LIETUVOS RESPUBLIKOS ekonomikos ir inovacijų MINISTRAS
įsakymas
Dėl Nacionalinės turizmo informacinės sistemos nuostatų ir nacionalinės turizmo informacinės sistemos duomenų saugos nuostatų patvirtinimo
2023 m. sausio 19 d. Nr. 4-25
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsniu, 33 straipsnio 1 dalimi, 43 straipsnio 3 dalimi, 44 straipsnio 2 dalimi, Lietuvos Respublikos turizmo įstatymo 43 straipsniu, įgyvendindama Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktą ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų reikalavimų aprašas), 7.1 papunktį, 11, 19 ir 26 punktus:
1. Tvirtinu:
2. Skiriu:
2.1. Lietuvos Respublikos ekonomikos ir inovacijų ministeriją Nacionalinės turizmo informacinės sistemos valdytoja;
3. P a v e d u viešajai įstaigai „Keliauk Lietuvoje“:
3.1. per 1 mėnesį nuo šio įsakymo įsigaliojimo dienos paskirti Nacionalinės turizmo informacinės sistemos saugos įgaliotinį, Nacionalinės turizmo informacinės sistemos naudotojų administratorių, Nacionalinės turizmo informacinės sistemos komponentų administratorių, Nacionalinės turizmo informacinės sistemos taikomosios programų įrangos administratorių, duomenų valdymo įgaliotinį;
3.2. per 5 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti, suderinti ir pateikti Ekonomikos ir inovacijų ministerijai tvirtinti Nacionalinės turizmo informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų, nurodytų Bendrųjų reikalavimų aprašo 7.2–7.4 papunkčiuose, projektus.
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir
inovacijų ministro
2023 m. sausio 19 d. įsakymu Nr. 4-25
NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės turizmo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinės turizmo informacinės sistemos (toliau – NTIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūrą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
3. NTIS kuriama ir tvarkoma vadovaujantis:
3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);
3.8. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3.1–3.9 papunkčiuose nurodytuose teisės aktuose apibrėžtas sąvokas.
5. NTIS tikslas – rinkti, kaupti, saugoti, sisteminti, analizuoti, vertinti keliautojų ir turistų asmens duomenis ir turizmo išteklių duomenis, informaciją, dokumentus, taip pat teikti su jais susijusias viešąsias paslaugas.
6. Asmens duomenų tvarkymo NTIS tikslas – keliautojų ir turistų apskaitos ir 1990 m. birželio 19 d. Konvencijos dėl Šengeno susitarimo, sudaryto 1985 m. birželio 14 d. tarp Beniliukso ekonominės sąjungos valstybių, Vokietijos Federacinės Respublikos ir Prancūzijos Respublikos Vyriausybių, dėl laipsniško jų bendrų sienų kontrolės panaikinimo įgyvendinimo 45 straipsnio 1 dalies b punkte nurodyti tikslai.
7. NTIS uždaviniai – realizuoti veikiančias pažangias elektronines paslaugas, susijusias su duomenų apie turizmo išteklius Lietuvos Respublikoje kaupimu, susisteminimu ir viešinimu bei turistų registravimo ir apskaitos procesu.
8. NTIS funkcijos:
II SKYRIUS
NTIS ORGANIZACINĖ STRUKTŪRA
9. NTIS valdytoja ir asmens duomenų valdytoja yra Lietuvos Respublikos ekonomikos ir inovacijų ministerija (toliau – NTIS valdytojas), kuri:
9.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nustatytas teises ir pareigas;
9.2. turi teises ir vykdo pareigas, susijusias su asmens duomenų tvarkymu, kurios nustatytos Reglamente (ES) 2016/679;
10. NTIS tvarkytojas ir asmens duomenų tvarkytojas yra viešoji įstaiga „Keliauk Lietuvoje“ (toliau – NTIS tvarkytojas), kuris:
10.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
10.2. teikia informaciją apie NTIS veiklą, NTIS duomenis institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai);
10.3. organizuoja NTIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;
10.4. registruoja pranešimus, prašymus ir (ar) incidentus, susijusius su duomenų neatitikimu sistemoje;
10.7. užtikrina, kad asmens duomenys būtų tvarkomi vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu;
10.9. inventorizuoja NTIS duomenis ir sudarytus NTIS duomenų rinkinius, kaip tai apibrėžta Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, ir užtikrina, kad sudaryti NTIS duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Valstybės duomenų agentūros nustatyta tvarka;
10.12. esant būtinybei ir iš anksto suderinus su NTIS valdytoju, pasitelkia kitus asmenis NTIS tvarkymo pakeitimams ar patobulinimams kurti ir atlikti;
11. NTIS duomenų teikėjai:
11.1. valstybės įmonė Registrų centras, kuri duomenis teikia iš Licencijų informacinės sistemos (toliau – LIS) (valdytoja – Ekonomikos ir inovacijų ministerija);
11.2. Informacinės visuomenės plėtros komitetas (toliau – IVPK), kuris duomenis teikia iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytoja – Ekonomikos ir inovacijų ministerija);
11.4. turizmo informacijos centrai arba, jeigu savivaldybės teritorijoje nėra įsteigto turizmo informacijos centro, kiti analogiškas funkcijas atliekantys Savivaldybės administracijos ar kitų įstaigų padaliniai (toliau – TIC);
12. NTIS naudotojai:
13. NTIS naudotojų teisės ir pareigos:
13.1. APT vadovas ir (arba) atstovas turi teisę:
13.2. APT darbuotojas turi teisę:
13.3. TIC vadovas ir (arba) atstovas turi teisę:
13.4. TIC darbuotojas turi teisę:
13.5. savivaldybės administracijos vadovas ir (arba) atstovas turi teisę:
III SKYRIUS
NTIS INFORMACINĖ STRUKTŪRA
14. NTIS kaupiami ir tvarkomi šie duomenys:
14.1. turizmo išteklių duomenys:
14.1.1. bendrieji duomenys:
14.1.2. geografiniai (lokacijos) duomenys:
14.1.3. praktinės informacijos duomenys:
14.1.3.7. nuotraukų autorystės duomenys:
14.2. renginių duomenys:
14.2.4. renginio vietos duomenys:
14.2.9. registracijos vykdytojo duomenys:
14.2.12. aprašymo duomenys:
14.3. apgyvendinimo paslaugomis pasinaudojusio turisto asmens duomenys:
14.4. turistų grupės duomenys:
14.5. APT objekto duomenys:
14.5.2. juridinio asmens rekvizitai arba fizinio asmens duomenys, kai apgyvendinimo veiklą vykdo fizinis asmuo:
14.5.2.1. juridinio asmens:
14.5.2.1.3. kontaktiniai duomenys:
14.5.2.1.4. užsienio juridinio asmens valstybės, kurioje jis registruotas, pavadinimas, įregistravimo data ir registras;
14.5.2.1.5. juridinio asmens atstovo (vadovo ar įgalioto asmens) vardas (-ai), pavardė (-ės) ir, kai taikoma, asmens kodas;
14.5.2.2. fizinio asmens:
14.5.2.2.3. fizinio asmens kodas (jeigu pagal užsienio valstybės teisės aktus fiziniam asmeniui nesuteikiamas asmens kodas, nurodoma tik gimimo data (metai, mėnuo, diena);
14.5.4. apgyvendinimo paslaugų teikimo adresas ir, jei reikia, kiti duomenys (unikalus Nr. ar kt.), padedantys identifikuoti apgyvendinimo paslaugų teikimo vietą;
14.5.9. klasifikuojamųjų apgyvendinimo paslaugų klasifikavimo pažymėjimo arba neklasifikuojamųjų apgyvendinimo paslaugų licencijos duomenys:
14.5.15. gautos pajamos iš apgyvendinimo veiklos:
14.5.16. gautos pajamos iš kitos veiklos:
14.5.16.2. pajamos už turistams suteiktas papildomas paslaugas (įskaitomos pajamos už skalbimo, lyginimo, automobilių saugojimo, konferencijų organizavimo paslaugas, naudojimąsi baseinais, pirtimis, kitomis sveikatingumo procedūromis ir kitas turistams (įskaitant vienadienius lankytojus) suteiktas paslaugas);
14.5.20. APT vadovo duomenys:
14.6. TIC ir (arba) savivaldybių duomenys:
14.6.2. TIC ir (arba) savivaldybės teritorija:
14.6.3. TIC ir (arba) savivaldybės administracijos kontaktinio asmens duomenys:
14.7. TIC ir (arba) savivaldybių administracijų naudotojų duomenys:
14.7.1. TIC ir (arba) savivaldybės administracijos vadovo duomenys:
15. NTIS naudojami duomenys:
15.1. iš LIS į NTIS teikiami Nuostatų 14.5.1–14.5.2.1.6, 14.5.2.2–14.5.2.3 ir 14.5.9 papunkčiuose nurodyti duomenys apie neklasifikuojamąsias ir klasifikuojamąsias apgyvendinimo paslaugas teikiančių APT turimą (-as) licenciją (-as), jei šiuos duomenis pateikė LIS duomenų teikėjas;
15.2. iš VVTAT į NTIS teikiami Nuostatų 14.5.1–14.5.7 papunkčiuose nurodyti duomenys, jei jie nėra pateikiami LIS;
15.3. APT į NTIS teikia Nuostatų 14.3, 14.4, 14.5.2.1.6, 14.5.8, 14.5.10–14.5.21.3 papunkčiuose nurodytus duomenis;
IV SKYRIUS
NTIS FUNKCINĖ STRUKTŪRA
16. NTIS sudarantys posistemiai, moduliai, komponentai ir jų funkcijos:
16.1. viešosios informacijos naudotojo modulis, kurį sudaro:
16.1.1. prisijungimo komponentas, kurio funkcijos – fizinių asmenų ar juridinių asmenų atstovų prisijungimas prie NTIS su prisijungimo vardu ir slaptažodžiu arba autentifikuojantis per VIISP autentifikavimo komponentą ir patekimas į autorizuoto naudotojo sritį;
16.1.2. turizmo duomenų portalo atvaizdavimo komponentas, kurio funkcijos – Nuostatų 14 punkte nustatytų duomenų atvaizdavimas grafiškai, schemiškai, sąrašo pavidalu, jų rūšiavimas, filtravimas, duomenų paieškos vykdymas;
16.2. autorizuoto naudotojo sritis, kurią sudaro:
16.2.1. ataskaitų komponentas, kurio funkcijos – reikiamų ataskaitų sugeneravimas įvairiais pjūviais, jų peržiūra, spausdinimas ir kitų, ataskaitų tvarkymo, veiksmų atlikimas;
16.3. turistų registracijos posistemė (toliau – E. turistas posistemė), kurią sudaro:
16.3.1. turistų registracijos kortelių tvarkymo komponentas, kurio funkcijos – naujų turistų registracijos kortelių sukūrimas ir esamų turistų registracijos kortelių redagavimas;
16.4. turizmo išteklių posistemė, kurią sudaro:
16.4.1. turistinio objekto duomenų registracijos komponentas, kurio funkcijos – turizmo išteklių duomenų registravimas;
16.4.2. turizmo išteklių tvarkymo komponentas, kurio funkcijos – turizmo objektų duomenų peržiūra ir tvarkymas;
16.4.3. TIC ir (arba) savivaldybės administracijos paskyros tvarkymo komponentas, kurio funkcijos – TIC ir (arba) savivaldybių administracijų paskyrų sukūrimas ir tvarkymas;
16.5. vidinio naudotojo sritis, kurią sudaro:
16.5.1. administravimo komponentas, kurio funkcijos – sisteminių nustatymų administravimas, APT ar TIC ir (arba) savivaldybės administracijos paskyrų sukūrimas, koregavimas, naikinimas, APT paskyrų įvedimo laukų pagal APT kategoriją kūrimas, redagavimas, įjungimas, išjungimas, naudotojų teisių ir rolių administravimas, sisteminių pranešimų kūrimas ir administravimas;
16.5.2. duomenų importo ir (arba) eksporto komponentas, kurio funkcijos – visų APT ir turisto registracijų kortelių ir (arba) TIC ir (arba) savivaldybių administracijų turizmo išteklių duomenų importavimas ir eksportavimas;
16.5.3. duomenų peržiūros komponentas, kurio funkcijos – turistų kortelių, turizmo išteklių duomenų bei turistų judėjimo Lietuvoje schemų peržiūra bei tvarkymas, turizmo išteklių duomenų tvarkymas, peržiūra, patvirtinimas arba atmetimas;
16.5.4. apklausų tvarkymo komponentas, kurio funkcijos – apklausų sukūrimas ir tvarkymas, jų rezultatų peržiūra ir parsisiuntimas;
16.5.5. infografikų tvarkymo komponentas, kurio funkcijos – viešojoje srityje grafiškai atvaizduojamų duomenų administravimas;
16.5.6. atvirų duomenų tvarkymo komponentas, kurio funkcijos – viešojoje srityje pateikiamų nuasmenintų atvirų duomenų rinkinių kūrimas ir tvarkymas;
V SKYRIUS
NTIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
17. Nuostatų 14.1.1–14.1.4.3, 14.2.1–14.2.8, 14.2.10–14.2.12.5, 14.2.12.7–14.2.12.8, 14.5.1–14.5.2.1.3, 14.5.3–14.5.8, 14.5.10, 14.5.17–14.5.19 papunkčiuose nurodyti duomenys yra vieši ir NTIS teikiami neatlygintinai institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai), jeigu NTIS nuostatai, Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.
18. NTIS duomenys, įskaitant asmens duomenis, daugkartinio teikimo atveju teikiami pagal NTIS tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį, kurioje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Duomenys, įskaitant asmens duomenis, vienkartinio duomenų teikimo atveju teikiami pagal duomenų gavėjo prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjai iš NTIS gautus asmens duomenis privalo naudoti tik duomenų sutartyje ar prašyme nurodytu tikslu ir apimtimi.
19. Duomenys NTIS duomenų gavėjams, su kuriais sudaroma duomenų teikimo sutartis, teikiami leidžiamosios kreipties būdu.
20. NTIS duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kurie institucijoje jau naudojami ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka NTIS duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.
21. Tais atvejais, kai atsisakoma teikti NTIS duomenis, asmeniui, pateikusiam prašymą juos gauti, tokio prašymo teikėjui raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą sprendimą ir atsisakymo tenkinti jo prašymą motyvus, suteikiama informacija apie tokio sprendimo apskundimo tvarką.
22. NTIS duomenys, išskyrus asmens duomenis ir autorių turtinėmis teisėmis apsaugotus duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka. Trečiosioms valstybėms arba tarptautinėms organizacijoms NTIS tvarkomi asmens duomenys perduodami laikantis Reglamento (ES) 2016/679 nustatytų asmens duomenų perdavimo sąlygų.
23. NTIS kaupiami asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Valstybės informacinių išteklių valdymo įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
24. NTIS tvarkomų asmens duomenų perdavimas trečiosioms valstybėms arba tarptautinėms organizacijoms numatytas 18, 20, 22 punktuose.
25. NTIS duomenų gavėjai ir kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. NTIS valdytojas nedelsiant informuojamas apie pastebėtus netikslumus ir privalo nedelsdamas, tačiau ne vėliau kaip per 5 darbo dienas nuo informacijos gavimo dienos, ištaisyti klaidingus ar netikslius duomenis ir apie atliktą ar neatliktą duomenų ištaisymą raštu informuoti to pareikalavusį asmenį ir duomenų gavėjus, kuriems buvo pateikti šie duomenys. Kai dėl netikslių duomenų ištaisymo būtina kreiptis į duomenų teikėją, NTIS valdytojas reaguoja nepagrįstai nedelsdamas (kaip galima greičiau), bet ne vėliau kaip per 5 darbo dienas. Ištaisęs netikslius duomenis, NTIS valdytojas nedelsdamas (bet ne ilgiau kaip per 3 darbo dienas) apie tai praneša asmenims, kuriems perduoti netikslūs duomenys.
VI SKYRIUS
NTIS DUOMENŲ SAUGA
27. Duomenų saugą nustato valstybės informacinės sistemos valdytojo patvirtinti valstybės informacinės sistemos duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Vyriausybės nustatyta tvarka.
28. Už NTIS duomenų ir elektroninės informacijos saugą pagal kompetenciją atsako NTIS valdytojas ir tvarkytojas Lietuvos Respublikos įstatymų, reglamentuojančių duomenų ir elektroninės informacijos saugą, nustatyta tvarka.
29. NTIS duomenų saugos administracinės, organizacinės, techninės, programinės ir kitos priemonės nustatomos ir duomenų, įskaitant asmens duomenis, saugumas užtikrinamas vadovaujantis:
29.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
29.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
29.6. Lietuvos standartais LST EN ISO/IEC 27001, LST EN ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais grupės standartais „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
30. NTIS duomenys turi būti apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto veiksmo.
31. Asmenys, tvarkantys asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams. Asmenys, pažeidę asmens duomenų tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.
32. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2019 m. vasario 26 d. įsakymu Nr. 4-125 „Dėl Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašo patvirtinimo“.
33. APT ar turizmo išteklių objektui nutraukus veiklą visi NTIS buvę su APT ar turizmo išteklių objektu susiję duomenys, išskyrus asmens duomenis, NTIS pagrindinėje duomenų bazėje saugomi 10 metų. Pasibaigus nustatytam terminui, duomenys perkeliami į duomenų bazės archyvą ir vienus metus saugomi. Pasibaigus šiam terminui, sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.
VII SKYRIUS
NTIS FINANSAVIMAS
38. NTIS kūrimas, tvarkymas ir priežiūra finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis.
VIII SKYRIUS
NTIS MODERNIZAVIMAS IR LIKVIDAVIMAS
40. NTIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
42. Duomenų subjekto, kurio asmens duomenys tvarkomi NTIS, teisės yra įgyvendinamos Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2015 m. balandžio 27 d. įsakymu Nr. 4-269 „Dėl Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašo patvirtinimo“.
43. Informacija apie asmens duomenų tvarkymą Ekonomikos ir inovacijų ministerijoje pateikiama ministerijos interneto svetainėje https://eimin.lrv.lt/lt/asmens-duomenu-apsauga ir viešosios įstaigos „Keliauk Lietuvoje“ interneto svetainėje https://www.lithuania.travel/lt/news/duomenu-apsauga.
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir
inovacijų ministro
2023 m. sausio 19 d. įsakymu Nr. 4-25
NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės turizmo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Nacionalinės turizmo informacinės sistemos (toliau – NTIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką.
2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės sritys:
3.3. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;
4. Elektroninės informacijos saugumo užtikrinimo tikslai:
4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
5. Tvarkant NTIS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi šiais teisės aktais:
5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
5.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);
5.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas).
6. Saugos nuostatų taikymas ir naudojimas:
6.1. Saugos nuostatai taikomi:
6.1.1. NTIS valdytojai – Lietuvos Respublikos ekonomikos ir inovacijų ministerijai (Gedimino pr. 38, 01104 Vilnius);
7. NTIS valdytojo funkcijos:
7.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;
8. NTIS tvarkytojo funkcijos:
8.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;
8.3. užtikrinti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 7.2–7.4 papunkčiuose nurodytų saugos dokumentų (toliau – Saugos dokumentai) ir kitų teisės aktų, susijusių su NTIS elektroninės informacijos sauga ir kibernetiniu saugumu, NTIS nuostatų įgyvendinimą;
9. NTIS saugos įgaliotinio funkcijos:
9.1. koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą Saugos dokumentuose nustatyta tvarka;
10. NTIS administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:
10.1. NTIS naudotojų administratorių, kuris atlieka funkcijas, susijusias su NTIS naudotojų teisių valdymu;
10.2. NTIS komponentų administratorių, kuris atlieka funkcijas, susijusias su NTIS komponentais – kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja NTIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei NTIS komponentų sąranka;
11. NTIS komponentų administratorius yra atsakingas už NTIS komponentų sąrankos aprašymo dokumentų parengimą ir pakeitimą, NTIS pažeidžiamų vietų nustatymą ir NTIS saugos priemonių parinkimą ir įdiegimą bei jų atitiktį Saugos nuostatų ir kitų saugos dokumentų reikalavimams. NTIS komponentų administratorius registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos NTIS saugos įgaliotinį, teikia NTIS tvarkytojui pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo.
12. NTIS administratoriai privalo vykdyti visus NTIS saugos įgaliotinio nurodymus ir pavedimus dėl NTIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti NTIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
13. Atlikdamas NTIS sąrankos pakeitimus, NTIS komponentų administratorius turi laikytis NTIS pokyčių valdymo tvarkos, nustatytos NTIS valdytojo tvirtinamose NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. NTIS tvarkoma elektroninė informacija priskiriama žinybinės svarbos elektroninės informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 10 punktu, pagal kurį informacija priskiriama žinybinės svarbos informacijos kategorijai, jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė vienos institucijos veiklai arba gali būti padaryta žala vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai.
16. NTIS priskiriama trečios kategorijos informacinėms sistemoms, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 12.4.4 papunkčiu.
17. Rizikos veiksmų vertinimo organizavimas:
17.1. NTIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet arba įvykus organizacinių ar sisteminių pokyčių organizuoja NTIS rizikos įvertinimą. NTIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.
17.2. Prireikus saugos įgaliotinis gali organizuoti neeilinį NTIS rizikos įvertinimą. NTIS tvarkytojo rašytiniu pavedimu NTIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
17.3. Rizikos vertinimo metu turi būti:
17.3.1. nustatomos grėsmės ir pažeidžiamumas, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui;
17.4. Rizikos veiksniai rizikos įvertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį. NTIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama NTIS valdytojo vadovui ir NTIS tvarkytojo vadovui. Rengiant rizikos įvertinimo ataskaitą, įvertinami rizikos veiksniai, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. Svarbiausi rizikos veiksniai yra šie:
17.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);
17.5. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NTIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
17.6. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas NTIS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje.
18. Informacinių technologijų saugos atitikties vertinimo organizavimas:
18.1. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per 2 metus turi būti organizuojamas NTIS informacinių technologijų saugos atitikties vertinimas.
18.2. Informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.
18.3. NTIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.
18.4. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita, kuri pateikiama NTIS valdytojui bei NTIS tvarkytojui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato NTIS valdytojas.
18.5. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas NTIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.
19. Elektroninės informacijos saugos ir kibernetinio saugumo būklės gerinimas:
19.1. Techninės, programinės, organizacinės ir kitos NTIS elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į NTIS valdytojo turimus išteklius, vadovaujantis šiais principais:
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
20. Organizaciniai ir kibernetinio saugumo reikalavimai nustatomi pagal Saugos nuostatų 26 ir 27 punktuose nustatytą NTIS svarbos kategoriją, vadovaujantis Saugos nuostatų 5 punkte nurodytais teisės aktais ir standartais.
21. Kibernetinio saugumo priemonės, nurodytos Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo priede, turi būti diegiamos atsižvelgiant į naujausius technologinius sprendimus, vadovaujantis gamintojo pateikiama bent viena gerosios saugumo praktikos rekomendacija.
22. Organizacinių ir techninių elektroninės informacijos saugos ir kibernetinio saugumo priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumo, galinčio turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.
23. Programinės įrangos, skirtos NTIS apsaugoti nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
23.1. Tarnybinėse stotyse ir NTIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.
23.2. NTIS komponentai be kenkimo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina.
23.3. Kenkimo programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. NTIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems NTIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims ir kitiems NTIS komponentams yra pradelstas kenkimo programinės įrangos aptikimo priemonių atsinaujinimo laikas, taip pat jei kenkimo programinės įrangos aptikimo priemonės netinkamai veikia arba yra išjungtos.
24. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
24.2. NTIS vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti suderinta su NTIS saugos įgaliotiniu.
24.3. Tarnybinių stočių ir NTIS vidinių naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti išbandomi ir įdiegiami.
24.4. Programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų.
24.5. Programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – NTIS komponentų arba taikomosios programų įrangos administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.
24.6. Programinė įranga turi būti testuojama naudojant atskirą testavimo terpę, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu.
24.7. NTIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kita) pagrindinės naudojimo nuostatos:
25.1. Kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo, srautinių paslaugos trikdymo atakų įrangą.
25.2. Kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių NTIS naudotojų kompiuterinę įrangą nuo kenkimo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.
25.3. Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.
26. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie NTIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
27. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių) (toliau – Mobilieji įrenginiai), naudojamų prisijungti prie NTIS, pagrindinės saugos nuostatos:
28. Organizaciniai ir kibernetinio saugumo reikalavimai išsamiai aprašyti informacinės sistemos ir kibernetinio saugumo politikos įgyvendinamuosiuose dokumentuose.
29. Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
29.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną NTIS neveikimo laikotarpį (angl. recovery time objective).
29.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokiu mastu, kad NTIS veiklos sutrikimo, elektroninės informacijos saugos ir kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais NTIS neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta NTIS svarbos kategorijai, nurodytai Saugos nuostatų 26 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus.
29.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
29.4. Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.
29.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra NTIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.
29.6. Periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
30. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacijos ir patirties reikalavimai:
30.1. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacija turi atitikti jų pareiginiuose nuostatuose, jei tokie yra, nustatytus reikalavimus.
30.2. NTIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. NTIS tvarkytojas turi sudaryti sąlygas kelti NTIS saugos įgaliotinio kvalifikaciją.
30.3. NTIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti NTIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti NTIS komponentus (stebėti NTIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti nepertraukiamą NTIS komponentų veikimą ir panašiai). NTIS administratoriai turi būti susipažinę su Saugos nuostatais.
31. NTIS tvarkytojas pagal savo institucijos kompetenciją užtikrina NTIS saugos įgaliotinio, NTIS duomenų valdymo įgaliotinio, NTIS administratorių kvalifikacijos kėlimą.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
33. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, ir NTIS administratorių supažindinimą su Saugos dokumentais ar jų santrauka, atsakomybe už Saugos dokumentų nuostatų pažeidimus organizuoja NTIS saugos įgaliotinis.
34. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, supažindinimo su Saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į NTIS specifiką (NTIS ir jos naudotojų, nurodytų NTIS nuostatų 12 punkte, buvimo vietą, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su Saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją galią, panaudojimo galimybes ir panašiai).
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
36. NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai pagal kompetenciją atsako už NTIS tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Saugos dokumentų ir kitų elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojančių teisės aktų nuostatas pažeidę NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.