4.1. Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – Direkcija) valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti (toliau – Direkcijos darbuotojai);

4.2. Direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau – EVIS paslaugos teikėjo (-ų) darbuotojai);

4.3. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos gavėjams (Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – EVIS nuostatai), 8.6 papunktis) (toliau – EVIS išoriniai naudotojai);

4.4. EVIS administratoriui (toliau – administratorius);

4.5. EVIS paslaugos teikėjo (-ų) vadovo (-ų) paskirtam administratoriui (toliau – EVIS paslaugos teikėjo administratorius);

4.6. EVIS duomenų valdymo įgaliotiniui;

4.7. EVIS saugos įgaliotiniui (toliau – saugos įgaliotinis);

4.8. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas).

6.1. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, duomenys (EVIS nuostatų 19 punktas);

6.2. EVIS išorinių naudotojų duomenys (EVIS nuostatų 20 punktas);

6.3. pasienio kontrolės punkto duomenys (EVIS nuostatų 21 punktas);

6.4. laukimo aikštelių duomenys (EVIS nuostatų 22 punktas);

6.5. rezervacijos ir virtualios Lietuvos Respublikos valstybės sienos kirtimo eilės duomenys (EVIS nuostatų 23 punktas);

6.6. EVIS elektroninės paslaugos duomenys (EVIS nuostatų 24 punktas);

6.7. duomenų apdorojimo procesų rezultatai (EVIS nuostatų 25 punktas);

6.8. mokėjimo už EVIS elektroninę paslaugą duomenys (EVIS nuostatų 26 punktas).

8.1. Direkcijos darbuotojai (Taisyklių 6.2–6.6 papunkčiuose nurodyti duomenys);

8.2. EVIS paslaugos teikėjo (-ų) darbuotojai (Taisyklių 6.2–6.4 papunkčiuose nurodyti duomenys);

8.3. EVIS išoriniai naudotojai (Taisyklių 6.1 ir 6.2 papunkčiuose nurodyti duomenys).

9.1. Direkcijos darbuotojams ir EVIS paslaugos teikėjo (-ų) darbuotojams (toliau – EVIS vidiniai naudotojai) draudžiama patiems diegti, keisti kompiuterinę įrangą; kompiuterinės įrangos pakeitimus vykdo EVIS paslaugos teikėjas (-ai), gavęs (-ę) raštišką administratoriaus nurodymą.

9.2. EVIS techninė įranga prižiūrima laikantis gamintojo rekomendacijų. Techninę priežiūrą ir gedimų šalinimą turi atlikti EVIS paslaugos teikėjo (-ų) kvalifikuoti specialistai.

9.3. EVIS tarnybinėse stotyse ir EVIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai turi informuoti administratorių ir EVIS paslaugos teikėjo administratorių apie tai, kuriems EVIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas. EVIS komponentai be kenksmingosios programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina.

9.4. Naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių EVIS vidinių naudotojų bei EVIS išorinių naudotojų (toliau kartu – EVIS naudotojai) kompiuterinę įrangą nuo kenksmingo kodo.

9.5. Pagrindinės tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami ir jų techninė būklė nuolat stebima.

9.6. Turi būti įdiegtos ir veikti įsibrovimo aptikimo sistemos, kurios stebėtų EVIS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų.

9.7. Pagrindinėse EVIS tarnybinėse stotyse turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį duomenų srautą, išskyrus duomenų srautą, susijusį su EVIS funkcionalumu ir administravimu.

9.8. Įsilaužimo aptikimo konfigūracijos ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo EVIS techninės įrangos (kartu nurodomos tam tikros datos (įgyvendinimo, atnaujinimo ir pan.), atsakingi asmenys, taikymo periodai ir pan.).

9.9. EVIS perspėja EVIS paslaugos teikėjo administratorių, kai pagrindinėje EVIS kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką būna apkrautas centrinis procesorius ar kompiuterių tinklo sąsaja.

9.10.  Svarbiausios kompiuterinės įrangos gedimai registruojami žurnale. Už gedimų registravimą atsakingas kompiuterinę įrangą prižiūrintis EVIS paslaugos teikėjo administratorius.

10.1.  EVIS tarnybinėse stotyse naudojama tik legali sisteminė ir taikomoji programinė įranga.

10.2.  EVIS vidinių naudotojų kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga. Saugos įgaliotinis parengia ir ne rečiau kaip kartą per metus peržiūri ir prireikus atnaujina leistinos programinės įrangos sąrašą.

10.3.  EVIS programinė įranga prižiūrima laikantis gamintojo rekomendacijų.

10.4. EVIS tarnybinėse stotyse negali būti sisteminės ir taikomosios programinės įrangos, kuri yra nesusijusi su EVIS tvarkymu, EVIS naudotojų ir pačios įrangos administravimu.

10.5. Operatyviai testuojami ir įdiegiami EVIS tarnybinių stočių ir EVIS vidinių naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. EVIS paslaugos teikėjo administratorius reguliariai, ne rečiau kaip kartą per savaitę, įvertina informaciją apie EVIS posistemių, neįdiegtus gamintojų rekomenduojamus EVIS vidinių naudotojų darbo vietų kompiuterinės įrangos atnaujinimus ir susijusius saugos pažeidžiamumų svarbos lygius.

10.6. EVIS vidinių naudotojų darbo vietose naudojamos tik darbo (tarnybos) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB, CD / DVD ir kt.). Šios laikmenos nenaudojamos veiklai, nesusijusiai su teisėtu EVIS tvarkymu.

10.7. EVIS programinis kodas privalo būti apsaugotas nuo paskelbimo neturintiems teisės su juo susipažinti asmenims. EVIS programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir EVIS elektroninei informacijai.

10.8. Programinę įrangą diegia, konfigūruoja ir šalina EVIS paslaugos teikėjo administratorius.

10.9. EVIS priežiūros funkcijos atliekamos naudojant atskirą tam skirtą EVIS paslaugos teikėjo administratoriaus paskyrą, kuria naudojantis negalima atlikti EVIS naudotojo funkcijų.

10.10. EVIS programinė įranga turi apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org.

10.11. Programinės įrangos testavimas atliekamas naudojant atskirą testavimo aplinką.

10.12. Per metus turi būti užtikrintas EVIS prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

10.13. Atsarginės laikmenos su programine įranga laikomos nedegioje spintoje.

11.1. Kompiuterinis tinklas, prie kurio prijungtos EVIS tarnybinės stotys ir EVIS naudotojų kompiuteriai, nuo viešojo interneto atskirtas tinklo užkarda, už kurios administravimą ir priežiūrą atsakingas EVIS paslaugos teikėjo administratorius.

11.2.  EVIS duomenys perduodami automatiniu būdu (naudojant TCP/IP protokolą) realiuoju laiku arba asinchroniniu režimu pagal EVIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.

11.3.  Kompiuterinis tinklas suskirstytas į skirtingo saugumo lygio dalis pagal EVIS savarankiškų dalių atliekamas funkcijas. EVIS duomenų bazės ir EVIS taikomoji programinė įranga negali būti toje pačioje tinklo dalyje. Viešai prieinamos EVIS funkciškai savarankiškos dalys yra atskiroje tinklo dalyje – demilitarizuotoje zonoje.

11.4.  Elektroninės informacijos perdavimo tinklo kabeliai apsaugoti nuo nesankcionuotos prieigos ir pažeidimo.

11.5. Ugniasienės įvykių žurnalai (angl. Logs) reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai persvarstomos ir atnaujinamos EVIS paslaugos teikėjo administratoriaus.

11.6. Viešaisiais ryšių tinklais perduodamos EVIS elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. Virtual Private Network).

11.7. Tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys viešajame ryšių tinkle naršančių EVIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

12.1.  EVIS tarnybinių stočių patalpose įrengti gaisro (dūmų ir karščio) ir įsilaužimo jutikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto. EVIS tarnybinių stočių patalpoje įrengta automatinė gaisro gesinimo sistema.

12.2.  EVIS tarnybinių stočių patalpose įrengta stebėjimo sistema su įrašymo funkcija.

12.3.  EVIS tarnybinių stočių patalpos apsaugotos nuo neteisėto asmenų patekimo į jas.

12.4.  Fizinė prieiga prie EVIS tarnybinių stočių patalpos suteikiama tik EVIS valdytojo ar Direkcijos vadovo paskirtiems atsakingiems darbuotojams. Kiti darbuotojai arba tretieji asmenys gali patekti į šią patalpą tik lydimi atsakingų darbuotojų.

12.5.  EVIS tarnybinių stočių patalpoje yra oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus.

12.6.  Patalpose įrengta įeigos kontrolės elektroninė sistema.

12.7.    EVIS vidinių naudotojų darbo vietų aplinka užtikrinama pagal Lietuvos higienos normą HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. vasario 12 d. įsakymu Nr. V-65 „Dėl Lietuvos higienos normos HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“ patvirtinimo“.

12.8.    Visose bendrose patalpose ir konkrečiuose jų sektoriuose yra ugnies gesintuvai ar gesinimo sistema, įrengti gaisro ir įsilaužimo jutikliai, prijungti prie pastato apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto, reguliariai atliekama gaisro aptikimo ir gesinimo priemonių patikra.

13.1.    EVIS įrašomi duomenys apie EVIS tarnybinių stočių, EVIS taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis EVIS tarnybinėse stotyse, EVIS taikomojoje programinėje įrangoje, visus EVIS naudotojų vykdomus veiksmus (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai), kitus elektroninės informacijos saugai svarbius įvykius, nurodant EVIS naudotojo ar administratoriaus ar EVIS paslaugos teikėjo administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo datą ir laiką, įvykio ar veiksmo rezultatą, EVIS naudotojo, administratoriaus, EVIS paslaugos teikėjo administratoriaus ir (arba) EVIS įrenginio, susijusio su įvykiu, duomenis. Šie duomenys saugomi ne trumpiau kaip 1 metus ne toje pačioje EVIS, kurioje jie įrašomi, ir analizuojami ne rečiau kaip kartą per savaitę EVIS paslaugos teikėjo administratoriaus. Turi būti įrašomas audito funkcijos įjungimas ir išjungimas, audito įrašų trynimas, kūrimas ar keitimas. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas.

13.2.    EVIS vidiniam naudotojui neatliekant jokių veiksmų EVIS 15 minučių, EVIS taikomoji programinė įranga užsirakina ir toliau naudotis EVIS galima tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

13.3.    Baigus darbą ar pasitraukiant iš darbo vietos, susijusios su EVIS, imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo EVIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos darbo vietoje padedami į pašaliniams asmenims neprieinamą vietą.

13.4.    EVIS turi įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.

13.5. Pagrindinės EVIS kompiuterinės įrangos techninė būklė turi būti nuolat stebima. Pagrindinės kompiuterinės įrangos gedimai turi būti registruojami. Už gedimų registravimą atsakingas EVIS paslaugos teikėjo administratorius.

14.1.  EVIS elektroninė informacija keičiama, atnaujinama, įvedama ar naikinama tik EVIS nuostatų, Taisyklių ir kitų EVIS veiklą reglamentuojančių teisės aktų nustatyta tvarka ir turint teisėtą pagrindą.

14.2.  EVIS elektroninės informacijos naikinimo priemonės užtikrina, kad sunaikintos elektroninės informacijos nebūtų galima atkurti.

14.3. Taisyklių 6 punkte nurodytą tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti, naikinti gali tik EVIS naudotojai, administratorius ir EVIS paslaugos teikėjo administratorius pagal nustatytas prieigos teises.

14.4. EVIS posistemės naudoja įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.

16.1.  siekiant nustatyti neteisėtus veiksmus su EVIS saugoma ir tvarkoma elektronine informacija ir šios informacijos vientisumo pažeidimus EVIS naudotojų, administratoriaus bei EVIS paslaugos teikėjo administratoriaus veiksmai, jų darbo su EVIS laikas automatiškai registruojami elektroniniuose žurnaluose, apsaugotuose nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

16.2.  veiksmų žurnalų duomenys prieinami tik saugos įgaliotiniui, administratoriui ir EVIS paslaugos teikėjo administratoriui;

16.3.  EVIS vidiniai naudotojai, administratorius bei EVIS paslaugos teikėjo administratorius informuojami, kad jų veiksmai yra stebimi automatinėmis programinėmis priemonėmis.

17.1.  Ne rečiau kaip vieną kartą per aštuonias valandas atliekamas EVIS rezervinis duomenų kopijavimas.

17.2.  Ne rečiau kaip vieną kartą per mėnesį EVIS paslaugos teikėjo administratorius pateikia Direkcijai programinės įrangos ir duomenų kopijas skaitmeninėje laikmenoje, kurios leidžia atkurti EVIS įvykus gedimui.

17.3. Elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkuriant elektroninę informaciją.

17.4.  Kopijos yra daromos ir saugomos taip, kad jos nebūtų prieinamos tretiesiems asmenims, kurie neturi teisės su jomis dirbti.

17.5.  Kopijos laikomos atskiroje (nuo pagrindinių duomenų) patalpoje ir saugomos užrakintoje nedegioje spintoje. Už kopijų darymą ir atkūrimą atsakingas EVIS paslaugos teikėjo administratorius.

17.6. Duomenys apie kopijų darymą turi būti fiksuojami kopijų darymo įvykių žurnale.

17.7. Atkūrimo iš kopijų funkcija išbandoma ne rečiau kaip kartą per metus. Duomenų atkūrimo bandymą organizuoja saugos įgaliotinis.

19.1.  Siekiant nustatyti, ar su EVIS ar jos elektronine informacija nėra vykdoma neteisėta veikla, visus įvykių žurnaluose saugomus įrašus analizuoja saugos įgaliotinis ne rečiau kaip kartą per savaitę.

19.2.  EVIS vidiniai naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančių arba netinkamai veikiančių saugos užtikrinimo priemonių, nedelsdami praneša apie tai administratoriui, o jo nesant – saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame papunktyje nurodytus pažeidimus, administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Į pranešimus apie neteisėtas veiklas turi būti reaguojama nedelsiant ir imamasi visų įmanomų veiksmų, reikalingų neteisėtai veiklai užkirsti.

19.3.  Įtaręs, kad su EVIS ar jos elektronine informacija yra vykdoma neteisėta veikla, saugos įgaliotinis inicijuoja elektroninės informacijos saugos incidentų valdymo procedūrų vykdymą.

21.1. Turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi EVIS saugumo ir kontrolės reikalavimai, nustatyti Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos naudotojų administravimo taisyklėse.

21.2.  Draudžiama slaptažodžius saugoti programiniame kode.

21.3.  Svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

21.4.  Turi būti įgyvendinti svetainės kriptografijos reikalavimai.

21.5.  Svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu.

21.6.  Šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2 048 bitų.

21.7.  Turi būti naudojamas TLS (angl. Transport Layer Security) standartas.

21.8.  Svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware Security Module).

21.9.  Kriptografiniai raktai ir algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinius standartus, Aprašo ir Techninių reikalavimų aprašo reikalavimus.

21.10.  Draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai.

21.11.  Turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl.  Validation).

21.12.  Tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį.

21.13.  Turi būti vykdomas EVIS naudotojų, administratoriaus bei EVIS paslaugos teikėjo administratoriaus atliekamų veiksmų auditas ir vykdomi kontrolės reikalavimai. 

21.14.  Tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. HyperText Transfer Protocol) protokolo metodus.

21.15.  Turi būti uždrausta naršyti svetainės kataloguose (angl. Directory Browsing).

22.1. Leidžiama naudoti tik tokius mobiliuosius įrenginius, kurie atitinka elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus, nustatytus Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir EVIS saugos politikos įgyvendinimo dokumentuose.

22.2. Mobiliuosiuose įrenginiuose nenaudojamos belaidžio ryšio funkcijos yra išjungtos.

22.3.  Mobilieji įrenginiai apsaugoti slaptažodžiu. Jeigu mobiliajame įrenginyje naudojama judriojo ryšio kortelė, ji apsaugota PIN kodu, kuris nėra sudaromas iš asmeninės informacijos (pvz., gimimo datos ir pan.) ar lengvai atspėjamo skaičių derinio.

22.4.  Esant galimybei mobiliajame įrenginyje įdiegiama kenksmingos programinės įrangos aptikimo programinė įranga ir programinė įranga, leidžianti mobiliojo įrenginio vagystės ar praradimo atveju nuotoliniu būdu užrakinti mobilųjį įrenginį ir (ar) iš jo pašalinti elektroninę informaciją.

22.5.  Mobiliaisiais įrenginiais jungiantis prie tarnybinio elektroninio pašto ar kitų resursų iš viešųjų interneto prieigos taškų naudojamas šifravimu pagrįstas protokolas.

22.6.  Mobiliuosiuose įrenginiuose laikoma EVIS elektroninė informacija ir kita nevieša informacija užšifruojama.

22.7.  Mobilieji įrenginiai viešose vietose nepaliekami be priežiūros.

22.8. Duomenys, perduodami tarp mobiliojo įrenginio ir EVIS, turi būti šifruojami taikant virtualaus privataus tinklo (angl. VPN) technologiją.

7.1. standartiniai pokyčiai – pokyčiai, kurie nekelia rizikos kokybiškam informacinių technologijų paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas darbui EVIS tvarkytojo valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti, ir EVIS tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinkto paslaugų teikėjo (toliau – EVIS paslaugos teikėjas) darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau kartu – EVIS vidiniai naudotojai), ar standartinės programinės įrangos įdiegimas, atnaujinimas ar pašalinimas, jos komponentų pakeitimas, saugumo spragų pataisymų įdiegimas EVIS vidinio naudotojo kompiuterinėje darbo vietoje ir pan.); standartiniai pokyčiai atliekami Tvarkos apraše ir kituose EVIS valdytojo, EVIS tvarkytojo priimtuose teisės aktuose nustatyta tvarka;

7.2.    skubūs pokyčiai – pokyčiai, kurie skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant elektroninės informacijos saugos incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius); avarinių pokyčių atveju gali būti nesilaikoma pokyčių įtakos vertinimo ir dokumentavimo žingsnių;

7.3.    plėtros pokyčiai – pokyčiai, kurių metu yra kuriamos arba modernizuojamos informacinių technologijų paslaugos ir su tuo susiję jų atlikimo veiksmai nėra visiškai aiškūs, o pokyčių atlikimas yra susijęs su tam tikra rizika informacinių technologijų paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui.

23.1.  EVIS darbo sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;

23.2.  EVIS taikomųjų programų ar informacinių technologijų infrastruktūros pataisymai, atlikti dėl netinkamos pokyčių specifikacijos;

23.3.  pokyčių, kurie vyksta pagal Tvarkos aprašą, procentas.

8.1. Saugos įgaliotinis: 

8.2. Kibernetinio saugumo vadovas:

8.3. Administratorius:

8.4. EVIS paslaugos teikėjo administratorius:

10.1. EVIS techninė ir programinė įranga bei kompiuterizuotos darbo vietos (toliau – KDV) funkcionuoja pagal specifikacijoje nustatytus reikalavimus;

10.2. nuolat priimama ir išsaugoma suinteresuotų juridinių ir fizinių asmenų ir (arba) jų valdomų informacinių sistemų siunčiama elektroninė informacija;

10.3. išsaugoma atnaujinta EVIS elektroninė informacija;

10.4. nuolat teikiama atnaujinta elektroninė informacija suinteresuotiems juridiniams bei fiziniams asmenims ir (arba) jų valdomoms informacinėms sistemoms;

10.5. užtikrinamas EVIS elektroninės informacijos vientisumas, konfidencialumas ir prieinamumas;

10.6. atliekamas EVIS elektroninės informacijos rezervinis kopijavimas.

12.1. PKPD direktoriaus pavaduotojas, kuruojantis EVIS veiklą (Valdymo grupės vadovas);

12.2. PKPD Pasienio kontrolės punktų administravimo skyriaus vedėjas (Valdymo grupės vadovo pavaduotojas, atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);

12.3. saugos įgaliotinis (atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);

12.4. administratorius (atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);

12.5. kibernetinio saugumo vadovas;

12.6. kiti PKPD direktoriaus įsakymu paskirti specialistai arba veikiantys pagal sutartį juridinių asmenų atstovai.

13.1. situacijos analizė ir sprendimų EVIS veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų EVIS veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;

13.6. elektroninės informacijos fizinė sauga įvykus saugos incidentui;

13.7. logistika (žmonių, daiktų, įrangos vežimas ir jo organizavimas);

13.8. EVIS veiklos atkūrimo priežiūra ir koordinavimas;

13.9. tarnybinių stočių veikimo atkūrimo organizavimas;

13.10. kompiuterių tinklo veikimo atkūrimo organizavimas;

13.11. informacinės sistemos elektroninės informacijos atkūrimo organizavimas;

13.12. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

13.13. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

13.14. kitos Valdymo grupei pavestos funkcijos.

14.1. Valdymo grupės nariai, priklausomai nuo grėsmės, sukėlusios saugos incidentą, nedelsdami informuoja saugos įgaliotinį.

14.2. Saugos įgaliotinis apie saugos incidentą nedelsdamas informuoja Valdymo grupės vadovą ir registruoja saugos incidentą Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos elektroninės informacijos saugos incidentų registravimo žurnale (Valdymo plano 2 priedas) (toliau – Žurnalas).

14.3. Valdymo grupės vadovas organizuoja saugos incidento įvertinimą ir priima sprendimą dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos veiklos atkūrimo detaliojo plano (toliau – Detalusis planas) vykdymo.

14.4. Tuo atveju, kai nevykdomas Detalusis planas, Valdymo grupės nariai įvertina ir pašalina saugos incidento sukeltus padarinius. Pašalinus saugos incidento sukeltus padarinius, saugos įgaliotinis apie tai pažymi Žurnale.

14.5. Tuo atveju, kai vykdomas Detalusis planas, jo vykdymui vadovauja Valdymo grupės vadovas.

14.6. Atkūrus EVIS veiklą, Valdymo grupės nariai įvertina, ar pašalinti saugos incidento sukelti padariniai. Jeigu padariniai pašalinti, saugos įgaliotinis apie tai pažymi Žurnale.

17.1. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

17.2. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

17.3. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo.

19.1. dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (-iai), minimalus EVIS veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

19.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai EVIS veiklai užtikrinti įvykus saugos incidentui, specifikacija;

19.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra EVIS įranga, aukšto patalpų brėžiniai ir juose pažymėtos:

19.4. dokumentas, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

19.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

19.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

19.7. dokumentas, kuriame nurodytas Valdymo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu.

4.1. Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – Direkcija) valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti (toliau – Direkcijos darbuotojai);

4.2. Direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau – EVIS paslaugos teikėjo (-ų) darbuotojai);

4.3. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos (toliau – EVIS elektroninė paslauga) gavėjams (Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, 8.6 papunktis) (toliau – EVIS išoriniai naudotojai);

4.4. EVIS administratoriui (toliau – administratorius);

4.5. EVIS duomenų valdymo įgaliotiniui;

4.6. EVIS saugos įgaliotiniui (toliau – saugos įgaliotinis);

4.7. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas);

4.8. EVS paslaugos teikėjo (-ų) vadovo (-ų) paskirtam administratoriui (toliau – EVIS paslaugos teikėjo administratorius).

5.1. Direkcijos darbuotojų, EVIS paslaugos teikėjo (-ų) darbuotojų (toliau kartu – EVIS vidiniai naudotojai) prieiga prie elektroninės informacijos grindžiama principu „Būtina žinoti“, kuris reiškia, kad EVIS vidiniams naudotojams suteikiama prieiga tik prie tos EVIS elektroninės informacijos, kuri reikalinga vykdant tiesiogines jų darbo (tarnybos) funkcijas; tvarkyti EVIS elektroninę informaciją gali tik tie EVIS vidiniai naudotojai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie EVIS elektroninės informacijos teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentifikavimo priemonės ir pan.);

5.2. kiekvienas EVIS vidinis naudotojas ir EVIS išorinis naudotojas (jeigu jis yra EVIS susikūręs savo paskyrą ir jungiasi per ją) turi būti EVIS unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius);

5.3. EVIS vidinių naudotojų prieigos prie EVIS elektroninės informacijos lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios EVIS vidinių naudotojų tiesioginėms darbo (tarnybos) funkcijoms vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);

5.4. pareigų atskyrimo principu, kuris reiškia, kad EVIS vidiniam naudotojui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių EVIS elektroninės informacijos tvarkymo ar EVIS priežiūros funkcijų (pvz., EVIS vidiniams naudotojams negali būti suteikiamos administratoriaus teisės, susijusios su sprendimais dėl informacijos teikimo ir jos skelbimo, ir asmenų, tvarkančių duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų nustatymo, EVIS priežiūros funkcijos turi būti atliekamos naudojant atskiras tam skirtas administratoriaus paskyras, kuriomis naudojantis negalima atlikti kasdienių EVIS vidinio naudotojo funkcijų, ir pan.).

13.1. kurti, redaguoti ir ištrinti kitų naudotojų paskyras šiais būdais:

18.1. Direkcijos direktorius paskiria administratorių. Jeigu administratoriaus funkcijos perduotos EVIS paslaugos teikėjui (-ams), Direkcija paskiria darbuotoją, kontroliuojantį šio (-ių) EVIS paslaugos teikėjo (-ų) darbą;

18.2. administratoriui prieiga prie EVIS suteikiama, keičiama, sustabdoma ar panaikinama Direkcijos direktoriaus sprendimu;

18.3.  administratoriaus paskyros kontrolę vykdo saugos įgaliotinis, kuris:

19.1. Direkcijos darbuotojams prieiga prie EVIS suteikiama, keičiama, sustabdoma ar panaikinama Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjo sprendimu, elektroniniu paštu gavus tiesioginio Direkcijos darbuotojo vadovo prašymą;

19.2. Direkcijos darbuotojui prieigos prie elektroninės informacijos turi būti suteiktos ar pakeistos, sustabdomos ar panaikinamos, kai administratoriui elektroniniu paštu pateikiamas Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjo nurodymas kartu su tiesioginio Direkcijos darbuotojo vadovo prašymu. Administratorius prieigos prie elektroninės informacijos teises turi suteikti ar pakeisti, sustabdyti ar panaikinti ne vėliau kaip per vieną darbo dieną nuo nurodymo administratoriui pateikimo arba ne vėliau kaip iki nurodyme nurodyto termino pabaigos, jei terminas nurodomas;

19.3. prieš suteikdamas prieigos teises Direkcijos darbuotojui, administratorius turi įsitikinti, kad Direkcijos darbuotojas susipažino su EVIS saugos dokumentais ir teisės aktais, reglamentuojančiais EVIS duomenų saugą, ir raštu sutiko laikytis jų reikalavimų;

19.4. Direkcijos darbuotojo prieigos prie elektroninės informacijos teisės sustabdomos, kai:

19.5. Direkcijos darbuotojų prieigos prie elektroninės informacijos teisės turi būti panaikintos, kai:

20.1. EVIS išoriniams naudotojams, besinaudojantiems EVIS elektronine paslauga ir (ar) norintiems gauti informaciją apie transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eiles, daugkartinė prieiga prie EVIS suteikiama ar panaikinama EVIS interneto svetainėje užpildžius pateiktą elektroninę formą ir tuo būdu sudarius EVIS paslaugų teikimo sutartis.

20.2. EVIS išoriniams naudotojams, besinaudojantiems EVIS elektronine paslauga ir (ar) norintiems gauti informaciją apie transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eiles, vienkartinė prieiga prie EVIS suteikiama EVIS išoriniam naudotojui prisijungus prie EVIS interneto svetainės.

21.1. tikrina, ar nėra nepatvirtintų EVIS naudotojų paskyrų;

21.2. naudoja EVIS naudotojų paskyrų kontrolės priemones, kurios periodiškai tikrina EVIS naudotojų paskyras. Apie nepatvirtintas paskyras praneša saugos įgaliotiniui ar kibernetinio saugumo vadovui.

24.1. slaptažodis turi būti sudarytas iš didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių;

24.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pvz., vardas, pavardė, prisijungimo vardas, telefono numeris, gimimo data ir kt.);

24.3. sudarant slaptažodį nenaudoti iš eilės einančių tokių pat simbolių arba tik skaitmeninių ar tik abėcėlinių grupių;

24.4. draudžiama slaptažodžius, prieigos vardus ir kitus prisijungimo duomenis atskleisti tretiesiems asmenims;

24.5. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;

24.6. EVIS dalys, atliekančios nutolusio prisijungimo autentifikavimą, neleidžia automatiškai išsaugoti slaptažodžių;

24.7. didžiausias leidžiamas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Viršijus leidžiamą mėginimų įvesti teisingą slaptažodį skaičių, EVIS užsirakina ir neleidžia identifikuotis ne trumpiau kaip 15 minučių. EVIS vidinio naudotojo prašymu administratorius gali leisti identifikuotis EVIS per trumpesnį laiką tik patikrinęs EVIS vidinio naudotojo tapatybę;

24.8. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo EVIS vidinio naudotojo vardo, jei:

24.9. pirmojo prisijungimo prie EVIS metu EVIS automatiškai inicijuoja laikino slaptažodžio pakeitimą.

25.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

25.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

25.3. keičiant slaptažodį EVIS neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

26.1. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

26.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

26.3. keičiant slaptažodį EVIS neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.