LIETUVOS RESPUBLIKOS KULTŪROS MINISTRAS
ĮSAKYMAS
DĖL Kultūrinės edukacijos INFORMACINĖS SISTEMOS nuostatų ir KULTŪRINĖS EDUKACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATų PATVIRTINIMO
2022 m. gegužės 16 d. Nr. ĮV-481
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu, 30 straipsniu ir 33 straipsnio 1 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 4 ir 11 punktais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais:
2. T v i r t i n u pridedamus:
3. P a v e d u Kultūrinės edukacijos informacinės sistemos pagrindiniam tvarkytojui:
3.1. paskirti Kultūrinės edukacijos informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;
3.2. ne vėliau nei per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir teisės aktų nustatyta tvarka suderinti bei Lietuvos Respublikos kultūros ministerijai pateikti tvirtinti:
3.2.2. Kultūrinės edukacijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
Kultūros ministras Simonas Kairys
SUDERINTA
Lietuvos Respublikos ekonomikos ir inovacijų ministerija
2022-02-09 Nr. (4.6-82Mr)-3-587
SUDERINTA
Lietuvos Respublikos švietimo, mokslo ir sporto ministerija
2022-04-12 Nr. SR-1317
SUDERINTA
Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos
2022-02-15 Nr. (4.1 E) 6K-148
SUDERINTA
Nacionalinė švietimo agentūra
2022-02-15 Nr. SD-688(1.6E)
SUDERINTA
Valstybinė duomenų apsaugos inspekcija
2022-04-05 Nr. 2R-1513 (3.2.Mr.)
PATVIRTINTA
Lietuvos Respublikos kultūros ministro
2022 m. gegužės 16 d. įsakymu Nr. ĮV-481
KULTŪRINĖS EDUKACIJOS INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
Bendrosios nuostatos
1. Kultūrinės edukacijos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Kultūrinės edukacijos informacinės sistemos (toliau – KEIS) steigimo teisinį pagrindą, tikslus, uždavinius ir pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, bendruosius reikalavimus duomenų saugai ir asmens duomenų tvarkymui, finansavimą, modernizavimą ir likvidavimą.
2. KEIS steigimo teisinis pagrindas – Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. liepos 13 d. įsakymas Nr. ĮV-572/V-650 „Dėl Kultūros paso koncepcijos patvirtinimo“.
3. Pagrindiniai teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma KEIS:
3.1. Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. liepos 13 d. įsakymas Nr. ĮV-572/V-650 „Dėl Kultūros paso koncepcijos patvirtinimo“;
3.2. Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. gruodžio 21 d. įsakymas Nr. ĮV-1000/V-1055 „Dėl Kultūros paso paslaugų atrankos ir finansavimo tvarkos aprašo patvirtinimo“;
3.3. Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo” (toliau – Aprašas);
3.8. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.9. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
3.10. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
4. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.
5. KEIS naudotojai – Lietuvos mokiniai, besimokantys pagal bendrojo ugdymo (išskyrus suaugusiųjų bendrojo ugdymo) programas, lietuviškų bendrojo ugdymo mokyklų užsienyje mokiniai, besimokantys pagal užsienio valstybės formaliojo švietimo programas, bei Europos mokyklų mokiniai, besimokantys pagal lietuvių kalbos programas, kurie mokosi mokykloje, vykdančioje pradinio, pagrindinio, vidurinio ugdymo mokymo programas, (toliau – mokiniai) ir pedagogai (toliau kartu – Paslaugų gavėjai), ekspertai, KEIS administratoriai, paslaugų teikėjai.
6. KEIS funkcijomis siekiama įgyvendinti nustatytus valstybės informacinės sistemos uždavinius. KEIS funkcijos:
6.1. pildyti, saugoti, teikti, vertinti ir atrinkti (patvirtinti arba atmesti) kultūrinės edukacijos paraiškas;
7. KEIS tikslas – naudojant informacinių technologijų priemones administruoti kultūrinės edukacijos programas ir priemones, kurios ugdo mokinių kultūros pažinimo įpročius ir plečia kultūros patirtį.
8. KEIS naudotojų asmens duomenų tvarkymo tikslas – informacinės sistemos valdymas, vertinimas (statistika bei būsimi statistikos tyrimai) ir administravimas užtikrinant visiems Lietuvos mokiniams skiriamų lėšų paskirstymą, mokinių ir kultūrinių edukacijų teikėjų identifikavimą.
9. KEIS uždaviniai:
9.3. užtikrinti mokykloms ir mokiniams bei jų atstovams kokybiškų kultūrinės edukacijos paslaugų pasirinkimą ir jų vertinimą;
II SKYRIUS
Informacinės sistemos organizacinė struktūra
10. KEIS valdytojas ir asmens duomenų valdytojas – Lietuvos Respublikos kultūros ministerija (toliau – valdytojas).
11. KEIS tvarkytojas ir asmens duomenų tvarkytojas – Lietuvos nacionalinė Martyno Mažvydo biblioteka (toliau – tvarkytojas). KEIS valdytojas ir KEIS tvarkytojai turi Įstatymo nustatytas teises ir pareigas, atlieka šio Įstatymo 34 straipsnyje nustatytas funkcijas.
13. KEIS tvarkytojas
13.2. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;
13.3. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – techninėmis ir organizacinėmis priemonėmis užtikrina KEIS saugą, KEIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
13.4. atsižvelgdami į KEIS duomenų tvarkymo pobūdį, padeda KEIS asmens duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinti KEIS asmens duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;
13.5. Nuostatų nustatyta tvarka padeda KEIS asmens duomenų valdytojui užtikrinti Reglamento (ES)2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į asmens duomenų tvarkymo pobūdį ir KEIS asmens duomenų tvarkytojo turimą informaciją;
13.6. baigus teikti su asmens duomenų tvarkymu susijusias paslaugas, ištrina visus asmens duomenis, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti;
13.7. pateikia KEIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES)2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda KEIS asmens duomenų valdytojui arba kitam KEIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja KEIS asmens duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES)2016/679 ar kitas duomenų apsaugos nuostatas;
13.8. KEIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, ne vėliau kaip per 24 valandas informuoja KEIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu pateikia pranešimą pagal Reglamento (ES)2016/679 33 straipsnio 3 dalies reikalavimus. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis asmens duomenų valdytojo nustatyta pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarka.
14. KEIS duomenų teikėjai:
14.1. Lietuvos Respublikos švietimo, mokslo ir sporto ministerija – Mokinių registras (Registrų ir informacinių sistemų registro (toliau - RISR) kodas 7543) ir pagal jį sukurta aktyvių katalogų sistema (AD); Informacinės visuomenės plėtros komitetas – Valstybės informacinių išteklių sąveikumo platforma VIISP (RISR kodas 8007);
15. KEIS paslaugų gavėjai turi teisę peržiūrėti teikimas paslaugas bei užsisakyti pageidaujamą paslaugą, taip pat turi teisę reitinguoti paslaugas, kurios naudotojui buvo suteiktos.
16. KEIS naudotojai turi teisę gauti informaciją apie duomenų tvarkymą, susipažinti su duomenimis, reikalauti ištaisyti duomenis, reikalauti ištrinti duomenis ir „būti pamirštam“, taip pat turi teisę nesutikti su duomenų tvarkymu, apriboti duomenų tvarkymą.
III SKYRIUS
Informacinės sistemos informacinė struktūra
18. KEIS veikia blokų grandinių ir centralizuotų duomenų bazių technologijomis, centralizuotoje duomenų bazėje kaupiami šie duomenys:
18.1. Paslaugų gavėjų (mokinių ir pedagogų) duomenys:
18.1.3. mokyklos, kurioje mokosi pagal bendrojo ugdymo programą, klasė, klasės pavadinimas, tipas, paskirtis, mokymo pamaina, padalinio pavadinimas (jeigu tai padalinio klasė), jungtinės klasės požymis;
18.1.7. gyvenamoji vieta (adresas), atvykimo į gyvenamąją vietą data; jeigu asmuo išvyksta gyventi į užsienį, – išvykimo vieta (valstybė) ir išvykimo data; jeigu asmuo nuolat gyvena užsienyje, – valstybė; jeigu asmuo neturi gyvenamosios vietos ir yra įtrauktas į gyvenamosios vietos neturinčių asmenų apskaitą, – savivaldybė, kurioje gyvena;
18.2. Paslaugų teikėjų duomenys:
18.3. Ekspertų, vertinančių paraiškas, duomenys:
18.3.4. eksperto atstovaujama sritis ir ekspertinės kompetencijos, pagal kurias būtų parenkamos vertinamos paraiškos;
IV SKYRIUS
Valstybės informacinės sistemos funkcinė struktūra
19. KEIS funkcinę struktūrą sudaro:
19.1. Kultūrinės edukacijos paslaugų išorinis portalas (platforma), kurio funkcijos – pateikti viešai publikuojamą paslaugų informaciją (apie patvirtintas paraiškas, paslaugų teikimo tvarką, sistemos naujienas ir atnaujinimus);
19.2. Autentifikacijos modulis, kuris autentifikuos sistemos naudotojus. Paslaugų gavėjai – mokinių ir mokyklų koordinatorių autentifikacija bus vykdoma naudojantis emokykla.lt aktyvių katalogų tarnybos paslaugomis, paraiškų teikėjų autentifikacija bus vykdoma naudojant Valstybės informacinių išteklių sąveikumo platforma (VIISP);
19.3. Paraiškų teikimo modulis – elektroninių paraiškų dėl kultūrinių edukacijų paslaugų teikimo ir su paslaugomis susijusių pakeitimų prašymų teikimas ir kaupimas;
19.4. Paraiškų vertinimo modulis – galimų kultūrinės edukacijos paslaugų teikėjų pateiktų paraiškų konkursui vertinimas ir tikslinimas, priskiriant ekspertus automatizuotu būdu;
19.5. Paslaugų užsakymo ir apskaitos modulis – blokų grandinė, kurios tikslas vykdyti paslaugų užsakymo apskaitą, priskirti kiekvienam mokiniui, mokyklai, patvirtintam paslaugų teikėjui virtualias pinigines ir vykdyti transakcijas virtualiam atsiskaitymui už suteiktas paslaugas;
19.6. Paslaugų vertinimo modulis – galimybė kultūrinės edukacijos paslaugų naudotojui palikti atsiliepimą/ įvertinimą apie suteiktas teikėjo paslaugas;
19.7. Analitikos ir statistikos modulis – rinkti, stebėti duomenis apie paslaugų naudojimą, paslaugų teikimą. Analizuoti paslaugų užsakymo tendencijas. Tvarkyti rodiklių sąrašus ir rodiklių parametrus;
19.8. Administravimo modulis – informacijos publikavimui, bendram turinio valdymui, sistemoje atliktų veiksmų saugojimo ir tvarkymui skirtos funkcijos;
V SKYRIUS
Informacinės sistemos duomenų teikimas ir naudojimas
20. KEIS kaupiami duomenys, išskyrus asmens duomenis bei duomenis, kuriuos paslaugų gavėjas nurodė kaip konfidencialius, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims Įstatymo, kitų duomenų teikimą reglamentuojančių teisės aktų ir duomenų teikimo sutarčių nustatyta tvarka ir sąlygomis.
21. KEIS kaupiami asmens duomenys teikiami vadovaujantis Asmens duomenų teisinės apsaugos įstatymu, Reglamentu (ES)2016/679, kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą ir gavimą.
22. Duomenų gavėjo prašymu kaupiami duomenys teikiami raštu, žodžiu ir (ar) elektroninių ryšių priemonėmis.
23. Duomenys teikiami pagal sutartis (daugkartiniu duomenų teikimo atveju) tarp duomenų gavėjo ir duomenų tvarkytojo ir pagal prašymą (vienkartiniu duomenų teikimo atveju). Kai KEIS duomenys teikiami pagal KEIS duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomų duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai KEIS duomenys teikiami KEIS duomenų gavėjui pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teikiamų duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, sąlygos, duomenų teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.
24. KEIS duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kokie jau naudojami KEIS ir kuriems nereikia papildomo apdorojimo. Įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka KEIS duomenys gali būti pateikiami duomenų gavėjo prašomos formato ir turinio.
27. KEIS tvarkytojo, pagrindinio tvarkytojo sprendimai atsisakyti teikti KEIS duomenis gali būti skundžiami KEIS valdytojui. KEIS valdytojo veiksmai (neveikimas) gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.
28. Visi duomenys aprašyti Nuostatų 18.2 papunktyje, išskyrus 18.2.5, yra viešai skelbiami suteikiant galimybes juos peržiūrėti, taip pat statistiniai duomenys. Visi skelbiami duomenys atnaujinami realiu laiku.
29. Duomenų gavėjai negali naudoti KEIS kaupiamų duomenų kitam tikslui, negu nustatyta duomenų teikimo sutartyje arba nurodyta duomenų gavėjo prašyme.
30. Asmens duomenų gavėjai privalo saugoti gautų asmens duomenų paslaptį ir laikytis kitų su asmens duomenų naudojimu susijusių Asmens duomenų teisinės apsaugos įstatymo ir Reglamento (ES)2016/679 reikalavimų.
31. KEIS kaupiami duomenys Europos Sąjungos valstybių narių ir (ar) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Įstatymo nustatyta tvarka.
32. Duomenų gavėjas, duomenų subjektas, registro ar kitos informacinės sistemos tvarkytojas, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Fizinis ar juridinis asmuo, pastebėjęs netikslius duomenis, raštu kreipiasi į KEIS tvarkytoją. Per 20 darbo dienų KEIS tvarkytojas išnagrinėja gautą kreipimąsi, privalo tokius duomenis patikrinti. Jei tvarkytojas nustato, kad prašymas, pateiktas elektroninių ryšių priemonėmis, patvirtinančiomis besikreipiančiojo tapatybę, arba rašytinis kreipimasis, pateikiant asmens tapatybę patvirtinantį dokumentą, pagrįstas, jis turi imtis veiksmų dėl netikslių duomenų ištaisymo ir (ar) tokių duomenų tvarkymo veiksmų sustabdymo ir nedelsiant elektroninių ryšių priemonėmis arba raštu informuoti apie tokį faktą šių duomenų gavėjus. Apie netikslių duomenų ištaisymą KEIS tvarkytojas raštu arba elektroniniu paštu informuoja asmenį, pranešusį apie netikslius duomenis.
VI SKYRIUS
Valstybės informacinės sistemos duomenų sauga
33. KEIS duomenų saugą reglamentuoja KEIS valdytojo tvirtinami KEIS duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Vyriausybės nustatyta tvarka. Siekiant užtikrinti KEIS duomenų saugą, vadovaujamasi:
33.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
36. Duomenys, taip pat ir asmens duomenys KEIS saugomi 12 metų (arba Mokinių registro nuostatuose aprašyta tvarka). Pasibaigus KEIS duomenų saugojimo laikui, KEIS duomenys yra sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.
VII SKYRIUS
Valstybės informacinės sistemos finansavimas
VIII SKYRIUS
Valstybės informacinės sistemos modernizavimas ir likvidavimas
IX SKYRIUS
Baigiamosios nuostatos
41. Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias KEIS veiklą, atsako įstatymų nustatyta tvarka.
42. Duomenų subjekto teisių, susijusių su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais savo asmens duomenimis ir reikalavimu ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato KEIS valdytojas.
PATVIRTINTA
Lietuvos Respublikos kultūros ministro
2022 m. gegužės 16 d. įsakymu Nr. ĮV-481
KULTŪRINĖS EDUKACIJOS informacinės sistemos duomenų saugos nuostatai
I SKYRIUS
Bendrosios nuostatos
1. Kultūrinės edukacijos informacinės sistemos (toliau – KEIS, IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja IS elektroninės informacijos ir kibernetinės saugos politiką.
2. Šiuose Saugos nuostatuose vartojamos sąvokos:
2.1. KEIS tvarkytojas– juridinis asmuo, paskirtas Lietuvos kultūros ministerijos įsakymu užtikrinti reikiamą IS funkcionavimą
2.2. KEIS naudotojai – KEIS valdytojo arba KEIS duomenų teikėjo darbuotojas, tvarkantis KEIS elektroninę informaciją;
2.3. KEIS administratorius – KEIS valdytojo arba tvarkytojo darbuotojas, prižiūrintis IS ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą, elektroninės informacijos saugą;
2.4. KEIS saugos įgaliotinis – KEIS valdytojo arba tvarkytojo darbuotojas koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą bei atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą (kibernetinio saugumo vadovas);
2.6. KEIS aptarnavimo paslaugų teikėjas – fizinis ar juridinis asmuo, kuriam pagal sutartį suteiktos KEIS, jos komponentų bei infrastruktūros techninės priežiūros bei garantinio ir (ar) po garantinio aptarnavimo teisės.
2.8. Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau - Bendrasis duomenų apsaugos reglamentas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Lietuvos Respublikos Vyriausybės 2018 metų gruodžio 5 d. nutarime Nr.1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, kituose teisės aktuose, Lietuvos standartuose LST ISO/IEC 27002 ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai“.
3. KEIS elektroninės informacijos saugos tikslas – užtikrinti KEIS elektroninės informacijos prieinamumą, vientisumą ir konfidencialumą bei tinkamą KEIS infrastruktūros funkcionavimą.
4. KEIS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų KEIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;
5. Saugos nuostatai taikomi:
5.1. KEIS valdytojui – Lietuvos Respublikos kultūros ministerija, Jono Basanavičiaus g. 5, LT-01118 Vilnius;
5.2. KEIS tvarkytojui – Lietuvos nacionalinė Martyno Mažvydo biblioteka, Gedimino pr. 51, LT-01109 Vilnius;
5.3. KEIS duomenų teikėjams – Lietuvos Respublikos švietimo, mokslo ir sporto ministerija, A. Volano g. 2, Vilnius; Nacionalinė švietimo agentūra, K. Kalinausko g. 7, Vilnius; Lietuvos mokinių neformaliojo švietimo centras, Žirmūnų g. 1B, LT-09101 Vilnius;
6. KEIS valdytojo funkcijos ir atsakomybė:
6.5. teisės aktu, kuriuo tvirtinami Saugos nuostatai skirti KEIS saugos įgaliotinį arba pavesti jį paskirti KEIS tvarkytojui;
7. KEIS tvarkytojo funkcijos ir atsakomybė:
7.2. užtikrinti reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka, priimti sprendimą dėl KEIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;
8. KEIS duomenų teikėjų funkcijos ir atsakomybė:
8.1. organizuoti KEIS duomenų teikimo veiklą, atsižvelgiant į šiuos Saugos nuostatus bei kitus saugų elektroninės informacijos tvarkymą reglamentuojančius dokumentus, nurodytus šių Saugos nuostatų 11punktu;
8.2. rengti ir tvirtinti organizacines elektroninės informacijos saugos kontrolės priemones ir užtikrinti jų laikymąsi;
9. KEIS informacijos saugos įgaliotinio funkcijos, atsakomybės ir įgaliojimai:
9.1. teikti jį skyrusios organizacijos vadovui siūlymus dėl:
9.2. koordinuoti elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą ir esant reikalui šiuo klausimu bendradarbiauti su kompetentingomis institucijomis;
9.3. teikti KEIS administratoriui (-iams) ir KEIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
9.4. duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems KEIS valdytojo ar tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
9.5. kiekvienais metais organizuoti KEIS rizikos įvertinimą ir rengti apibendrintą KEIS rizikos vertinimo ataskaitą;
9.6. ne rečiau kaip kartą per metus organizuoti KEIS informacinių technologijų saugos reikalavimų atitikties vertinimą;
9.7. periodiškai organizuoti KEIS naudotojų ir administratorių mokymus elektroninės informacijos saugos klausimais, reguliariai įvairiais būdais informuoti juos apie elektroninės informacijos saugos problemas;
10. KEIS administratoriaus (-ių) funkcijos ir atsakomybės:
10.1. atsako už KEIS funkcionavimą užtikrinančios techninės ir programinės įrangos darbo užtikrinimą, prieigos prie KEIS infrastruktūros išteklių teisių nustatymą;
10.2. pagal kompetenciją rengti pasiūlymus dėl KEIS priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
10.3. registruoti elektroninės informacijos saugos incidentus, informuoti apie juos KEIS saugos įgaliotinį ir teikti pasiūlymus dėl minėtų incidentų pašalinimo;
10.4. reguliariai (ne rečiau kaip kartą per metus ir (arba) po IS pokyčio) tikrinti (peržiūrėti) KEIS įrangos sąranką ir jos būsenos rodiklius;
10.5. atliekant KEIS sąrankos pakeitimus, laikytis KEIS valdytojo nustatytos IS pokyčių valdymo tvarkos, nustatytos KEIS valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse;
10.6. vykdyti KEIS saugos įgaliotinio nurodymus KEIS saugos politikos įgyvendinimo klausimais ir atsiskaityti jam už pavestą duomenų saugos politikos įgyvendinimo organizavimą ir saugos priemonių įgyvendinimą;
11. Teisės aktai, kuriais vadovaujantis tvarkoma KEIS elektroninė informacija ir užtikrinamas jos saugumas:
11.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr.716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
11.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
11.6. Lietuvos Respublikos Vyriausybės 2018 metų gruodžio 5 d. nutarimas Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“;
11.7. Lietuvos standartai LST EN ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST EN ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, apibūdinantys informacijos saugos valdymą ir saugų duomenų tvarkymą;
11.8. KEIS saugaus elektroninės informacijos tvarkymo taisyklės, KEIS naudotojų administravimo taisyklės, KEIS veiklos tęstinumo planas.
II SKYRIUS
Elektroninės informacijos saugos valdymas
12. KEIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos elektroninės informacijos kategorijai vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo (toliau – Klasifikavimo gairių aprašo) 9.1 ir 9.3 papunkčiuose nustatytais kriterijais.
13. Atsižvelgiant į KEIS tvarkomos elektroninės informacijos svarbos kategoriją ir vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, IS priskiriama trečiai informacinės sistemos kategorijai.
14. KEIS saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos parengta metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, ne rečiau kaip kartą per metus organizuoja KEIS rizikos įvertinimą. Prireikus KEIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. KEIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika. Kartu su pagrindiniu KEIS rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos KEIS kibernetiniam saugumui, vertinimas. KEIS valdytojo rašytiniu pavedimu KEIS rizikos įvertinimą gali atlikti ir pats KEIS saugos įgaliotinis.
15. KEIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis KEIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
16. KEIS valdytojo ar tvarkytojo vadovas, atsižvelgdamas į KEIS rizikos įvertinimo ataskaitą, prireikus tvirtina KEIS saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
17. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas KEIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, pavirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka (toliau – Stebėsenos sistema).
18. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, KEIS saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja KEIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:
18.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai IS duomenų saugos situacijai;
18.4. peržiūrima KEIS naudotojams suteiktų teisių ir atliekamų funkcijų atitiktis, prireikus KEIS naudotojų teisės praplečiamos arba apribojamos;
19. Remdamasis atlikto KEIS informacinių technologijų saugos atitikties vertinimo rezultatais, KEIS saugos įgaliotinis parengia ir KEIS valdytojo vadovui pateikia KEIS saugos atitikties vertinimo ataskaitą. Kartu KEIS valdytojo vadovui pateikiamas tvirtinti pastebėtų trūkumų šalinimo planas, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.
20. KEIS saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas KEIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Stebėsenos sistemai.
III SKYRIUS
Organizaciniai ir techniniai reikalavimai
22. Programinės įrangos, skirtos apsaugoti KEIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:
22.1. tarnybinėse stotyse ir kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios:
22.1.1. nuolat ieško ir blokuoja kenksmingą programinę įrangą (virusus, trojanus, šnipinėjimo programinę įrangą ir kt.);
23. KEIS kompiuterinis tinklas turi būti atskirtas srauto filtravimo įranga (ugniasienė, web turinio ugniasienė).
25. Prieiga prie vidinio tinklo nuotolinio administravimo ir/ar priežiūros darbams organizuojama VPN („virtual private network“) ar kito saugaus ryšio tunelio pagalba.
26. IS interneto svetainė (-s) privalo būti sukonfigūruota laikantis gerų saugumo praktikų reikalavimų, neleisti išsaugoti slaptažodžius bei jų nesaugoti programiniame kode, tikrinti gaunamus duomenis, ryšys su vartotojais privalo būti organizuojamas saugiu šifruotu kanalu, pačiame svetainės serveryje naudojant patikimos sertifikavimo tarnybos išduotus sertifikatus su bent 2048 bitų raktu, ryšio sesijų duomenys turi būti sunaikinus iškart po sesijos pabaigos, leidžiami tik reikalingi HTTP metodai, naršymas aplankuose draudžiamas, visi veiksmai joje ir įvykiai turi būti audituojami ir kontroliuojami.
27. IS elektroninės informacijos atsarginės kopijos daromos automatiškai. Periodiškai atliekama atsarginių kopijų tinkamumo ir saugojimo kontrolė. Elektroninės informacijos kopijos turi būti šifruotos ir saugomos kitoje patalpoje nei IS tarnybinės stotys.
IV SKYRIUS
Reikalavimai personalui
29. KEIS saugos įgaliotinis privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, išmanyti elektroninės informacijos saugos principus, elektroninės informacijos saugos užtikrinimo metodus, savo darbe vadovautis saugos reikalavimais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais ir standartais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, sugebėti užtikrinti efektyvų saugos politikos įgyvendinimą.
30. KEIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
31. KEIS administratoriai privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, *nix, SQL, blokų grandinių) administravimo ir priežiūros patirties.
32. KEIS naudotojai privalo turėti atitinkamą kvalifikaciją, būti apmokyti dirbti su KEIS programine įranga, supažindinti saugaus darbo su duomenimis principais, turėti patirties dirbant su Windows operacinės sistemos taikomosiomis programomis, būti pasirašę pasižadėjimą saugoti asmens duomenų ir kitą KEIS elektroninę informacijos paslaptį.
V SKYRIUS
Informacinės sistemos naudotojų supažindinimo su saugos dokumentais principai
33. Tvarkyti KEIS elektroninę informaciją gali tik KEIS naudotojai, susipažinę su Saugos nuostatais, KEIS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymą ir saugą, bei atsakomybe už saugos dokumentų nuostatų pažeidimus, ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.
34. Už KEIS naudotojų supažindinimą su šiais Saugos nuostatais ir KEIS saugos politiką įgyvendinančiais dokumentais yra atsakingas KEIS saugos įgaliotinis.
VI SKYRIUS
Baigiamosios nuostatos
36. Saugos nuostatai turi būti peržiūrimi ne rečiau kaip kartą per metus, taip pat atlikus KEIS rizikos ir (ar) saugos atitikties vertinimą, IS valdytojo institucijoje įvykus esminiams organizaciniams, sisteminiams ar kitokiems pokyčiams.
37. KEIS administratoriai, KEIS saugos įgaliotinis, KEIS naudotojai, KEIS duomenų teikėjai, KEIS aptarnavimo paslaugų teikėjai pažeidę KEIS elektroninės informacijos saugą reglamentuojančių dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.