1. Vadovybės apsaugos departamento prie Vidaus reikalų ministerijos saugomų objektų praėjimo kontrolės informacinės sistemos nuostatai (toliau vadinama – Nuostatai) apibrėžia Vadovybės apsaugos departamento prie Vidaus reikalų ministerijos (toliau vadinama – Departamentas) saugomų objektų praėjimo kontrolės informacinės sistemos (toliau vadinama – SOPKIS) kūrimo teisinį pagrindą, valdytoją ir tvarkytojus, jų funkcijas, teises ir pareigas, SOPKIS informacinę ir funkcinę struktūras, SOPKIS kaupiamus duomenis, jų tvarkymą ir naudojimą, reikalavimus duomenų saugai.

2. SOPKIS yra teisinių, programinių ir telekomunikacinių priemonių visuma, leidžianti Departamentui automatizuotai kontroliuoti darbuotojų ir lankytojų patekimą į Departamento saugomus objektus ir tvarkyti išduodamų leidimų sistemą.

3. SOPKIS steigimo teisinį pagrindą sudaro Lietuvos Respublikos vadovybės apsaugos įstatymo 6 straipsnio 2 dalies 2 punktas, 9 straipsnio 2 dalies 2 punktas, 12 straipsnio 1, 4, 6 punktai ir 14 straipsnio 1 dalis (Žin., 2002, Nr. 112-4982).

4. SOPKIS rengiama ir tvarkoma vadovaujantis:

5. SOPKIS tikslai – automatizuotos leidimų sistemos pagalba kontroliuoti asmenų patekimo į Departamento saugomus objektus ir buvimo juose laiką, šiuos duomenis kaupti ir analizuoti, vykdant pagrindinius Departamento uždavinius – užtikrinti saugomų asmenų apsaugą nuo kėsinimosi į jų gyvybę ir (ar) sveikatą ir saugomų objektų apsaugą.

6. Asmens duomenys SOPKIS tvarkomi siekiant garantuoti asmenų, turinčių teisę patekti į Departamento saugomus objektus, tapatybės patvirtinimą.

7. Duomenų subjektų teisės įgyvendinamos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų nustatyta tvarka.

8. SOPKIS funkcijos:

9. SOPKIS veikimo laukiamas rezultatas – Departamento saugomų objektų ir saugomų asmenų, dirbančių šiuose objektuose, saugumo padidinimas, automatizuotu būdu tikrinant šiuose objektuose besilankančių asmenų tapatybę, automatiškai fiksuojant ir kaupiant duomenis apie jų apsilankymus ir bandymus patekti į saugomus objektus neturint tam suteiktų teisių.

10. SOPKIS valdytojas yra Departamentas.

11. SOPKIS tvarkytojai yra Departamentas, Lietuvos Respublikos Seimo kanceliarija (toliau – Seimas), Respublikos Prezidento kanceliarija (toliau – Prezidentūra) ir Lietuvos Respublikos Ministro Pirmininko tarnyba (toliau – Vyriausybė).

12. Departamentas, kaip SOPKIS valdytojas:

13. Departamentas, kaip SOPKIS tvarkytojas:

14. SOPKIS tvarkytojai:

15. SOPKIS duomenų teikėjai yra:

16. Duomenys iš Valstybės tarnautojų registro, Valstybės tarnybos valdymo informacinės sistemos ir Lietuvos Respublikos gyventojų registro gaunami pagal duomenų teikimo sutartis.

17. SOPKIS duomenys kitoms informacinėms sistemoms automatiniu būdu neteikiami.

18. SOPKIS duomenis Departamentas gali teikti tik valstybinėms institucijoms, turinčioms įstatymų nustatytą teisę gauti šiuos duomenis, pagal motyvuotus vienkartinius prašymus Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) nustatytais pagrindais ir tvarka.

19. SOPKIS sudaro reliacinė duomenų bazė ir klientinė dalis, skirta duomenų įvedimui bei modifikavimui.

20. SOPKIS duomenų bazę sudaro:

21. SOPKIS duomenų bazėje tvarkomi šie duomenys (taip pat ir SOPKIS naudotojų):

22. SOPKIS automatiškai fiksuojami (pridėjus leidimą prie leidimų skaitytuvo) ir kaupiami šie duomenys:

23. Iš Valstybės tarnautojų registro ir Valstybės tarnybos valdymo informacinės sistemos automatiniu būdu gaunami duomenys apie valstybės tarnautojus, turinčius teisę patekti į Departamento saugomus objektus (pagal Seime, Prezidentūroje ir Vyriausybėje tvirtinamus sąrašus) pagal jų užimamas pareigas.

24. Iš Lietuvos Respublikos gyventojų registro automatiniu būdu duomenų sutikrinimui gaunami duomenys:

25. SOPKIS techninę įrangą sudaro:

26. SOPKIS sudaro šios posistemės:

27. SOPKIS pirminiai duomenų šaltiniai:

28. Už SOPKIS duomenų saugą atsako SOPKIS valdytojas.

29. SOPKIS valdytojas ir tvarkytojai atsako už SOPKIS asmens duomenų saugą ir pagal kompetenciją privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

30. Rengiant SOPKIS saugos politiką reglamentuojančius ir įgyvendinančius teisės aktus, saugos priemonės parenkamos vadovaujantis Nuostatų 4.2–4.7 punktuose nurodytais teisės aktais.

31. SOPKIS saugos politiką reglamentuoja valdytojo tvirtinami SOPKIS duomenų saugos nuostatai.

32. SOPKIS saugos politiką įgyvendina valdytojo tvirtinami saugos dokumentai:

33. SOPKIS naudotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

34. Asmens duomenys SOPKIS duomenų bazėje saugomi metus laiko nuo paskutinio asmens apsilankymo Departamento saugomame objekte. Pasibaigus šiam terminui asmens duomenys SOPKIS duomenų bazėje ištrinami.

35. SOPKIS finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų teisės aktuose nustatytų finansavimo šaltinių.

36. SOPKIS reorganizuojama ir likviduojama įstatymų ir kitų teisės aktų nustatyta tvarka. Sprendimą dėl SOPKIS reorganizavimo ar likvidavimo priima Departamentas.

1. Vadovybės apsaugos departamento prie Vidaus reikalų ministerijos saugomų objektų praėjimo kontrolės informacinės sistemos (toliau vadinama – SOPKIS) duomenų saugos nuostatų (toliau vadinama – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Vadovybės apsaugos departamento prie Vidaus reikalų ministerijos (toliau vadinama – Departamentas) SOPKIS duomenis, kartu užtikrinant asmenų, turinčių teisę patekti į Departamento saugomus objektus, kontrolę.

2. Saugos nuostatai reglamentuoja automatizuotą SOPKIS duomenų tvarkymą ir yra privalomi SOPKIS valdytojui ir tvarkytojams.

3. SOPKIS duomenų saugos užtikrinimo kryptys:

4. SOPKIS valdytojas ir tvarkytojas – Departamentas, įmonės kodas – 188639721, adresas: Pamėnkalnio g. 21/4, LT-01114 Vilnius, Lietuva.

5. Kiti SOPKIS tvarkytojai :

6. SOPKIS duomenų perdavimo tinklo operatorius – saugaus valstybinio duomenų perdavimo tinklo paslaugų teikėja valstybės įmonė „Infostruktūra“, įmonės kodas – 121738687, adresas: Pilies g. 23/15, LT-01123 Vilnius, Lietuva.

7. Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172, ir kituose teisės aktuose vartojamas sąvokas.

8. Departamentas, kaip SOPKIS valdytojas:

9. SOPKIS tvarkytojai:

10. Saugos įgaliotinis, remdamasis šiais Saugos nuostatais, saugaus elektroninės informacijos tvarkymo SOPKIS taisyklėmis, SOPKIS veiklos tęstinumo valdymo planu, SOPKIS naudotojų administravimo taisyklėmis bei Saugos reikalavimais, įgyvendina elektroninės informacijos saugą SOPKIS, teikia Departamento direktoriui pasiūlymus dėl SOPKIS duomenų saugai užtikrinti reikalingų techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo, atlieka kitas šių Saugos nuostatų ir Saugos reikalavimų nustatytas funkcijas.

11. Administratorius atsako už SOPKIS funkcionavimą užtikrinančios techninės ir programinės įrangos priežiūrą, vykdo saugos įgaliotinio nurodymus, atlieka kitas SOPKIS saugumo politiką reglamentuojančiuose teisės aktuose, Saugos reikalavimuose nustatytas funkcijas.

12. Teisės aktai, kuriais vadovaujantis tvarkomi SOPKIS duomenys ir užtikrinama jų sauga:

13. Atsižvelgiant į SOPKIS duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką SOPKIS darbui, SOPKIS priskiriama trečiajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.3.1, 3.3.2 punktus.

14. Saugos priemonės parenkamos įvertinus galimus rizikos veiksnius SOPKIS duomenų vientisumui, konfidencialumui ir prieinamumui.

15. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja SOPKIS rizikos vertinimą. Minėtą rizikos vertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą.

16. SOPKIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, apibrėžtus Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, 31 punkte.

17. Departamentas atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis nustatytų rizikų poveikiui panaikinti ar sumažinti.

18. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas SOPKIS informacinių technologijų saugos reikalavimų atitikties vertinimas, remiantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, 38 punkte išdėstytomis rekomendacijomis.

19. Remdamasis atlikto SOPKIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatais, vartotojų pasiūlymais dėl saugumo politikos tobulinimo, saugos įgaliotinis, esant reikalui, parengia ir Departamento direktoriui pateikia tvirtinti pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

20. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad likutinė rizika būtų sumažinta iki priimtino lygio, būtų užtikrintas saugus SOPKIS naudotojų darbas ir veiklos tęstinumas patiriant kuo mažiau išlaidų.

21. Prieigos prie SOPKIS sauga užtikrinama:

22. SOPKIS tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos poveikio (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Šiai apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.

23. Draudžiama diegti ir naudoti programinę įrangą, nesusijusią su SOPKIS naudotojo atliekamomis funkcijomis. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri administratoriai.

24. Konkretūs SVDPT paslaugų ir elektroninės informacijos prieinamumo reikalavimai nustatomi SVDPT paslaugų teikimo sutartyje.

25. Už atsarginių SOPKIS duomenų kopijų darymą ir saugojimą atsakingas administratorius.

26. Serverių operacinių sistemų ir praėjimo kontrolės specialios programinės įrangos rezervinės kopijos daromos keičiant jų konfigūraciją.

27. SOPKIS atsarginės duomenų kopijos turi būti daromos automatiškai. Duomenis prireikus atkurti turi teisę tik SOPKIS administratorius. Kopijų, iš kurių būtų galima atstatyti duomenis, darymo ir saugojimo tvarka detaliai aprašyta SOPKIS saugaus elektroninės informacijos tvarkymo taisyklėse.

28. SOPKIS naudotojai privalo turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, ECDL vartotojo sertifikatas ar pan.) bei būti susipažinę su šiais Saugos nuostatais ir kitais SOPKIS saugumo politiką reglamentuojančiais dokumentais.

29. Naudotojai, pastebėję saugumo politikos pažeidimus arba netinkamai veikiančias saugos užtikrinimo priemones, kitus SOPKIS darbo sutrikimus, privalo nedelsdami apie tai pranešti saugos įgaliotiniui.

30. Saugos įgaliotinis privalo būti susipažinęs su elektroninės informacijos saugos principais ir saugos užtikrinimo metodais, savo darbe vadovautis Saugos nuostatais, kitais SOPKIS saugumo politiką reglamentuojančiais dokumentais bei atitinkamais Lietuvos Respublikos teisės aktais.

31. Administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos principus, darbą su duomenų perdavimo tinklais, turėti kompiuterių administravimo, sisteminių programinių priemonių administravimo bei priežiūros patirties.

32. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja naudotojų mokymą efektyvesnio darbo su SOPKIS, informacijos saugos klausimais, įvairiais būdais informuoja juos apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

33. Už naudotojų supažindinimą su šiais Saugos nuostatais ir kitais SOPKIS saugos politiką reguliuojančiais teisės aktais yra atsakingas Saugos įgaliotinis. Saugos įgaliotinis informuoja naudotojus apie Saugos nuostatų pakeitimus ar kitų SOPKIS saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

34. Naudotojai su Saugos nuostatais ir kitais SOPKIS saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.

35. SOPKIS saugos įgaliotinis, administratoriai, naudotojai, pažeidę Saugos nuostatų ar kitų SOPKIS saugos politiką reguliuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.