą, skundą arba pranešimą dėl galimai neteisėtų tarnautojo veiksmų Asmenų prašymų, skundų, pranešimų nagrinėjimo ir asmenų aptarnavimo Lietuvos banke taisyklėse nustatyta tvarka, apie galimai neteisėtus tarnautojo veiksmus, kurių patvirtinimą arba paneigimą galima įrodyti peržiūrint tarnautojo siųstų arba gautų elektroninių laiškų ir jų priedų turinį ar interneto ir el. pašto srauto duomenis, turi teisę peržiūrėti prašyme, skunde ar pranešime nurodyto tarnautojo el. paštu siųstų ir gautų elektroninių laiškų ir jų priedų turinį, analizuoti tarnautojo interneto ir el. pašto srauto duomenis, siekiant gauti patvirtinimą arba paneigimą dėl prašyme, skunde ar pranešime nurodytų galimai neteisėtų tarnautojų veiksmų tik tokia apimtimi ir tik tuos duomenis, kurie susiję su prašyme, skunde ar pranešime nurodytomis aplinkybėmis. Tarnautojas, kuriam pavesta išnagrinėti asmens prašymą, skundą ar pranešimą dėl galimai neteisėtų tarnautojo veiksmų, Saugos departamento direktoriui pateikia prašymą, kuriame nurodo prašomus pateikti iš interneto arba el. pašto informacijos srauto konkrečius duomenis ar (ir) elektroninių laiškų ir jų priedų turinį. Saugos departamento direktorius paveda Saugos departamento tarnautojui, atsakingam už informacijos apsaugą Banke, surinkti ir pateikti tarnautojui, kuriam pavesta išnagrinėti asmens prašymą, skundą ar pranešimą dėl galimai neteisėtų tarnautojo veiksmų, prašomus konkrečius interneto ar el. pašto duomenis ar (ir) elektroninius laiškus ir jų priedus. Saugos departamento direktorius, atsižvelgdamas į gautame prašyme nurodytas aplinkybes, rezoliucijoje nurodo tarnautojo veiksmų tikrinimo laikotarpį, el. pašto arba interneto adresus ir kitus svarbius patikrinimo apimčiai nustatyti duomenis. Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, surenka ir pateikia tarnautojui, kuriam pavesta išnagrinėti asmens prašymą, skundą ar pranešimą, prašomus duomenis tokia apimtimi ir tik tuos duomenis, kurie nurodyti Saugos departamento direktoriaus rezoliucijoje. Tarnautojo, kuriam pavesta išnagrinėti asmens prašymą, skundą ar pranešimą dėl galimai neteisėtų tarnautojo veiksmų, parengta patikrinimo išvada teikiama Banko valdybos pirmininkui, kad jis priimtų sprendimą. Tarnautojas, kuriam pavesta išnagrinėti asmens prašymą, skundą ar pranešimą dėl galimai neteisėtų tarnautojo veiksmų, apie atliktą el. pašto srauto duomenų analizę ir turinio peržiūrą informuoja tikrintą tarnautoją, jam pateikia išvadų išrašą, nurodo peržiūros mastą, išvadas ar (ir) rekomendacijas.
21.3. Laikinoji tyrimo komisija, sudaryta Banko valdybos pirmininko įsakymu, arba kiti įgalioti tarnautojai (Teisės, Vidaus audito skyrių arba kitų Banko padalinių) turi teisę peržiūrėti tarnautojų el. paštu siųstų ir gautų elektroninių laiškų ir jų priedų turinį, analizuoti tarnautojo interneto ir el. pašto duomenis tam, kad galėtų gauti patvirtinimą arba paneigimą dėl galimai neteisėtų tarnautojo veiksmų, taip pat, kad galėtų ginti Banko, kuris yra atsakingas už tarnautojų atliktų veiksmų padarinius, interesus, kai tarnautojas internetą ar el. paštą galimai naudojo ne tarnybos Banke tikslais ir tai trukdo jam atlikti pareigas Banke. Laikinoji tyrimo komisija arba įgaliotas tarnautojas Saugos departamento direktoriui pateikia prašymą, kuriame nurodo prašomus pateikti konkrečius interneto arba el. pašto duomenis ar (ir) elektroninių laiškų ir jų priedų turinį. Ši komisija arba kiti įgalioti tarnautojai apie atliktą el. pašto srauto duomenų analizę ir turinio peržiūrą informuoja tikrintą tarnautoją, jam pateikia peržiūros išvadų išrašą, nurodo peržiūros mastą, išvadas ar (ir) rekomendacijas.
21.4. Etikos komisija, sudaryta Banko valdybos pirmininko įsakymu, turi teisę peržiūrėti tarnautojų el. paštu siųstų ir gautų elektroninių laiškų ir jų priedų turinį, analizuoti tarnautojo interneto ir el. pašto srauto duomenis tam, kad galėtų gauti patvirtinimą arba paneigimą dėl tarnautojų veiklos, kuri galimai neatitinka Banko tarnautojų etiško elgesio normų. Etikos komisija Saugos departamento direktoriui pateikia prašymą, kuriame nurodo prašomus pateikti konkrečius interneto ar el. pašto duomenis ar (ir) elektroninių laiškų ir jų priedų turinį. Etikos komisija apie atliktą el. pašto duomenų srauto analizę ir turinio peržiūrą informuoja tikrintą tarnautoją, jam pateikia peržiūros išvadų išrašą, nurodo peržiūros mastą, išvadas ar (ir) rekomendacijas.
21.5. Suderinęs su Banko valdybos pirmininku, Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, pasirinktinai tikrina el. pašto duomenų srautą siekdamas patikrinti, kaip tarnautojai laikosi Banko teisės aktuose nustatytų reikalavimų, užtikrinančių įslaptintos, Lietuvos banko paslaptį sudarančios, neskelbtinos ECBS / BPM informacijos ir asmens duomenų apsaugą, apsaugančių Banką nuo šios informacijos neteisėto atskleidimo. Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, ne dažniau kaip vieną kartą per ketvirtį tikrina ne daugiau kaip dviejų tarnautojų el. pašto duomenų srautus. Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, parenka tikrintinus tarnautojus įvertinęs jų atliekamas funkcijas: ar jie bendrauja su Banko išorės klientais, ar dirba su valstybės ir tarnybos paslaptį, taip pat Banko paslaptį sudarančia ir (arba) neskelbtina ECBS / BPM informacija, ar tvarko asmens duomenis, ir atsižvelgęs kitus rizikos kriterijus. Gali būti tikrinami ne ankstesni kaip paskutinių 6 mėnesių ir ne ilgesnis nei vieno mėnesio tarnautojo el. pašto duomenų srautas. Ankstesnio laikotarpio, tačiau ne ankstesni nei 1 metų tarnautojo el. pašto duomenys gali būti patikrinti papildomai Taisyklių 21.3 papunktyje nustatyta tvarka, jeigu pirmojo patikrinimo metu nustatomi galimi informacijos apsaugos arba asmens duomenų tvarkymo pažeidimai. Saugos departamento direktorius pasirinktus tikrinti tarnautojus ir patikrinimo mastą raštu suderina su Banko valdybos pirmininku. Patikrinimo išvadas (rekomendacijas) Saugos departamento direktorius teikia Banko valdybos pirmininkui, atitinkamo struktūrinio padalinio ir vidaus padalinio vadovui. Tarnautojui apie atliktą jo el. pašto duomenų srauto patikrinimą Saugos departamento direktorius pateikia patikrinimo išvados išrašą, nurodo atlikto patikrinimo mastą, išvadas ir rekomendacijas.
22. Peržiūra pradedama, kai komisijos arba įgalioti tarnautojai, nurodyti Taisyklių 21.1–21.5 papunkčiuose, Saugos departamento direktoriui arba Banko valdybos pirmininkui pateikia Nestruktūrizuotų duomenų saugykloje ir grupinio darbo sistemoje (NDS ir GDS) registruotą prašymą. Saugos departamento direktorius arba Banko valdybos pirmininkas priima sprendimą leisti arba neleisti susipažinti su tarnautojų elektroninių laiškų ar jų priedų turiniu, analizuoti interneto ar el. pašto duomenų srautus po to, kai įvertina gautą rašytinį minėtų komisijų arba įgaliotų tarnautojų prašymą ir siekiamų tikslų, nurodytų Taisyklių 20.1–20.6 papunkčiuose, pagrįstumą ir objektyvių duomenų pakankamumą. Saugos departamento direktorius apie priimtą sprendimą informuoja minėtas komisijas arba įgaliotus tarnautojus ir, jeigu reikia, ITD.
23. Saugos departamento direktorius arba Banko valdybos pirmininkas sprendime nurodo, su kiek duomenų leidžiama susipažinti, arba priima sprendimą neleisti susipažinti su prašomais duomenimis ir nurodo motyvus. Saugos departamento direktorius arba Banko valdybos pirmininkas, nurodydami peržiūrimų duomenų apimtį, atsižvelgia į būtinumą pasiekti tikslus, nurodytus Taisyklių 20.1–20.6 papunkčiuose. Sprendimą neleisti susipažinti su prašomais duomenimis Saugos departamento direktorius priima, kai prašyme nenurodytas konkretus tarnautojas arba identifikuojantys tarnautoją duomenys, pvz.: nėra el. pašto adreso, įvardijama neteisėta veika tik numanoma, t. y. pagrįsta spėjimais ar gandais. Sprendimą Saugos departamento direktorius arba Banko valdybos pirmininkas priima per 2 darbo dienas. Neatidėliotinais atvejais, kai reikia nedelsiant apsaugoti informaciją ar duomenis nuo sunaikinimo arba gauti duomenų apie daromus neteisėtus veiksmus, motyvuotas sprendimas priimamas per 2 val. Jeigu Saugos departamento direktoriaus nėra, sprendimą priima jį pavaduojantis tarnautojas arba tarnautojas, atsakingas už informacijos apsaugą Banke.
24. Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, gavęs Saugos departamento direktoriaus priimtą sprendimą leisti susipažinti su prašomais duomenimis, surenka juos ir pateikia Saugos departamento direktoriui, kuris prašomus duomenis perduoda Taisyklių 21.1–21.5 papunkčiuose nurodytoms komisijoms arba įgaliotiems tarnautojams. Saugos departamento tarnautojas, atsakingas už informacijos apsaugą Banke, pateikia duomenų tik tiek, kiek nurodyta Saugos departamento direktoriaus sprendime, ir baigęs vykdyti užduotį nereikalingą informaciją / duomenis sunaikina. Specializuotų IS prieigos teisės Saugos departamento tarnautojui, atsakingam už informacijos apsaugą Banke, prie interneto ir el. pašto duomenų suteikiamos kaip reglamentuota Informacijos išteklių prieigos teisių suteikimo Lietuvos banke taisyklių, patvirtintų Lietuvos banko valdybos pirmininko 2002 m. gegužės 22 d. įsakymu Nr. 02-125 „Dėl Informacijos išteklių prieigos teisių suteikimo Lietuvos banke taisyklių patvirtinimo“, III skyriuje nustatyta tvarka.
25. Interneto ir el. pašto peržiūra, atliekama Taisyklių 20.7 papunktyje nustatytu tikslu:
25.1. ITD el. pašto administratoriai ir atsakingi už kibernetinį saugumą tarnautojai turi teisę tikrinti ir analizuoti interneto ir el. pašto duomenų srautus, gautų elektroninių laiškų ir jų priedų turinį tam, kad galėtų garantuoti Banko IS apsaugą arba atlikti Banko IS ir informacinių technologijų infrastruktūros apsaugos incidentų analizę.
25.2. ITD stebi Banko kompiuterių tinklo sąsajų su internetu apkrovą ir apriboja Banko IS saugumui pavojų keliančius informacijos srautus.
25.3. Siekdamas užtikrinti Banko IS ir informacijos apsaugą nuo virusų, kitos kenkimo programinės įrangos, ribojamos informacijos arba brukalo patekimo, ITD el. paštui apsaugoti naudoja programinę įrangą, kuri atrenka įtartinus gautus elektroninius laiškus ir juos izoliuoja (perkelia į „Qurantine“ sritį). ITD el. pašto administratoriai, atlikę detalesnę izoliuotų gautų elektroninių laiškų analizę, gautus saugius elektroninius laiškus perduoda naudotojams, o nesaugius, nepageidaujamus laiškus arba brukalą pašalina.
25.4. ITD siūlymus dėl akivaizdžiai su tiesioginiu darbu nesusijusių informacijos srautų apribojimo vertina kartu su Saugos departamento tarnautoju, atsakingu už informacijos apsaugą Banke, ir priima sprendimą dėl apribojimų taikymo arba dėl klausimo perdavimo svarstyti Banko Rizikos valdymo komitete. Priėmus sprendimą dėl minėtos informacijos srautų ribojimo masto ir laikotarpio, ITD Banko interneto vidaus svetainėje skelbia požymius, dėl kurių ribojami informacijos srautai.
25.5. Banko Rizikos valdymo komitetas, gavęs ITD ir Saugos departamento tarnautojo, atsakingo už informacijos apsaugą, prašymą apriboti akivaizdžiai su tiesioginiu darbu nesusijusius informacijos srautus ir susipažinęs su pateikta medžiaga, priima sprendimą dėl minėtos informacijos srautų ribojimo masto ir laikotarpio. Požymius, dėl kurių ribojami informacijos srautai, ITD skelbia Banko interneto vidaus svetainėje. Šie apribojimai gali būti panaikinti tik tarnautojo struktūrinio padalinio arba padalinio vadovo motyvuotu prašymu, pateiktu Banko Rizikos valdymo komitetui. Prašyme turi būti pagrįsta, kad tokia informacija būtina darbo funkcijoms. Banko Rizikos valdymo komiteto sprendimus, susijusius su informacijos srautų ribojimu, įgyvendina ITD.
26. Teisę peržiūrėti Banko valdybos narių el. paštu siųstų ir gautų elektroninių laiškų ir jų priedų turinį, analizuoti tarnautojo interneto ir el. pašto srauto duomenis raštu suteikia Banko valdybos pirmininkas, nurodydamas peržiūros apimtį ir įgaliodamas tarnautojus atlikti peržiūrą.
27. Komisijos arba įgalioti tarnautojai, nurodyti Taisyklių 21.2–21.5 papunkčiuose, atlikdami tarnautojų naudojamo interneto ar el. pašto peržiūrą turi teisę gauti tarnautojų paaiškinimus. Minėtos komisijos arba įgalioti tarnautojai, peržiūrėję pateiktus interneto arba el. pašto duomenis, nereikalingus arba asmeninius tarnautojo elektroninius laiškus sunaikina, o reikalingus duomenis naudoja funkcijų tęstinumui (vykdymui) arba tyrimui užtikrinti.
28. Komisijų nariai ir įgalioti tarnautojai, nurodyti Taisyklių 21.1–21.5 papunkčiuose, privalo saugoti įslaptintą, Banko paslaptį sudarančią, neskelbtiną ECBS / BPM informaciją ir asmens duomenis, su kuriais susipažino atlikdami tarnautojų interneto arba el. pašto peržiūrą, ir neatskleisti jų Taisyklėse nenurodytais tikslais.
29. Tarnautojai dėl netinkamo naudojimosi internetu arba el. paštu gali būti informuojami programinės įrangos priemonėmis, pvz., kompiuterio monitoriuje atsiranda įspėjantys pranešimai tarnautojui, kad stebėsenos sistema nustatė, jog neleistinai naudojamasi internetu arba el. paštu, ir (arba) ėmėsi prevencijos veiksmų.
30. Tarnautojų interneto ir el. pašto duomenų srautai, susirašinėjimo turinys, įskaitant pridedamus elektroninio laiško dokumentus, kopijuojami ir saugomi vienus metus nuo laiškų gavimo (siuntimo) arba prisijungimo prie interneto svetainių fiksuoto Banko IS įvykio momento. Už nurodytos informacijos išsaugojimą atsakingas ITD.
31. Tarnautojas, norėdamas pasinaudoti Asmens duomenų teisinės apsaugos įstatymo 23 straipsnyje suteikta teise susipažinti su savo asmens duomenimis, tvarkomais Taisyklėse nustatyta tvarka, ir sužinoti, kaip jie yra tvarkomi, raštu arba savo kompiuterinės darbo vietos el. paštu turi kreiptis į Saugos departamento direktorių, kuris priima sprendimą dėl tarnautojo prašomų duomenų teikimo. Tarnautojo prašyme turi būti nurodytas tarnautojo vardas ir pavardė, adresas, duomenys ryšiui palaikyti, kokiu tikslu prašoma duomenų ir kur jie bus naudojami, kokiomis teisėmis ir kokiu mastu tarnautojas pageidauja jais pasinaudoti.
32. Saugos departamento direktorius, gavęs tarnautojo prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo kreipimosi dienos turi pateikti tarnautojui atsakymą. Atsakymas gali būti pateiktas raštu arba tarnautojo Banko el. paštu. Atsakymas, užtikrinant duomenų saugumą, pateikiamas tokiu būdu, kokiu gautas prašymas. Kai tarnautojui negalima pateikti duomenų, Saugos departamento direktorius turi motyvuotai pagrįsti atsisakymą tenkinti tarnautojo prašymą.
33. Prie visų siunčiamų iš Banko elektroninių laiškų pridedama žinutė su informacija Banko el. pašto laiškų išorės gavėjams, kad Banke el. pašto srauto duomenys, susirašinėjimo turinys, įskaitant pridedamus elektroninio laiško dokumentus, kopijuojami ir saugomi vienus metus nuo laiškų gavimo (siuntimo) ir, vadovaujantis Taisyklių nustatytais pagrindais ir atvejais, gali būti atlikta el. pašto peržiūra.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
34. Tarnautojai už Taisyklėse nustatytų reikalavimų nesilaikymą atsako Lietuvos Respublikos įstatymų nustatyta tvarka.