LIETUVOS RESPUBLIKOS

SOCIALINĖS APSAUGOS IR DARBO MINISTRAS

ĮSAKYMAS

DĖL Socialinės paramos šeimai informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

2021 m. sausio 5 d. Nr. A1-4

Vilnius

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu:

1. T v i r t i n u Socialinės paramos šeimai informacinės sistemos naudotojų administravimo taisykles (pridedama).

2. P a v e d u šio įsakymo vykdymo kontrolę ministerijos kancleriui.

Socialinės apsaugos ir darbo ministrė Monika Navickienė

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos

ir darbo ministro 2021 m. sausio 5 d.

įsakymu Nr. A1-4

Socialinės paramos šeimai informacinės sistemos

NAUDOTOJŲ ADMINISTRAVIMO

TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Socialinės paramos šeimai informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Socialinės paramos šeimai informacinės sistemos (toliau – SPIS) naudotojų ir administratorių funkcijas, jų teises ir pareigas, saugaus elektroninės informacijos teikimo kontrolės tvarką ir principus.

2. Administravimo taisyklėse vartojamos sąvokos:

2.1. SPIS administratorius – SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS valdytojo vardu tvarkantis SPIS;

2.2. SPIS techninis administratorius – SPIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu ‒ darbuotojas), arba SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius;

2.3. SPIS SI administratorius – savivaldybės institucijos (toliau – SI) darbuotojas, atliekantis SPIS SI administratoriaus funkcijas;

2.4. SPIS administratorius, SPIS techninis administratorius ir SPIS SI administratorius kartu – administratoriai;

2.5. SPIS VI naudotojas – SPIS asmens duomenų tvarkytojo SPIS duomenų gavėjo valstybės institucijų (toliau – VI), įskaitant kitų įstaigų, pagal asmens duomenų tvarkymo ir duomenų teikimo sutartis tvarkančių ir gaunančių SPIS duomenis, darbuotojas, atliekantis SPIS VI naudotojo funkcijas;

2.6. SPIS SI naudotojas – SPIS asmens duomenų tvarkytojas, savivaldybės institucijos (toliau – SI) darbuotojas, atliekantis SPIS SI naudotojo funkcijas;

2.7. SPIS SI naudotojas ir SPIS VI naudotojas kartu – SPIS naudotojai;

2.8. Saugos įgaliotinis – darbuotojas, įgyvendinantis SPIS elektroninės informacijos saugą.

3. Kitos Administravimo taisyklėse naudojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Socialinės paramos šeimai informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – SPIS nuostatai), Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau ‒ SPIS duomenų saugos nuostatai), ir kituose teisės aktuose naudojamas sąvokas.

4. Administravimo taisyklės taikomos SPIS valdytojui, administratoriams, naudotojams, SPIS kibernetinio saugumo vadovui (toliau ‒ Kibernetinio saugumo vadovas) ir Saugos įgaliotiniui.

II SKYRIUS

SPIS ELEKTRONINĖS INFORMACIJOS PRINCIPAI

5. Prieigos prie SPIS elektroninės informacijos principai:

5.1. neleisti neįgaliotiems asmenims prieiti prie SPIS duomenų tvarkymui naudojamos duomenų apdorojimo įrangos;

5.2. apriboti neleistiną duomenų įvedimą į SPIS, SPIS duomenų keitimui, ištrynimui, peržiūrai ar kitam tvarkymui;

5.3. užtikrinti saugomos elektroninės informacijos vientisumą;

5.4. neleisti neįgaliotiems asmenims naudotis SPIS programine įranga;

5.5. užtikrinti prieigą prie saugomos elektroninės informacijos, įvesti, keisti duomenis tik identifikavus naudotoją ir patvirtinus jo tapatybę;

5.6. užtikrinti, kad asmenys, įgalioti naudotis SPIS programine įranga, galėtų prieiti tik prie tos elektroninės informacijos, prie kurios prieiti jiems suteiktos prieigos teisės;

5.7. užtikrinti, kad SPIS duomenų užklausos būtų registruojamos;

5.8. užtikrinti galimybę nustatyti, kas ir kada įvedė elektroninę informaciją į SPIS;

5.9. kituose Lietuvos Respublikos ir Europos Sąjungos teisės aktuose numatyti saugaus elektroninės informacijos tvarkymo principai.

III SKYRIUS

SPIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

6. SPIS naudotojų ir administratorių įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis nustatomos socialinės apsaugos ir darbo ministro tvirtinamose Socialinės paramos šeimai informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse (toliau ‒ Informacijos tvarkymo taisyklės), Administravimo taisyklėse, SPIS nuostatuose, SPIS duomenų saugos nuostatuose, asmens duomenų tvarkymo ir duomenų teikimo sutartyse (toliau kartu ‒ sutartys).

7. SPIS naudojasi ir SPIS elektroninę informaciją tvarko SPIS naudotojai.

8. SPIS naudotojai turi teisę:

8.1. naudotis tik tomis SPIS funkcijomis ir tvarkyti tik tuos SPIS saugomus ir apdorojamus duomenis, prie kurių jiems prieigos teises suteikė administratoriai;

8.2. tvarkyti SPIS elektroninę informaciją pagal administratoriaus suteiktas prieigos teises;

8.3. teikti siūlymus SPIS valdytojui dėl SPIS veiklos tobulinimo, inicijuoti papildomas SPIS apsaugos priemones.

9. SPIS naudotojai ir administratoriai privalo:

9.1. užtikrinti SPIS duomenų saugą ir tvarkyti SPIS duomenis, vadovaudamiesi teisės aktais ir sutartimis;

9.2. užtikrinti SPIS tvarkomų duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo;

9.3. saugoti SPIS tvarkomų asmens duomenų paslaptį 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nustatyta tvarka;

10. SPIS naudotojams ir administratoriams draudžiama:

10.1. atskleisti SPIS peržiūrimus bei tvarkomus duomenis ir suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

10.2. naudoti SPIS duomenis kitokiais nei SPIS nuostatuose, kituose teisės aktuose ar sutartyse nurodytais tikslais;

10.3. sudaryti sąlygas pasinaudoti SPIS kompiuterių aparatine ir programine įranga, mobilia įranga tokios teisės neturintiems asmenims (paliekant darbo vietą, būtina išjungti įrenginį arba užrakinti darbalaukį);

10.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti SPIS tvarkomi duomenys;

10.5. atlikti bet kokius kitus neteisėtus SPIS tvarkymo veiksmus.

11. SPIS priežiūros funkcijos yra atliekamos naudojant atskiras tam skirtas administratorių paskyras, kuriomis naudojantis negalima atlikti SPIS naudotojo funkcijų.

12. SPIS administratoriaus įgaliojimai ir teisės:

12.1. kurti naujiems SPIS VI naudotojams prieigas prie SPIS, redaguoti ir panaikinti jų prieigos teises;

12.2. kurti naujiems SPIS SI administratoriams prieigas prie SPIS, redaguoti ir panaikinti jų prieigos teises;

12.3. matyti SPIS naudotojų ir administratorių duomenis (naudotojų korteles);

12.4. matyti SPIS naudotojų ir administratorių su SPIS tvarkomais duomenimis atliktus veiksmus;

12.5. atlikti užklausas SPIS pagal pasirinktus paieškos kriterijus;

12.6. matyti, konfigūruoti visų SPIS komponentų sąrankos duomenis;

12.7. diegti reikalingus SPIS programinės įrangos atnaujinimus;

12.8. pateikti paklausimus Saugos įgaliotiniui dėl SPIS naudotojų ir SPIS SI administratorių duomenų patikslinimo;

12.9. stebėti SPIS duomenų bazes ir optimizuoti jų funkcionavimą;

12.10. teikti siūlymus SPIS valdytojui dėl SPIS veiklos tobulinimo, inicijuoti papildomas SPIS apsaugos priemones;

12.11. vykdyti kitas SPIS priežiūros, SPIS naudotojų ir administratorių konsultavimo ir vystymo paslaugų teikimo sutartyje numatytas funkcijas.

13. SPIS administratorius privalo:

13.1. kurti ir administruoti SPIS SI administratorių prieigos teises;

13.2. kurti ir administruoti SPIS VI naudotojų prieigos teises;

13.3. konsultuoti SPIS naudotojus, SPIS techninį administratorių, SPIS SI administratorius, Saugos įgaliotinį, Kibernetinio saugumo vadovą ir SPIS valdytojo duomenų apsaugos pareigūną dėl SPIS veikimo, SPIS saugos ir kitais su SPIS susijusiais klausimais;

13.4. užtikrinti SPIS naudotojų ir SPIS SI administratorių paskyrų kontrolę;

13.5. diegti reikalingus SPIS programinės įrangos atnaujinimus;

13.6. reaguoti į praneštus elektroninės informacijos saugos incidentus ir asmens duomenų saugumo pažeidimus;

13.7. vykdyti kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse, kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose ir SPIS priežiūros, naudotojų konsultavimo ir vystymo paslaugų sutartyje bei asmens duomenų tvarkymo sutartyje.

14. SPIS techninio administratoriaus įgaliojimai ir teisės:

14.1. matyti SPIS naudotojų ir administratorių duomenis (naudotojų korteles);

14.2. matyti SPIS naudotojų ir administratorių su SPIS tvarkomais duomenimis atliktus veiksmus;

14.3. matyti, konfigūruoti visų SPIS tarnybinių stočių, kitų SPIS komponentų sąrankos duomenis;

14.4. diegti reikalingus tarnybinių stočių techninės programinės įrangos atnaujinimus;

14.5. atlikti užklausas SPIS pagal pasirinktus paieškos kriterijus;

14.6. reikalauti SPIS naudotojų ir administratorių laikytis duomenų saugos principų, jeigu jis pažeidžia SPIS nuostatuose, duomenų saugą reglamentuojančiuose teisės aktuose ir kituose saugos dokumentuose nustatytus reikalavimus;

14.7. teikti siūlymus SPIS valdytojui dėl SPIS veiklos tobulinimo, inicijuoti papildomas SPIS apsaugos priemones;

14.8. stebėti duomenų bazes ir inicijuoti optimizavimo pokyčius.

15. SPIS techninis administratorius privalo:

15.1. prižiūrėti SPIS taikomąją programinę įrangą;

15.2. užtikrinti, kad SPIS naudotojų ir administratorių veiksmų įrašai būtų kaupiami sistemoje;

15.3. užtikrinti visos SPIS tarnybinių stočių saugą;

15.4. stebėti ir reaguoti į elektroninės informacijos saugos incidentus ir asmens duomenų saugumo pažeidimus;

15.5. pagal kompetenciją užtikrinti nenutrūkstamą SPIS kompiuterių aparatinės ir sisteminės programinės įrangos veikimą;

15.6. atlikti SPIS duomenų atsarginių kopijų darymą, užtikrinti šių kopijų tinkamą saugojimą bei duomenų atkūrimą iš SPIS duomenų atsarginių kopijų;

15.7. užtikrinti kompiuterinės ir mobilios įrangos saugumą;

15.8. vykdyti kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose, jeigu SPIS techninis administratorius yra SPIS valdytojo pasitelktas paslaugų teikėjas, ‒ ir paslaugų sutartyje nurodytas funkcijas.

16. SPIS SI administratoriaus įgaliojimai ir teisės:

16.1. kurti naujiems atitinkamos savivaldybės SPIS SI naudotojams prieigas prie SPIS, redaguoti ir panaikinti jų prieigos teises;

16.2. matyti atitinkamos savivaldybės SPIS SI naudotojų duomenis (naudotojų korteles);

16.3. matyti atitinkamos savivaldybės SPIS SI naudotojų su SPIS tvarkomais duomenimis atliktus veiksmus

16.4. teikti siūlymus SPIS valdytojui dėl SPIS veiklos tobulinimo, inicijuoti papildomas SPIS apsaugos priemones.

17. SPIS SI administratorius privalo:

17.1. užtikrinti SPIS SI naudotojų naudojamos kompiuterių aparatinės įrangos saugą;

17.2. stebėti ir reaguoti į elektroninės informacijos saugos incidentus ir asmens duomenų saugumo pažeidimus;

17.3. vykdyti kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose.

18. SPIS SI naudotojai, pastebėję SPIS duomenų saugos pažeidimų, neleistinos arba nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones (toliau – saugos pažeidimas) ar asmens duomenų saugumo pažeidimą, privalo apie tai nedelsdami raštu ar elektroninėmis ryšio priemonėmis pranešti SPIS SI administratoriui (nurodo savo pareigas, vardą, pavardę ir pastebėtą saugos pažeidimą ar asmens duomenų saugumo pažeidimą), kuris nedelsdamas apie saugos pažeidimą informuoja SPIS administratorių ir SPIS techninį administratorių (nurodo savo pareigas, vardą, pavardę ir pastebėtą saugos pažeidimą), ir (ar) inicijuoja pranešimo apie asmens duomenų saugumo pažeidimą pateikimą SPIS nuostatuose nustatyta tvarka;

19. SPIS VI naudotojai, pastebėję saugos pažeidimą ar asmens duomenų saugumo pažeidimą, privalo apie saugos pažeidimą nedelsdami raštu ar elektroninėmis ryšio priemonėmis pranešti SPIS administratoriui ir SPIS techniniam administratoriui (nurodo savo pareigas, vardą, pavardę ir pastebėtą saugos pažeidimą) ir (ar) inicijuoti pranešimo apie asmens duomenų saugumo pažeidimą pateikimą SPIS nuostatuose ar sutartyje nustatyta tvarka;

20. SPIS SI administratoriai, pastebėję saugos pažeidimą, privalo apie tai nedelsdami raštu ar elektroninėmis ryšio priemonėmis pranešti SPIS administratoriui ir SPIS techniniam administratoriui (nurodo savo pareigas, vardą, pavardę ir pastebėtą saugos pažeidimą), o pastebėję asmens duomenų saugumo pažeidimą ‒ inicijuoti pranešimo apie asmens duomenų saugumo pažeidimą pateikimą SPIS nuostatuose nustatyta tvarka;

21. SPIS administratorius ar SPIS techniniam administratorius, pastebėję saugos pažeidimą, privalo apie tai nedelsdami raštu ar elektroninėmis ryšio priemonėmis pranešti saugos įgaliotiniui (nurodo savo pareigas, vardą, pavardę ir pastebėtą saugos pažeidimą).

22. SPIS administratorius, gavęs pranešimą apie saugos pažeidimą, nedelsdamas patikrina gauto pranešimo pagrįstumą ir apie tai informuoja SPIS techninį administratorių ir saugos įgaliotinį (nurodo savo pareigas, vardą, pavardę, atliktus veiksmus, gautas išvadas ir nurodo veiksmus, kurių siūloma imtis siekiant ištaisyti saugos pažeidimą). Jeigu po patikrinimo paaiškėja, kad saugos pažeidimas sukėlė ir asmens duomenų saugumo pažeidimą ‒ nedelsdamas pateikia pranešimą apie asmens duomenų saugumo pažeidimą SPIS nuostatuose nustatyta tvarka.

IV SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO SPIS NAUDOTOJAMS KONTROLĖS TVARKA

23. Prieigos prie SPIS suteikimo SI darbuotojui tvarka:

23.1. SI darbuotojas, kuriam pagal priskirtas darbines atsakomybes yra reikalingas prieiga prie SPIS tvarkomų duomenų ir (ar) funkcijų, parengia prašymą, kuriame nurodo savo duomenis (pareigas, vardą, pavardę, elektroninio pašto adresą), prieigos suteikimo pagrindą ir prašomą prieigos lygį (teises), ir raštu ar elektroninėmis ryšio priemonėmis pateikia jį atsakingam SI specialistui, kartu pridėdamas pareigybės aprašymo kopiją;

23.2. atsakingas SI specialistas įvertina, koks prieigos lygis (teisės) pagal priskirtas darbines atsakomybes gali būti suteiktas SI darbuotojui ir pilna apimtimi arba iš dalies patvirtina prašymą arba jį atmeta ir apie tai elektroninio ryšio priemonėmis informuoja SI darbuotoją. Prašymą patvirtinus pilna apimtimi arba iš dalies, SI darbuotojas su atsakingu SI specialistu sutartu būdu papildomai pateikia savo asmens identifikacinį kodą ir valstybės tarnautojo kodą (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu). Prašymą patvirtinus pilna apimtimi arba iš dalies, atsakingas SI specialistas raštu ar elektroninėmis ryšio priemonėmis pateikia SPIS SI administratoriui nurodymą užregistruoti naują SPIS SI naudotoją (nurodo pareigas, vardą, pavardę, asmens identifikacinį kodą, valstybės tarnautojo kodą (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu), elektroninio pašto adresą ir suteiktiną prieigos lygį (teises));

23.3. SPIS SI administratorius užregistruoja naują SPIS SI naudotoją ne vėliau kaip per 1 (vieną) darbo dieną nuo tokio nurodymo gavimo. Registracijos metu įvedami SPIS SI naudotoją identifikuojantys duomenys (pareigos, vardas, pavardė, asmens identifikacinis kodas, valstybės tarnautojo kodas (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu, elektroninio pašto adresas) ir išsaugo SPIS naudotojų administravimo sistemoje patvirtinto SPIS SI naudotojo prašymo suteikti prieigą prie SPIS kopiją;

23.4. SI darbuotojas, kuriam pagal priskirtas darbines atsakomybes yra suteikta prieiga prie SPIS tvarkomų duomenų ir (ar) funkcijų, po prašymo patvirtinimo per SPIS naudotojų administravimo sistemą arba pasirašytinai Saugos įgaliotinio, kuris automatiškai per SPIS naudotojų administravimo sistemą informuojamas apie naują SPIS SI naudotoją (pareigos, vardas, pavardė, elektroninio pašto adresas), yra supažindinamas su SPIS duomenų saugos nuostatais ir kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą;

23.5. užregistravus naują SPIS SI naudotoją ar pakeitus jo prieigos teises, SPIS SI administratorius apie tai raštu ar elektroninėmis ryšio priemonėmis informuoja SPIS administratorių, nurodydamas asmens pareigas, vardą, pavardę, suteiktą prieigos lygį (teises) ir suteikimo datą;

23.6. pasikeitus SPIS SI naudotojo identifikacijos ir (ar) kontaktiniams duomenims (duomenims, nurodytiems Administravimo taisyklių 23.2 papunktyje, išskyrus suteiktą prieigos lygį (teises)), ar nustačius juose klaidų, SI darbuotojas ar SI darbuotojo vadovas raštu ar elektroninėmis ryšio priemonėmis informuoja SPIS SI administratorių apie poreikį pataisyti duomenis (nurodo asmens pareigas, vardą, pavardę, duomenis, kuriuos reikia ištaisyti bei naujus ar teisingus duomenis) ir SPIS SI administratorius juos pataiso ne vėliau kaip per 3 (tris) darbo dienas;

23.7. atsiradus poreikiui SI darbuotojui praplėsti prieigos teises prie SPIS, laikomasi procedūros, aprašytos Administravimo taisyklių 23.1–23.5 papunkčiuose.

24. Prieigos prie SPIS suteikimo VI darbuotojui tvarka:

24.1. VI darbuotojas, kuriam pagal priskirtas darbines atsakomybes yra reikalingas prieiga prie SPIS tvarkomų duomenų ir (ar) funkcijų, parengia prašymą, kuriame nurodo savo duomenis (pareigas, vardą, pavardę, elektroninio pašto adresą), prieigos suteikimo pagrindą ir prašomą prieigos lygį (teises), ir raštu ar elektroninėmis ryšio priemonėmis pateikia atsakingam VI specialistui, kartu pridėdamas pareigybės aprašymo kopiją;

24.2. atsakingas VI specialistas įvertina, koks prieigos lygis (teisės) pagal priskirtas darbines atsakomybes gali būti suteiktas VI darbuotojui ir pilna apimtimi arba iš dalies patvirtina prašymą arba jį atmeta ir apie tai elektroninio ryšio priemonėmis informuoja VI darbuotoją. Prašymą patvirtinus pilna apimtimi arba iš dalies, VI darbuotojas su atsakingu VI specialistu sutartu būdu papildomai pateikia savo asmens identifikacinį kodą ir valstybės tarnautojo kodą (jeigu SPIS VI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu). Prašymą patvirtinus pilna apimtimi arba iš dalies, atsakingas VI specialistas raštu ar elektroninėmis ryšio priemonėmis pateikia SPIS administratoriui nurodymą užregistruoti naują SPIS VI naudotoją (nurodo pareigas, vardą, pavardę, asmens identifikacinį kodą, valstybės tarnautojo kodą (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu), elektroninio pašto adresą ir suteiktiną prieigos lygį (teises)) ir SPIS VI naudotojo prašymo suteikti prieigą prie SPIS kopiją;

24.3. SPIS administratorius užregistruoja naują SPIS VI naudotoją ne vėliau kaip per 1 (vieną) darbo dieną nuo tokio nurodymo gavimo. Registracijos metu įvedami SPIS VI naudotoją identifikuojantys duomenys (pareigos, vardas, pavardė, asmens identifikacinis kodas, valstybės tarnautojo kodas (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu, elektroninio pašto adresas) ir išsaugo SPIS naudotojų administravimo sistemoje patvirtinto SPIS VI naudotojo prašymo suteikti prieigą prie SPIS kopiją;

24.4. VI darbuotojas, kuriam pagal priskirtas darbines atsakomybes yra suteikta prieiga prie SPIS tvarkomų duomenų ir (ar) funkcijų, po prašymo patvirtinimo per SPIS naudotojų administravimo sistemą arba pasirašytinai Saugos įgaliotinio, kuris automatiškai per SPIS naudotojų administravimo sistemą informuojamas apie naują SPIS VI naudotoją (pareigos, vardas, pavardė, elektroninio pašto adresas), yra supažindinamas su SPIS duomenų saugos nuostatais ir kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą.

24.5. pasikeitus SPIS VI naudotojo identifikacijos ir (ar) kontaktiniams duomenims (duomenims, nurodytiems Administravimo taisyklių 24.2 papunktyje, išskyrus suteiktą prieigos lygį (teises)), ar nustačius juose klaidų, VI darbuotojas ar VI darbuotojo vadovas informuoja SPIS administratorių apie poreikį pataisyti duomenis (nurodo asmens pareigas, vardą, pavardę, duomenis, kuriuos reikia ištaisyti bei naujus ar teisingus duomenis) ir SPIS administratorius juos pataiso ne vėliau kaip per 3 (tris) darbo dienas;

24.6. atsiradus poreikiui VI darbuotojui praplėsti prieigos teises prie SPIS laikomasi procedūros aprašytos Administravimo taisyklių 24.1–24.4 papunkčiuose.

25. Prieigos prie SPIS suteikimo SPIS SI administratoriui tvarka:

25.1. atsakingas SI specialistas parengia nurodymą skirti SI darbuotoją SPIS SI administratoriumi ir raštu pateikia šį nurodymą SPIS administratoriui (nurodo pareigas, vardą, pavardę, asmens identifikacinį kodą, valstybės tarnautojo kodą (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu), elektroninio pašto adresą ir suteiktiną prieigos lygį (teises));

25.2. SPIS administratorius užregistruoja naują SPIS SI administratorių ne vėliau kaip per 1 (vieną) darbo dieną nuo tokio nurodymo gavimo. Registracijos metu įvedami SPIS SI administratorių identifikuojantys duomenys (pareigos, vardas, pavardė, asmens identifikacinis kodas, valstybės tarnautojo kodas (jeigu SPIS SI naudotojas autentifikuojasi su valstybės tarnautojo pažymėjimu), elektroninio pašto adresas) ir išsaugoma SPIS naudotojų administravimo sistemoje nurodymo suteikti prieigą prie SPIS kopija;

25.3. SI darbuotojas, kuriam pagal priskirtas darbines atsakomybes yra numatytas SPIS SI administratoriaus funkcijų vykdymas, po nurodymo pateikimo per SPIS naudotojų administravimo sistemą arba pasirašytinai Saugos įgaliotinio, kuris automatiškai per SPIS naudotojų administravimo sistemą informuojamas apie naują SPIS VI naudotoją (pareigos, vardas, pavardė, elektroninio pašto adresas), yra supažindinamas su SPIS sistemos duomenų saugos nuostatais ir kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą;

26. Prieigos prie SPIS panaikinimo tvarka:

26.1. pasikeitus SI darbuotojo pareigoms, jo vykdomoms funkcijoms, pakeitus darbovietę ar atsiradus kitų priežasčių, dėl kurių šiam darbuotojui turi būti panaikinta prieiga prie SPIS, darbuotojo vadovas turi nedelsdamas informuoti raštu ar elektroninėmis ryšio priemonėmis SPIS SI administratorių apie poreikį panaikinti prieigą prie SPIS (nurodo asmens pareigas, vardą, pavardę ir prieigos prie SPIS panaikinimo datą (prireikus ‒ ir laiką));

26.2. pasikeitus VI darbuotojo pareigoms, jo vykdomoms funkcijoms, pakeitus darbovietę ar atsiradus kitų priežasčių, dėl kurių šiam darbuotojui turi būti panaikinta prieiga prie SPIS, VI darbuotojo vadovas turi nedelsdamas informuoti raštu ar elektroninėmis ryšio priemonėmis SPIS administratorių apie poreikį panaikinti prieigą prie SPIS (nurodo asmens pareigas, vardą, pavardę ir prieigos prie SPIS panaikinimo datą (prireikus ‒ ir laiką));

26.3. gavęs nurodymą panaikinti prieigą prie SPIS, SPIS administratorius ar SPIS IS administratorius turi tai atlikti kaip įmanoma greičiau, bet ne vėliau kaip per 1 (vieną) darbo dieną, nebent Administravimo taisyklių 26.1 ar 26.2 papunkčiuose nurodyta kita prieigos prie SPIS panaikinimo data.

27. SPIS naudotojų ir SPIS SI administratorių paskyrų kontrolės vykdymo tvarka:

27.1. periodiškai automatizuotomis paskyrų kontrolės priemonėmis tikrinama, ar paskyra yra naudojama:

27.2. jei SPIS naudotojas nebuvo prisijungęs ilgiau nei 3 (tris) mėnesius, tai jo paskyra automatiškai blokuojama;

27.3. jei SPIS SI administratorius nebuvo prisijungęs ilgiau nei 1 (vieną) mėnesį, tai jo paskyra automatiškai blokuojama;

27.4. SPIS SI naudotojas arba SPIS VI naudotojas, pamiršęs, praradęs savo prisijungimo prie SPIS duomenis arba kitaip jų netekęs, turi nedelsdamas apie tai raštu ar elektroninėmis ryšio priemonėmis informuoti atitinkamai SPIS SI administratorių arba SPIS administratorių (nurodo asmens pareigas, vardą, pavardę ir slaptažodžio praradimo datą), kuris suteikia SPIS SI naudotojui arba SPIS VI naudotojui naują laikinąjį slaptažodį, kurį SPIS SI naudotojas arba SPIS VI naudotojas prisijungę prie SPIS turi nedelsiant pasikeisti.

28. SPIS naudotojai ir SPIS SI administratoriai naudodamiesi SPIS:

28.1. prisijungę pirmą kartą turi iškart pasikeisti laikinąjį slaptažodį;

28.2. laikytis SPIS naudojimo taisyklių, apimančių asmens duomenų tvarkymo taisykles, duomenų saugos reikalavimus ir kitus svarbius teisinius naudojimosi SPIS aspektus.

29. Prieigos prie SPIS suteikimo ir panaikinamo SPIS administratoriui tvarka nurodyta Informacijos tvarkymo taisyklėse.

30. Draudžiama techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus slaptažodžius.

31. SPIS naudotojų ir administratorių slaptažodžiams taikomi šie bendrieji reikalavimai:

31.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

31.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

31.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

31.4. informacinės sistemos dalys, atliekančios nutolusio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

31.5. bandant prisijungti prie SPIS neteisingą slaptažodį galima įvesti ne daugiau kaip 5 (penkis) kartus, neteisingai įvedus slaptažodį 5 (penkis) kartus SPIS naudotojas ar administratorius blokuojamas ir jam neleidžiama daugiau bandyti prisijungti prie SPIS. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, SPIS užsirakina ir 15 minučių neleidžia identifikuotis ir jungtis prie SPIS;

31.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais, išskyrus laikinuosius slaptažodžius, kurie išduodami pirmam SPIS naudotojų ar administratoriaus prisijungimui, tačiau atskirai nuo prisijungimo vardo, jei:

31.6.1. SPIS naudotojas ar administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

31.6.2. nėra techninių galimybių SPIS naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

32. SPIS naudotojų slaptažodžiams taikomi šie papildomi reikalavimai:

32.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 (tris) mėnesius;

32.2. slaptažodį turi sudaryti ne mažiau kaip 8 (aštuoni) simboliai;

32.3. keičiant slaptažodį SPIS turi neleisti sudaryti slaptažodžio iš buvusių 6 (šešių) paskutinių slaptažodžių.

33. Administratorių slaptažodžiams taikomi šie papildomi reikalavimai:

33.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 (du) mėnesius;

33.2. slaptažodį turi sudaryti ne mažiau kaip 12 (dvylika) simbolių;

33.3. keičiant slaptažodį SPIS turi neleisti sudaryti slaptažodžio iš buvusių 3 (trijų) paskutinių slaptažodžių,

34. Prisijungimas prie SPIS vykdomas SSL (angl. Secure Sockets Layer) kriptografiniu protokolu, skirtu „jautrios“ informacijos (tokios kaip vartotojų prisijungimai, slaptažodžiai ir visa kita privati informacija), sklindančios internete apsaugojimui šifruojant.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

35. Saugos įgaliotinis organizuoja Administravimo taisyklių peržiūrą ne rečiau kaip vieną kartą per metus. Administravimo taisyklės turi būti peržiūrimos atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

36. Asmenys, pažeidę šių Administravimo taisyklių reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________________________