LIETUVOS RESPUBLIKOS APLINKOS MINISTRO

NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO

DIREKTORIUS

ĮSAKYMAS

DĖL NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO DIREKTORIAUS 2014 M. SPALIO 8 D. ĮSAKYMO NR. T1-328 „DĖL NARKOTINIŲ IR PSICHOTROPINIŲ MEDŽIAGŲ PIRMTAKŲ (PREKURSORIŲ) TEISĖTOS APYVARTOS KONTROLĖS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2021 m. spalio 15 d. Nr. T1-94

Vilnius

P a k e i č i u Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus 2014 m. spalio 8 d. įsakymą Nr. T1-328 „Dėl Narkotinių ir psichotropinių medžiagų ir pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO

DIREKTORIUS

ĮSAKYMAS

DĖL NARKOTINIŲ IR PSICHOTROPINIŲ MEDŽIAGŲ PIRMTAKŲ (PREKURSORIŲ) TEISĖTOS APYVARTOS KONTROLĖS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo", 11 punktu, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugaus dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo", t v i r t i n u pridedamus:

1. Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos nuostatus;

2. Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos duomenų saugos nuostatus.

Direktorius Renaldas Čiužas

SUDERINTA SUDERINTA

Nacionaliniu kibernetinio saugumo centro Valstybinė duomenų apsaugos inspekcijos

2021-04-21 raštu Nr. (4.1 E) 6K-324 2021-05-07 raštu Nr. 2R-2306 (3.2.Mr)

SUDERINTA SUDERINTA

Ekonomikos ir inovacijų ministerijos Vidaus reikalų ministerijos

2021-05-17 raštu Nr. 3-2323 2021-05-03 raštu Nr. 1D-2509

PATVIRTINTA

Narkotikų, tabako ir alkoholio kontrolės

departamento direktoriaus

2014 m. spalio 8 d. įsakymu Nr. T1-328

(Narkotikų, tabako ir alkoholio kontrolės

departamento direktoriaus

2021 m. spalio 15 d.

įsakymo Nr. T1-94 redakcija)

NARKOTINIŲ IR PSICHOTROPINIŲ MEDŽIAGŲ ir JŲ PIRMTAKŲ (PREKURSORIŲ) TEISĖTOS APYVARTOS KONTROLĖS INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos (toliau – PTAKIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, asmens duomenų tvarkymo tikslą, nustato PTAKIS organizacinę, informacinę ir funkcinę struktūras, PTAKIS duomenų teikimo ir naudojimo bei duomenų saugos reikalavimus, PTAKIS finansavimo, modernizavimo ir likvidavimo tvarką.

2. PTAKIS steigimo teisinis pagrindas – Lietuvos Respublikos narkotinių ir psichotropinių medžiagų pirmtakų (prekursorių) kontrolės įstatymo 8 straipsnio 3, 4 dalys, Lietuvos Respublikos narkotinių ir psichotropinių medžiagų kontrolės įstatymo 21⁴ straipsnio 1 dalies 11 punktas.

3. PTAKIS tikslas – informacinių technologijų priemonėmis surinkti, apdoroti bei sisteminti duomenis apie narkotinių ir psichotropinių medžiagų pirmtakus (prekursorius) (į oficialų sąrašą įtrauktos medžiagos) (toliau – Prekursoriai) ir apie į oficialų sąrašą neįtrauktas medžiagas (toliau-Prie-prekursoriai), o taip pat apie į narkotinių ir psichotropinių medžiagų IV sąrašą įtrauktas medžiagas (toliau – IV sąrašo medžiagos) bei minėtų medžiagų teisėtą apyvartą Lietuvos Respublikoje.

4. Asmens duomenų tvarkymo PTAKIS tikslas – PTAKIS naudotojų identifikavimo ir autentifikavimo tikslais, kuriais siekiama nustatyti fizinius ir juridinius asmenis, turinčius licencijas, specialiąsias licencijas, eksporto, importo leidimus, veiklos vietos registracijos pažymėjimus, leidimus ar kitaip teisėtai vykdančius veiklą, susijusią su Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėta apyvarta, taip pat šių asmenų tapatybės nustatymo tikslas, kuriuo informacinių technologijų priemonėmis surenkami, sisteminami, apdorojami duomenys priežiūros, stebėsenos, analizės ir statistikos tikslais - apie šių medžiagų teisėtą apyvartą Lietuvos Respublikoje.

5. PTAKIS uždaviniai:

5.1. tvarkyti duomenis apie Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų importą, eksportą, įvežimą, išvežimą, gaminimą, platinimą ir naudojimą (toliau – teisėta apyvarta);

5.2. automatizuoti duomenų apie Prekursorius, Pre-prekursorius ir IV sąrašo medžiagas, jų teisėtą apyvartą apskaitą, kontrolę ir informacijos apdorojimą bei perdavimą kompetentingoms Lietuvos Respublikos ir Europos Sąjungos institucijoms;

5.3. teikti elektronines paslaugas - elektroniniu būdu priimti informaciją iš ūkio subjektų (tiekiančių į rinką ir/ar naudojančių savo veikloje chemines medžiagas).

6. Pagrindinės PTAKIS funkcijos yra:

6.1. administruoti ir identifikuoti PTAKIS naudotojus, rinkti duomenis apie Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėtą apyvartą iš fizinių ir juridinių asmenų elektroniniu būdu;

6.2. analizuoti duomenis ir informaciją apie Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėtą apyvartą;

6.3. teikti duomenis ir informaciją apie Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėtą apyvartą suinteresuotoms valstybinėms ir tarptautinėms institucijoms.

7. PTAKIS kuriama bei tvarkoma vadovaujantis šiais teisės aktais:

7.1. 2004 m. vasario 11 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 273/2004 dėl narkotinių medžiagų pirmtakų (prekursorių) su visais pakeitimais (toliau – Reglamentas Nr. 273/2004);

7.2. 2004 m. gruodžio 22 d. Tarybos reglamentu (EB) Nr. 111/2005, nustatančiu prekybos narkotinių ir psichotropinių medžiagų pirmtakais (prekursoriais) tarp Bendrijos ir trečiųjų šalių stebėsenos taisykles su visais pakeitimais (toliau – Reglamentas Nr. 111/2005);

7.3. 2015 m. birželio 25 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1013, kuriuo išdėstomos su Europos Parlamento ir Tarybos reglamentu (EB) Nr. 273/2004 dėl narkotinių ir psichotropinių medžiagų pirmtakų (prekursorių) ir Tarybos reglamentu (EB) Nr. 111/2005, nustatančiu prekybos narkotinių ir psichotropinių medžiagų pirmtakais (prekursoriais) tarp Sąjungos ir trečiųjų šalių stebėsenos taisykles, susijusios taisyklės (toliau – Reglamentas 2015/1013);

7.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES)2016/679);

7.5. Narkotinių ir psichotropinių medžiagų pirmtakų (prekursorių) kontrolės įstatymu;

7.6. Narkotinių ir psichotropinių medžiagų kontrolės įstatymu;

7.7. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

7.8. Lietuvos Respublikos kibernetinio saugumo įstatymu;

7.9. Veiklos, susijusios su narkotinių ir psichotropinių medžiagų pirmtakais (prekursoriais), licencijavimo, vietos registravimo, importo ir eksporto leidimų išdavimo ir šios veiklos kontrolės vykdymo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2006 m. kovo 9 d. nutarimu Nr. 221 „Dėl Veiklos, susijusios su narkotinių ir psichotropinių medžiagų pirmtakais (prekursoriais), licencijavimo, vietos registravimo, importo ir eksporto leidimų išdavimo ir šios veiklos priežiūros ir kontrolės vykdymo taisyklių patvirtinimo“;

7.10. Leidimų verstis veikla su į narkotinių ir psichotropinių medžiagų IV sąrašą įrašytomis medžiagomis išdavimo, pranešimų apie importą ir eksportą pateikimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2018 m. spalio 17 d. nutarimu Nr. 1052 „Dėl Leidimų verstis veikla su į narkotinių ir psichotropinių medžiagų IV sąrašą įrašytomis medžiagomis išdavimo, pranešimų apie importą ir eksportą pateikimo taisyklių patvirtinimo“;

7.11. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

7.12. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

8. Nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas Nuostatų 7 ir 42 punktuose nurodytuose teisės aktuose.

II SKYRIUS

PTAKIS ORGANIZACINĖ STRUKTŪRA

9. PTAKIS valdytojas yra Narkotikų, tabako ir alkoholio kontrolės departamentas (toliau – Departamentas), taip pat Departamentas yra PTAKIS tvarkomų asmens duomenų valdytojas. Departamentas, kaip asmens duomenų valdytojas, vykdo Reglamente (ES) 2016/679 nustatytas funkcijas, turi šiame teisės akte nurodytas teises ir pareigas.

10. Departamentas, kaip PTAKIS valdytojas, vykdo šias funkcijas:

10.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

10.2. teisės aktų nustatyta tvarka rengia ir tvirtina teisės aktus, reglamentuojančius PTAKIS veiklą;

10.3. sudaro PTAKIS duomenų teikimo sutartis;

10.4. sprendžia kaip yra formuojami PTAKIS duomenys, t. y. nustato laikotarpius kuriais reikia teikti duomenis, nustato apie kokias medžiagas reikia teikti duomenis atsižvelgiant į Reglamentą Nr. 273/2004, nustato galimas duomenų teikimo paklaidas;

10.5. analizuoja teisines, technines, technologines, metodologines ir organizacines PTAKIS tvarkymo problemas ir priima bei įgyvendina administracinius, organizacinius ir techninius sprendimus, kurių reikia PTAKIS veiklai užtikrinti ir gerinti;

10.6. organizuoja ir vykdo PTAKIS techninės ir programinės įrangos įsigijimą, sprendžia tobulinimo ir plėtros klausimus;

10.7. formuoja ir įgyvendina PTAKIS informacijos saugos politiką, užtikrina PTAKIS tvarkomos duomenų bazės, dokumentų ir jų archyvų saugą, duomenų saugos ir asmens duomenų teisinės apsaugos reikalavimų laikymosi priežiūrą;

10.8. metodiškai vadovauja PTAKIS naudojantiems asmenims.

11. Departamentas, kaip PTAKIS tvarkytojas, vykdo šias funkcijas:

11.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

11.2. siekiant užtikrinti PTAKIS duomenų aktualumą ir operatyvų atnaujinimą, teisės aktų nustatyta tvarka teikia PTAKIS duomenis ir informaciją kitoms valstybės informacinėms sistemoms, naudoja kitų valstybės informacinių sistemų ir registrų duomenis;

11.3. užtikrina PTAKIS tvarkomų duomenų patikimumą organizacinėmis priemonėmis;

11.4. organizuoja ir koordinuoja arba atlieka PTAKIS techninių programinių priemonių peržiūros ir tobulinimo darbus;

11.5. įgyvendina PTAKIS plėtros projektus;

11.6. įgyvendina ir užtikrina PTAKIS duomenų saugos priemones;

11.7. atlieka duomenų ir kitos informacijos analizę;

11.8. teisės aktų nustatyta tvarka teikia apibendrintą informaciją;

12. PTAKIS duomenų teikėjai yra:

12.1. valstybės įmonė Registrų centras, teikiantis Juridinių asmenų registro duomenis (valdytoja – Lietuvos Respublikos teisingumo ministerija);

12.2. Informacinės visuomenės plėtros komitetas, teikiantis duomenis iš Valstybės informacinių išteklių sąveikumo platformos (valdytoja – Lietuvos Respublikos ekonomikos ir inovacijų ministerija);

12.3. fiziniai ir juridiniai asmenys, teikiantys duomenis apie savo veikloje turimas (tiekiamas į rinką ir/ar naudojamas) chemines medžiagas.

13. PTAKIS naudojai yra fiziniai ir juridiniai asmenys, turintys licencijas, specialiąsias licencijas, eksporto, importo leidimus, veiklos vietos registracijos pažymėjimus, leidimus ar kitaip teisėtai vykdančius veiklą, susijusią su Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėta apyvarta. Fiziniai asmenys ir juridinių asmenų, tiekiančių į rinką ir/ar naudojančių savo veikloje chemines medžiagas, atstovai.

14. PTAKIS naudojai yra atsakingi už teikiamų duomenų tvarkymą, turi teisę peržiūrėti, taisyti, papildyti savo pateiktus duomenis.

III SKYRIUS

PTAKIS INFORMACINĖ STRUKTŪRA

15. PTAKIS duomenų bazėje kaupiami duomenys:

15.1. duomenys apie Prekursorius, Pre-prekursorius, IV sąrašo medžiagas bei jų teisėtą apyvartą:

15.1.1. pavadinimas pagal Tarptautinės teorinės ir taikomosios chemijos sąjungos nomenklatūrą (IUPAC);

15.1.2. Cheminių medžiagų santrumpų tarnybos (CAS) numeris;

15.1.3. kategorija, kuriai medžiaga priskiriama;

15.1.4. subkategorija, kuriai medžiaga priskiriama;

15.1.5. bendras atsiskaitomojo ketvirčio kiekis ir mato vienetas;

15.1.6. šalies pavadinimas, iš kurios importuotas arba įvežtas;

15.1.7. šalies pavadinimas, į kurią eksportuotas arba išvežtas;

15.1.8. parduotas arba panaudotas kiekis Lietuvoje.

15.2. PTAKIS naudojančių asmenų duomenys:

15.2.1. fizinių asmenų, tiekiančių į rinką ir/ar naudojančių savo veikloje chemines medžiagas, duomenys:

15.2.1.1. vardas ir pavardė, asmens kodas;

15.2.1.2. gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas.

15.2.2. juridinių asmenų, tiekiančių į rinką ir/ar naudojančių savo veikloje chemines medžiagas, atstovų duomenys:

15.2.2.1. vardas ir pavardė;

15.2.2.2. pareigos.

15.2.3. juridinių asmenų, tiekiančių į rinką ir/ar naudojančių savo veikloje chemines medžiagas, duomenys:

15.2.3.1. pavadinimas, kodas;

15.2.3.2. veiklos vykdymo vietos adresas, telefono numeris, fakso numeris, elektroninio pašto adresas.

15.2.4. PTAKIS naudojančių asmenų prisijungimo momento prie PTAKIS fiksavimas: data ir laikas.

15.3. duomenys apie Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų įgijėjus:

15.3.1. fizinio asmens vardas ir pavardė, asmens kodas;

15.3.2. juridinio asmens pavadinimas, kodas.

15.4. PTAKIS naudotojų, kurie apibrėžti Nuostatų 13 punkte, duomenys – vardas, pavardė, pareigos, elektroninio pašto adresas, prisijungimo vardas ir slaptažodis.

16. Klasifikatoriai ir jų duomenys, atitinkantys:

16.1. Prekursorių sąrašą, nurodytą Reglamente Nr. 273/2004 ir Reglamente Nr. 111/2005;

16.2. Pre-prekursorių sąrašą, patvirtintą Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus 2015 m. lapkričio 2 d. įsakymu Nr. T1-279 „Dėl Į oficialų sąrašą neįtrauktų medžiagų sąrašo patvirtinimo“;

16.3. IV sąrašo medžiagų sąrašą, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2000 m. sausio 6 d. įsakymu Nr. 5 „Dėl narkotinių ir psichotropinių medžiagų sąrašų patvirtinimo“;

16.4. Cheminių medžiagų santrumpų tarnybos sąrašą (CAS);

16.5. Lietuvos savivaldybių pavadinimų ir kodų sąrašą;

16.6. Europos Sąjungos valstybių pavadinimų ir kodų sąrašą.

17. PTAKIS kaupiami duomenys gaunami iš Nuostatų 12 punkte nurodytų informacinių sistemų, registrų bei pirminių duomenų šaltinių:

17.1. fizinių ir juridinių asmenų, kurie tiekia į rinką ir/ar naudoja savo veikloje chemines medžiagas – duomenys nurodyti Nuostatų 15.1, 15.2.1, 15.2.2, 15.2.3, 15.3, papunkčiuose;

17.2. Valstybės įmonės Registrų centro Juridinių asmenų registro – duomenys nurodyti Nuostatų 15.2.3 papunktyje;

17.3. Valstybės informacinių išteklių sąveikumo platformos – duomenys nurodyti Nuostatų 15.2 papunktyje;

IV SKYRIUS

PTAKIS FUNKCINĖ STRUKTŪRA

18. PTAKIS funkcinę struktūrą sudaro:

18.1. išorinio elektroninių paslaugų portalo posistemė;

18.2. vidinio portalo ir procesų valdymo posistemė;

18.3. duomenų kaupimo posistemė;

18.4. duomenų analizės ir kontrolės posistemė;

18.5. duomenų mainų posistemė;

18.6. archyvavimo posistemė;

18.7. administravimo posistemė.

19. Išorinio elektroninių paslaugų portalo posistemę sudaro:

19.1. identifikavimo ir autorizavimo modulis, atliekantis PTAKIS naudotojų identifikavimo ir autorizavimo funkcijas;

19.2. duomenų teikimo ir peržiūros modulis atliekantis:

19.2.1. PTAKIS duomenų priėmimo naudojant elektronines formas ir duomenų rinkinius funkciją;

19.2.2. PTAKIS duomenų apdorojimo ir atvaizdavimo funkcijas;

19.2.3. informacijos fiziniams ir juridiniams asmenims apie privalomus teikti duomenis teikimo funkciją;

19.2.4. komunikacijos tarp fizinių ir juridinių asmenų, taip pat PTAKIS tvarkytojo žinučių ir pranešimų rengimo, teikimo ir atvaizdavimo funkcijas;

19.3. PTAKIS duomenų teikimo ir stebėsenos modulis, atliekantis:

19.3.1. duomenų teikimo procesų administravimo funkciją;

19.3.2. duomenų teikimo eigos stebėsenos ir informavimo funkciją;

19.3.3. informavimo apie naujus pranešimus tarp fizinių ir juridinių asmenų, taip pat kontroliuojančių institucijų funkciją;

20. Vidinio portalo ir procesų valdymo posistemę sudaro:

20.1. duomenų valdymo modulis atliekantis:

20.1.1. pateiktų PTAKIS apskaitos duomenų ir kitos informacijos automatinės kontrolės, sutikrinimo, sisteminimo, apdorojimo ir loginės kontrolės funkcijas;

20.1.2. duomenų ir informacijos, susijusios su Prekursorių, Pre-prekursorių ir IV sąrašo medžiagų teisėta apyvarta pateikimo PTAKIS naudotojams funkciją.

20.2. procesų valdymo modulis, atliekantis PTAKIS procesų valdymo funkciją.

21. Duomenų kaupimo posistemę sudaro:

21.1. duomenų įkėlimo ir transformavimo modulis, atliekantis pirminių duomenų apdorojimo funkciją;

21.2. duomenų kaupimo modulis, atliekantis surinktos informacijos saugojimo funkciją.

22. Duomenų analizės ir kontrolės posistemę sudaro:

22.1. analizės modulis, atliekantis PTAKIS kaupiamų duomenų atrinkimo, tikrinimo ir analizės funkcijas;

22.2. ataskaitų rengimo modulis, atliekantis ataskaitų šablonų formavimo, ataskaitų generavimo ir teikimo funkcijas.

23. Duomenų mainų posistemę sudaro:

23.1. identifikavimo modulis, atliekantis susijusių informacinių sistemų ir (ar) registrų identifikavimo ir autentifikavimo funkciją;

23.2. informacijos apsikeitimo modulis, atliekantis informacijos apsikeitimo funkcijas su vidiniais PTAKIS sistemos komponentais, kitomis sistemomis ir registrais.

24. PTAKIS archyvavimo posistemę sudaro:

24.1. istorinės informacijos archyvavimo modulis, atliekantis PTAKIS istorinės informacijos archyvavimo funkciją;

24.2. istorinės informacijos atstatymo iš archyvo modulis, atliekantis PTAKIS istorinės informacijos atstatymo iš archyvų funkciją.

25. PTAKIS administravimo posistemę sudaro:

25.1. PTAKIS naudotojų teisių valdymo modulis, atliekantis naudotojo teisių lygio priskyrimą PTAKIS naudotojams;

25.2. duomenų valdymo modulis, atliekantis PTAKIS naudotojų duomenų valdymo ir administravimo funkciją;

25.3. saugos ir audito modulis, atliekantis PTAKIS naudotojų veiksmų stebėjimą ir jų kaupimą;

25.4. administravimo modulis, atliekantis:

25.4.1. PTAKIS posistemių konfigūracijos valdymo ir administravimo funkcijas;

25.4.2. PTAKIS konfigūracijos valdymo ir administravimo funkcijas.

V SKYRIUS

PTAKIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

26. PTAKIS duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims, išskyrus informaciją, kurios konfidencialumą privaloma užtikrinti, vadovaujantis 2004 m. vasario 11 d. Europos Parlamento ir Tarybos reglamento (EB) Nr. 273/2004 dėl narkotinių medžiagų pirmtakų (prekursorių) 10 straipsnio 3 dalimi. Asmens duomenys teikiami ir naudojami vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu.

27. Duomenys teikiami neatlygintinai.

28. PTAKIS duomenis duomenų gavėjams, nurodytiems Nuostatų 26 punkte, teikia PTAKIS tvarkytojas.

29. PTAKIS kaupiami duomenys teikiami Valstybės informacinių išteklių valdymo įstatymo, kitų duomenų teikimą reglamentuojančių teisės aktų bei duomenų teikimo sutarčių nustatyta tvarka ir sąlygomis. Duomenų gavėjai privalo naudoti gautus duomenis tik teisėtiems ir apibrėžtiems tikslams. Tvarkytojas PTAKIS duomenis PTAKIS duomenų gavėjams perduoda elektroniniu būdu.

30. Daugkartinio teikimo atveju PTAKIS asmens duomenys teikiami pagal PTAKIS tvarkytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį. Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Taip pat daugkartinio teikimo atveju PTAKIS asmens duomenys teikiami kai teisės aktais yra nustatyta pareiga šiuos duomenis teikti.

31. Vienkartinio teikimo atveju PTAKIS asmens duomenys teikiami pagal gavėjo prašymą pateiktą PTAKIS tvarkytojui. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.

32. Kai atsisakoma teikti PTAKIS tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, PTAKIS tvarkytojas praneša apie priimtą sprendimą atsisakyti tenkinti asmens prašymą ir suteikia informaciją apie tokio sprendimo apskundimo tvarką.

33. PTAKIS duomenų teikimo tvarka ir jos teikimo aprašas yra patvirtintas Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus 2015 m. spalio 30 d. įsakymu Nr. T1-275 „Dėl Informacijos apie veiklą, susijusią su narkotinių ir psichotropinių medžiagų pirmtakais (prekursoriais) ir į oficialų sąrašą neįtrauktomis medžiagomis bei į Narkotinių ir psichotropinių medžiagų IV sąrašą įtrauktomis medžiagomis, teikimo tvarkos aprašo patvirtinimo“. Taip pat reglamentuojama Narkotinių ir psichotropinių medžiagų pirmtakų (prekursorių) kontrolės įstatyme numatytais būdais.

34. PTAKIS sudaryti dokumentų rinkiniai (stebėsenos statistinės ataskaitos), t. y. atviri duomenys, teikiami pakartotinai panaudoti bei publikuojami, vadovaujantis Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo 19–21 straipsnių nuostatomis.

35. PTAKIS duomenys duomenų gavėjams teikiami tokio turinio ir formos, kurie PTAKIS jau naudojami ir nereikalauja papildomo duomenų apdorojimo. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka PTAKIS duomenys gali būti pateikiami duomenų gavėjo prašomos formos ir turinio.

36. Duomenų gavėjams PTAKIS duomenys gali būti teikiami:

36.1. internetu ar kitais elektroninių ryšių tinklais, suteikiant tiesioginę prieigą prie PTAKIS;

36.2. popierine forma.

37. PTAKIS duomenys turi būti tikslūs ir nuolat atnaujinami. Neteisingi, netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.

38. Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas turi teisę reikalauti ištaisyti netikslius duomenis. PTAKIS tvarkytojas turi būti raštu ar elektroniniu paštu informuojamas apie pastebėtus netikslius duomenis ir turi tokia pačia forma, kokia buvo gautas pranešimas, per 5 darbo dienas informuoti apie jų ištaisymą.

VI SKYRIUS

PTAKIS DUOMENŲ SAUGA

39. PTAKIS duomenų saugą reglamentuoja valdytojo patvirtinti Narkotinių ir psichotropinių medžiagų ir pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai (PTAKIS saugaus elektroninės informacijos tvarkymo taisyklės, PTAKIS veiklos tęstinumo valdymo planas, PTAKIS naudotojų administravimo taisyklės

40. Už PTAKIS duomenų saugą atsako PTAKIS valdytojas ir tvarkytojas teisės aktų nustatyta tvarka.

41. Už duomenų tvarkymo metu įvedamų duomenų saugą atsako PTAKIS duomenų teikėjai.

42. PTAKIS duomenų sauga užtikrinama vadovaujantis:

42.1. Reglamentu (ES) 2016/679;

42.2. Kibernetinio saugumo įstatymu;

42.3.Organizaciniais ir techniniais kibernetinio saugumo reikalavimais, taikomais kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

42.4. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

43. Asmenys, tvarkantys asmens duomenis PTAKIS, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga išlieka pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

44. PTAKIS duomenys prieinami tik asmenims, kuriems suteikta prieigos teisė.

45. Duomenys PTAKIS duomenų bazėje yra saugomi 5 metus, nuo duomenų pateikimo dienos, po to jie perkeliami į PTAKIS duomenų bazės archyvą, kuriame yra saugomi 10 metų. Pasibaigus saugojimo terminui, duomenys sunaikinami arba perduodami valstybės archyvams Lietuvos vyriausiojo archyvaro nustatyta tvarka.

46. Juridiniai ir fiziniai asmenys turi teisę susipažinti su savo asmens duomenimis vadovaujantis asmens duomenų teisinės apsaugos įstatymu. juridiniai ir fiziniai asmenys, turi teisę susipažinti su duomenimis, kuriuos jie pateikė į PTAKIS.

VII SKYRIUS

PTAKIS FINANSAVIMAS

47. PTAKIS kūrimas, tvarkymas ir priežiūra, administravimas, modernizavimas finansuojama iš Lietuvos Respublikos valstybės biudžeto ir iš nuosavų PTAKIS valdytojo lėšų.

VIII SKYRIUS

PTAKIS MODERNIZAVIMAS IR LIKVIDAVIMAS

48. PTAKIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.

49. Likviduojant PTAKIS, jos duomenys perduodami kitai informacinei sistemai, valstybės archyvams arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

50. Už PTAKIS teikiamų duomenų teisingumą ir tikslumą įstatymų nustatyta tvarka atsako duomenis teikiantis fizinis asmuo ar juridinio asmens valdymo organas, ar jo įgaliotas asmuo, jei įstatymuose ir steigimo dokumentuose nenustatyta kitaip.

51. PTAKIS valdytojas ir tvarkytojas, PTAKIS duomenų teikėjai ir gavėjai, pažeidę Nuostatų ar kitų saugos politiką įgyvendinančių dokumentų reikalavimus, atsako teisės aktų nustatyta tvarka.

52. Fiziniai asmenys, kurių duomenys tvarkomi PTAKIS, turi Reglamente (ES) 2016/679 ir šiuose Nuostatuose įtvirtintas duomenų subjekto teises. Duomenų subjekto teisių įgyvendinimo tvarka nustatyta Asmens duomenų tvarkymo veiklos įrašų tvarkymo Narkotikų, tabako ir alkoholio kontrolės departamente tvarkos apraše.

––––––––––––––––

PATVIRTINTA

Narkotikų, tabako ir alkoholio kontrolės

departamento direktoriaus

2014 m. spalio 8 d. įsakymu Nr. T1-328

(Narkotikų, tabako ir alkoholio kontrolės

departamento direktoriaus 2021 m. spalio 15 d.

įsakymo Nr. T1-94 redakcija)

NARKOTINIŲ IR PSICHOTROPINIŲ MEDŽIAGŲ IR JŲ PIRMTAKŲ (PREKURSORIŲ) TEISĖTOS APYVARTOS KONTROLĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir reikalavimus, kuriais vadovaujantis užtikrinamas saugus elektroninės informacijos tvarkymas (toliau – saugos politika) Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinėje sistemoje (toliau – PTAKIS).

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarime Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

3. PTAKIS elektroninės informacijos saugos politikos tikslai:

3.1. elektroninės informacijos konfidencialumo užtikrinimas,

3.2. elektroninės informacijos vientisumo užtikrinimas,

3.3. elektroninės informacijos prieinamumo užtikrinimas.

4. PTAKIS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. valdyti elektroninės informacijos saugos incidentus ir užtikrinti PTAKIS veiklos tęstinumą;

4.2. analizuoti PTAKIS pažeidžiamumą ir stiprinti jos saugą;

4.3. saugiai valdyti PTAKIS pokyčius;

4.4. didinti PTAKIS naudotojų saugumo supratimą, apmokyti informacijos saugos klausimais.

5. PTAKIS valdytojas ir tvarkytojas – Narkotikų, tabako ir alkoholio kontrolės departamentas, kurio buveinės adresas – Šv. Stepono g. 27A, Vilnius.

6. PTAKIS valdytojas ir tvarkytojas atlieka funkcijas, apibrėžtas PTAKIS nuostatuose, Valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose, Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose.

7. PTAKIS valdytojas skiria PTAKIS saugos įgaliotinį ir PTAKIS administratorių.

8. PTAKIS saugos įgaliotinis negali atlikti PTAKIS administratoriaus funkcijų.

9.PTAKIS saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą PTAKIS, atlieka šias funkcijas:

9.1. koordinuoja elektroninės informacijos saugos priemonių ir metodų taikymą PTAKIS;

9.2. analizuoja ir koordinuoja PTAKIS įvykusių elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

9.3. tvarko saugos dokumentaciją;

9.4. teikia PTAKIS valdytojo vadovui pasiūlymus dėl:

9.4.1. PTAKIS administratoriaus paskyrimo ir reikalavimų jam nustatymo;

9.4.2. informacinių technologijų saugos atitikties vertinimo atlikimo teisės aktų nustatyta tvarka;

9.4.3. PTAKIS saugos dokumentų priėmimo, keitimo arba panaikinimo;

9.5. teikia PTAKIS administratoriui ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

9.6. organizuoja rizikos įvertinimą;

9.7. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas ir informacinių sistemų saugos įgaliotiniui priskirtas funkcijas.

10. PTAKIS saugos įgaliotinis, atlikdamas funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems PTAKIS valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

11. PTAKIS saugos įgaliotinis periodiškai organizuoja PTAKIS naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas.

12. PTAKIS administratorius vykdo šias funkcijas:

12.1. nuolat teikia PTAKIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

12.2. vykdo PTAKIS administratoriui teisės aktais priskirtas funkcijas;

12.3. atlieka PTAKIS naudotojų teisių ir prieigos prie duomenų valdymą;

12.4. užtikrina PTAKIS komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, elektroninės informacijos perdavimas tinklais, bylų serveriai ir kt.) sąranką;

12.5. vykdo PTAKIS pažeidžiamų vietų nustatymą, saugumo reikalavimų atitikties nustatymą ir stebėseną, reagavimą į elektroninės informacijos saugos incidentus.

13. PTAKIS administratorius privalo vykdyti visus PTAKIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su PTAKIS saugos užtikrinimu.

14. Teisės aktai, kuriais vadovaujamasi tvarkant Informacinės sistemos elektroninę informaciją ir užtikrinant jos saugumą:

14.1. Valstybės informacinių išteklių valdymo įstatymu;

14.2. Kibernetinio saugumo įstatymas;

14.3. Asmens duomenų teisinės apsaugos įstatymu;

14.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

14.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

14.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

14.7. Naujausiais standartais LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, bei kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais informacijos saugumą;

14.8. kitais teisės aktais, tarp jų PTAKIS nuostatais ir juose išvardintais dokumentais, taip pat Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. Vadovaujantis Valstybės informacinių išteklių valdymo įstatymo 3 straipsnio, 3 punktu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos nustatymo gairių aprašas), 9 punkto 9.2, 9.5 ir 9.6 papunkčiais PTAKIS tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai.

16. Vadovaujantis Elektroninės informacijos svarbos nustatymo gairių aprašo 12.3 papunkčiu, Informacinė sistema priskiriama prie trečiosios kategorijos informacinių sistemų – Informacinėje sistemoje tvarkoma vidutinės svarbos informacija.

17. PTAKIS saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja PTAKIS rizikos įvertinimą. Pasikeitus PTAKIS duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis PTAKIS rizikos įvertinimas.

18. PTAKIS rizikos įvertinimo rezultatai išdėstomi PTAKIS rizikos įvertinimo ataskaitoje, kuri pateikiama PTAKIS valdytojo vadovui. PTAKIS rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“.

19. Atsižvelgdamas į PTAKIS rizikos įvertinimo ataskaitą, PTAKIS valdytojas prireikus tvirtina PTAKIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. PTAKIS rizikos įvertinimo ataskaitos, PTAKIS rizikos įvertinimo ir rizikos valdymo priemonių plano, PTAKIS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas PTAKIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų LR krašto apsaugos ministro 2018 m. gruodžio 10 d. įsakymu Nr. V-1183, nustatyta tvarka.

21. Elektroninės informacijos saugos priemonės nustatomos PTAKIS saugaus elektroninės informacijos tvarkymo taisyklėse ir parenkamos bei atnaujinamos, įvertinus rizikos veiksnius, galinčius turėti įtaką elektroninės informacijos saugai. Saugos priemonių parinkimo principas – užtikrinti PTAKIS veiksmingumą ir elektroninės informacijos saugą pagal Saugos nuostatų 3 punkte apibrėžtus tikslus ir Saugos nuostatų III skyriuje nustatytus organizacinius ir techninius reikalavimus, siekiant patirti kuo mažiau išlaidų.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. Naudojama naujausia ugniasienės (firewall) ir antivirusinė programinė įranga, skirta apsaugoti PTAKIS nuo kenksmingos programinės įrangos.

23. Programinės įrangos, skirtos PTAKIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

23.1. PTAKIS tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

23.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

23.3. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 16 valandų.

24. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

24.1 turi būti naudojama tik legali, PTAKIS funkcijoms vykdyti būtina programinė įranga;

24.2. viešaisiais telekomunikaciniais tinklais perduodamos PTAKIS elektroninės informacijos konfidencialumas turi būti užtikrinamas, naudojant Saugų valstybinį duomenų perdavimo tinklą ir kitas būtinas priemones.

24.3. programinė įranga turi būti nuolatos atnaujinama, laikantis gamintojo reikalavimų;

24.4. turi būti įdiegta prieigos prie Informacinės sistemos elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;

24.5. turi būti įgyvendinta prievolė ne rečiau kaip kas tris mėnesius keisti slaptažodžius;

24.6. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Informacinės sistemos elektroninės informacijos, atliktus veiksmus.

25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

25.1. PTAKIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) bei kitų per tinklą vykdomų atakos rūšių;

25.2. informacinės sistemos tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

26. Leistinos kompiuterių naudojimo ribos:

26.1. PTAKIS naudotojams tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis ir PTAKIS naudotojo tapatybės patvirtinimas;

26.2. nešiojamuose kompiuteriuose, jeigu jie naudojami ne vidiniame duomenų perdavimo tinkle, esantys asmens duomenys turi būti šifruojami tokiomis priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. kiekvienas PTAKIS naudotojas turi būti unikaliai identifikuojamas;

27.2. turi būti registruojami ir nustatytą laiką saugomi duomenys apie PTAKIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, kitus saugai svarbius įvykius, nurodant PTAKIS naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama ir kontroliuojama.

28. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

28.1. atsarginės elektroninės informacijos kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę);

28.2. PTAKIS duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai (ne rečiau kaip du kartus per metus) išbandomas. Bandymų eiga ir rezultatai pateikiami PTAKIS saugos įgaliotiniui;

28.3. elektroninės informacijos ir programinės įrangos atsarginės kopijos turi būti saugomos atskiroje patalpoje, užrakintoje nedegioje spintoje ir turi būti imtasi tinkamų priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui.

29. PTAKIS saugos priemonės, pokyčių valdymo tvarka, programinės ir techninės įrangos keitimo ir atnaujinimo tvarka, nešiojamų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka aprašoma PTAKIS saugaus elektroninės informacijos tvarkymo taisyklėse.

30. Prieigos prie elektroninės informacijos principai, PTAKIS naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai išdėstomi PTAKIS naudotojų administravimo taisyklėse.

31. PTAKIS yra pritaikomi ir kiti organizaciniai ir techniniai reikalavimai, atitinkantys:

31.1. Bendruosius elektroninės informacijos saugos reikalavimus;

31.2. Techninius elektroninės informacijos saugos reikalavimus;

31.3.Bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms.

IV. REIKALAVIMAI PERSONALUI

32. PTAKIS naudotojų, administratoriaus (administratorių) ir saugos įgaliotinio kvalifikaciniai reikalavimai:

32.1. PTAKIS saugos įgaliotiniu ir PTAKIS administratoriumi gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris išmano elektroninės informacijos saugos užtikrinimo principus, išmano darbą su kompiuteriais ir jų tinklais, duomenų bazių administravimą ir geba užtikrinti elektroninės informacijos saugumą.

32.2. PTAKIS saugos įgaliotinis ir PTAKIS administratorius privalo savo darbe vadovautis Saugos nuostatais ir kitais PTAKIS saugos politiką įgyvendinančiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

32.3. PTAKIS saugos įgaliotinis ir PTAKIS administratorius privalo nuolat tobulinti savo kvalifikaciją elektroninės informacijos saugos srityje. Elektroninės informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet.

32.4. PTAKIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

33. PTAKIS naudotojų mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

33.1. PTAKIS naudotojai privalo turėti darbo kompiuteriu įgūdžių. Prieš pradedant dirbti PTAKIS aplinkoje, jie turi būti išmokyti dirbti su PTAKIS programine ir technine įranga bei supažindinami su elektroninės informacijos saugos ir kibernetinio saugumo aspektais. Apmokymus organizuoja PTAKIS administratorius.

34. PTAKIS naudotojų supažindinimo su saugos dokumentais principai, supažindinimo ir pakartotinio supažindinimo su saugos dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už saugos dokumentų nuostatų pažeidimus, pagrindiniai reikalavimai, būdai nurodyti Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos naudotojų administravimo taisyklėse ir V skyriuje.

V. PTAKIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

35. Tvarkyti PTAKIS duomenis gali tik PTAKIS naudotojai, susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

36. PTAKIS naudotojų supažindinimą su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja PTAKIS saugos įgaliotinis. Įsakymuose, kuriais tvirtinami PTAKIS dokumentai ir jų pakeitimai, nustatomas susipažinimo būdas „pasirašytinai“. Supažindinimas su pakeitimais organizuojamas PTAKIS saugos įgaliotinio ne vėliau kaip per 5 darbo dienas nuo pakeitimų įsigaliojimo. Pakartotinai su saugos dokumentais PTAKIS naudotojai supažindinami prireikus, bet ne rečiau kaip kartą per 2 metus.

_____________