1. Lietuvos Respublikos elektroninių ryšių tinklų ir informacijos saugumo įstatymo koncepcija (toliau vadinama – ši Koncepcija) parengta įgyvendinant Lietuvos Respublikos Vyriausybės 2006–2008 metų programos įgyvendinimo priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2006 m. spalio 17 d. nutarimu Nr. 1020 (Žin., 2006, Nr. 112-4273), 157 punktą.

Lietuvos informacinės visuomenės plėtros strategijoje, patvirtintoje Lietuvos Respublikos Vyriausybės 2005 m. birželio 8 d. nutarimu Nr. 625 (Žin., 2005, Nr. 73-2649), analizuojant informacinės visuomenės plėtros stiprybes, silpnybes, galimybes, grėsmes (SSGG), tarp informacinės visuomenės plėtros grėsmių nurodomos ir neišspręstos informacijos technologijų saugumo problemos. Taip pat pabrėžta, kad plėtojant naujas elektronines paslaugas ir taikomuosius sprendimus būtina užtikrinti informacijos technologijų saugumą. Minėtame nutarime yra įtvirtinti informacinės visuomenės plėtros prioritetai. Vienas iš jų – žinių ekonomika, kurį įgyvendinant siekiama tam tikrų tikslų, pvz., remti saugios, modernios informacinės infrastruktūros plėtrą.

2. Numatoma, kad Lietuvos Respublikos elektroninių ryšių tinklų ir informacijos saugumo įstatymas (toliau vadinama – Įstatymas) reglamentuos santykius, susijusius su elektroninių ryšių tinklų ir informacijos saugumu (toliau vadinama – tinklų ir informacijos saugumas), sudarys sąlygas saugios informacinės visuomenės plėtrai, didins vartotojų pasitikėjimą informacine visuomene.

3. Pastaraisiais metais dėl spartėjančios informacijos ir ryšių technologijų plėtros pasiektas spartus informacinės visuomenės ir žiniasklaidos sričių augimas toliau bus nulemtas labai paplitusių, daugelį įrenginių jungiančių greitųjų ryšių (2005 metų spalio duomenimis, Lietuvoje buvo 781 tūkst. interneto abonentų). Dabar prieinamas elektroninio formato tradicinis turinys (pvz., filmai, vaizdinė medžiaga, muzika), be to, atsiranda naujos, vien tik skaitmeninės paslaugos, pvz., sąveikioji programinė įranga. Informacinės visuomenės ir žiniasklaidos tarnybų, tinklų ir įrenginių suartėjimas (konvergencija) pagaliau tapo kasdienybe: informacijos ir ryšių technologijos dabar patogesnės, spartesnės, lengviau pritaikomos. Kad galėtume reaguoti į esminius informacijos ir ryšių technologijų pokyčius, paspartinti informacinės visuomenės plėtrą, būtina iniciatyvi politika. Kad esama teisinė sistema netrukdytų technologijų pažangai, o atvirkščiai – prie jos prisidėtų, būtina pakeisti teisės aktus: jie turi atitikti susiklosčiusius visuomeninius santykius ir tinkamai apsaugoti paslaugų gavėjus, didinti jų pasitikėjimą informacinėmis technologijomis, skatinti naudotis pažangiomis ir saugiomis informacinėmis technologijomis (vieno didžiausių Lietuvoje interneto prieigos paslaugų teikėjo statistikos duomenimis, nuo 1998 iki 2004 metų incidentų tinkluose pagausėjo bent šimteriopai).

4. Lietuvoje vis daugiau visuomenės socialinių santykių perkeliama į virtualiąją erdvę – aktyviai panaudojami elektroniniai ryšiai ne tik informacijai gauti ar siųsti, bet ir elektroninės bankininkystės, elektroninio verslo ir elektroninės valdžios galimybėms realizuoti. Deja, šie pokyčiai skatina ir neteisėtas veikas elektroninėje erdvėje. 2005 metais tinklų ir informacijos saugumo padėties Lietuvoje tyrimas parodė, kad 78 procentai tiesioginės apklausos dalyvių (reprezentatyvios apklausos respondentų), 79 procentai verslo įmonių ir 100 procentų interneto prieigos paslaugų teikėjų susiduria su kompiuteriniais virusais. Atitinkamai 63 procentai interneto vartotojų, 76 procentai verslo įmonių ir 100 procentų interneto prieigos paslaugų teikėjų nurodė gaunantys nepageidaujamų elektroninio pašto pranešimų (angl. spam) internete. 18 procentų tiesioginės apklausos dalyvių, 25 procentai verslo įmonių ir 71 procentas interneto prieigos paslaugų teikėjų yra patyrę žalos dėl įvairių tinklų ir informacijos saugumo incidentų. Atsižvelgiant į susiklosčiusią situaciją, būtina, kad valstybiniu lygmeniu nuolat ir sistemingai būtų sprendžiamos tinklų ir informacijos saugumo problemos, stiprinama teisinė bazė šioje srityje.

5. Europos Komisija 2005 m. birželio 1 d. Komunikate Tarybai, Europos Parlamentui, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „i2010 – Europos informacinė visuomenė augimui ir užimtumui skatinti“ kaip vieną iš pagrindinių skaitmeninio suartėjimo uždavinių kuriant bendrą Europos informacinę erdvę nurodė saugumą – reikia kurti nuo apgavikų, žalingo turinio ir technologinių gedimų atsparesnį, saugesnį internetą, kad didėtų investuotojų ir vartotojų tarpusavio pasitikėjimas. Kai informacijos ir ryšių technologijos bus patikimos ir saugios, suartėjančios skaitmeninės paslaugos bus dar plačiau prieinamos. Europos Sąjungos teisės aktai nenustato valstybėms narėms specifinių reikalavimų, kurie privalomai turėtų būtu įgyvendinami nacionaliniuose teisės aktuose, tačiau tinklų ir informacijos saugumas Europos Sąjungoje jau šiandien priskiriamas prie prioritetinių dalykų.

6. Atsižvelgiant į tai, kad svarbiausieji visuomeniniai santykiai turi būti reglamentuojami įstatymų, o ne jų lydimųjų teisės aktų, pasirinkta atitinkama tinklų ir informacijos saugumo visuomeninių santykių reglamentavimo forma – tinklų ir informacijos saugumo visuomeninius santykius reglamentuoti įstatymiškai.

7. Svarbiausias Įstatymo tikslas – apibrėžti ir įtvirtinti visuomeninių santykių, susijusių su tinklų ir informacijos saugumu, teisinio reguliavimo pagrindus. Įstatymas užpildys ir su elektroninių ryšių paslaugų teikimu susijusių santykių teisinio reguliavimo spragas, kiek tai susiję su tinklų ir informacijos saugumu teikiant elektroninių ryšių paslaugas.

8. Įstatyme bus apibrėžti tinklų ir informacijos saugumo veiklos reguliavimo principai, pateikiamos tinklų ir informacijos saugumo, kitos su šiuo reguliavimo dalyku susijusios sąvokos. Antai 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamento (EB) Nr. 460/2004, įsteigiančio Europos tinklų ir informacijos apsaugos agentūrą (OL 2004 L 77, p. 1), 4 straipsnio c punkte nustatyta, kad tinklų ir informacijos saugumas – tai tinklų ar informacinės sistemos pajėgumas tam tikru patikimumo lygiu išlikti atspariai nuo atsitiktinių įvykių, neteisėtų ar tyčinių veiksmų, kurie keltų pavojų išsaugotų ar perduotų duomenų, susijusių, siūlomų ar per tuos tinklus arba sistemas gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ir slaptumui. Šią Lietuvos Respublikos teisės aktuose dar nevartotą sąvoką numatoma perkelti į Įstatymą.

9. Pastaruoju metu pasaulyje nepageidaujami elektroninio pašto pranešimai sudaro didžiumą viso elektroninio pašto srauto, ir tai yra didžiulė problema elektroninių ryšių tinklams. Interneto prieigos paslaugų teikėjų sistemos perkrautos, mažėja bendras srauto pralaidumas, kovai su nepageidaujamais elektroninio pašto pranešimais reikia papildomų išteklių, patiriami dideli finansiniai nuostoliai. Kartu su šiais pranešimais didėja plintančių kompiuterinių virusų ir įvairių apgaulės būdų grėsmė. Vartotojų nuomonės tyrimai taip pat rodo, kad nepageidaujamas elektroninis paštas yra viena pagrindinių vartotojams aktualių saugumo problemų. Dėl sukeliamų nepatogumų didėja vartotojų nepasitikėjimas elektroninio pašto paslauga ir apskritai internetu. Prognozuojama, kad dėl UMTS (angl. Universal Mobile Telecommunications Systems) standarto, kai judriojo ryšio tinklas taps atviras internetui, paplitimo ši problema taps dar opesnė. Elektroninių ryšių paslaugų naudojimą tiesioginės rinkodaros tikslu iš dalies reglamentuoja Lietuvos Respublikos elektroninių ryšių įstatymas (Žin., 2004, Nr. 69-2382). Dėl aptartų priežasčių Įstatyme ketinama įtvirtinti sąvoką, analogišką 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 460/2004, įsteigiančiame Europos tinklų ir informacijos apsaugos agentūrą, nustatytai tinklų ir informacijos saugumo sąvokai,– papildomai nustatyti, kad tinklų ir informacijos saugumo sąvoka apima ir informacinės sistemos pajėgumą, mažinantį nepageidaujamų elektroninio pašto pranešimų siuntimą tiesioginės rinkodaros tikslu. Tai leistų užpildyti reglamentavimo spragą, kai informacinės sistemos pritaikomos nepageidaujamiems elektroninio pašto pranešimams siųsti ir tam sudaromos sąlygos.

10. Įstatyme bus numatyta:

11. Įstatyme taip pat bus nustatyti bendrieji reguliavimo pagrindai ir teisiniai pagrindai, įgalinantys priimti įstatymų lydimuosius teisės aktus, kuriuose bus detalizuotos Įstatymo nuostatos; įstatymų lydimuosius teisės aktus tvirtins Lietuvos Respublikos Vyriausybė, jos įgaliota institucija ir Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau vadinama – Ryšių reguliavimo tarnyba).

12. Sparčiai gausėja informacijos ir tinklų saugumo pažeidimų. Dėl to patiriama daug finansinių nuostolių, kyla nauja rizika ir grėsmė informacinės visuomenės raidai. Būtina prisidėti prie saugios informacinės visuomenės kūrimo atitinkamai reglamentuojant su tuo susijusius visuomeninius santykius. Kol kas Lietuvos Respublikoje nėra įstatymo, nuosekliai reglamentuojančio su tinklų ir informacijos saugumu susijusius visuomeninius santykius, tačiau kai kuriuose teisės aktuose esama nuostatų, susijusių su tinklų ir informacijos saugumu. Deja, jos neužtikrina visapusiško ir aiškaus šių santykių reglamentavimo.

13. Lietuvos Respublikos elektroninių ryšių įstatymo 62 straipsnyje nustatyta, kad viešųjų elektroninių ryšių paslaugų teikėjai privalo įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų paslaugų saugumui užtikrinti, o prireikus – kartu su viešųjų ryšių tinklų teikėjais imtis tokių pat priemonių viešųjų ryšių tinklų saugumui užtikrinti. Šios priemonės turi garantuoti iškilusią grėsmę atitinkantį saugumo lygį. Sužinojęs apie ypač didelę elektroninių ryšių tinklo ar jo dalies saugumo pažeidimo grėsmę, viešųjų elektroninių ryšių paslaugų teikėjas privalo informuoti apie ją abonentus ir tais atvejais, kai paslaugų teikėjo taikomos priemonės nepanaikina grėsmės kilmės priežasčių, taip pat informuoti abonentus apie visas įmanomas gelbėjimo priemones ir nurodyti tikėtinas jų kainas. Minėtoji Lietuvos Respublikos elektroninių ryšių įstatymo nuostata nustato tik bendrą prievolę tiek viešųjų elektroninių ryšių paslaugų, tiek viešųjų ryšių tinklų teikėjams imtis neapibrėžtų priemonių teikiamų paslaugų saugumui užtikrinti. Pažymėtina, kad ši prievolė taikytina tik ūkio subjektams, teikiantiems elektroninių ryšių tinklus ir paslaugas, o siūlomu Įstatymu siekiama praplėsti subjektų ratą, papildomai nustatyti atitinkamus įpareigojimus tinklų ir informacijos saugumo srityje ūkio subjektams, teikiantiems informacinės visuomenės tarpines paslaugas (pvz., informacijos saugojimo paslaugas), kurie nebūtinai patenka į Lietuvos Respublikos elektroninių ryšių įstatymo reguliavimo sritį. Siūlomas Įstatymas nustatys techninių ir organizacinių priemonių gaires tinklų ir informacijos saugumui užtikrinti. Be to, Įstatymu ketinama įgalioti Ryšių reguliavimo tarnybą patvirtinti įstatymų lydimuosius teisės aktus, nustatančius detalesnes technines ir organizacines priemones, kurias bus privaloma naudoti tinklų ir informacijos saugumui pagal atitinkamas paslaugas užtikrinti.

14. Lietuvos Respublikos elektroninių ryšių įstatymo 63 straipsnis reglamentuoja ryšio slaptumo užtikrinimą. Jame nustatyta, kad ūkio subjektai, teikiantys elektroninių ryšių tinklus ir (ar) paslaugas, privalo imtis organizacinių ir techninių priemonių ir užtikrinti, kad asmenims, kurie nėra faktiniai elektroninių ryšių paslaugų naudotojai, be suinteresuotų faktinių elektroninių ryšių paslaugų naudotojų sutikimo būtų draudžiama atskleisti elektroninių ryšių tinklais perduodamos informacijos turinį ir (ar) susijusius srauto duomenis arba sudaryti sąlygas sužinoti tokią informaciją ir (ar) susijusius srauto duomenis. Valstybinė duomenų apsaugos inspekcija (toliau vadinama – Duomenų apsaugos inspekcija), vadovaudamasi Lietuvos Respublikos Vyriausybės 2005 m. liepos 20 d. nutarimu Nr. 807 „Dėl Ryšio slaptumo patikrinimų atlikimo taisyklių patvirtinimo“ (Žin., 2005, Nr. 89-3341), kontroliuoja, kaip ūkio subjektai, teikiantys elektroninių ryšių tinklus ir (ar) paslaugas, įgyvendina šiuos ryšio slaptumo užtikrinimo reikalavimus.

15. Lietuvos Respublikos elektroninių ryšių įstatymo 68 straipsnis reglamentuoja elektroninių ryšių paslaugų naudojimą tiesioginės rinkodaros tikslu ir draudžia naudoti elektroninių ryšių paslaugas be išankstinio abonento sutikimo, nustato atitinkamus reikalavimus tokių elektroninių pranešimų siuntėjams (pvz., draudimą slėpti siuntėjo tapatybę ir prievolę siuntėjui nurodyti galiojantį adresą, kuriuo gavėjas galėtų pareikalauti nutraukti tokios informacijos siuntimą). Minėtojo įstatymo devintojo skirsnio nuostatos taip pat iš dalies susijusios su vieno tinklų ir informacijos saugumo aspekto – privatumo apsaugos – užtikrinimu. Masiškai plintant nepageidaujamiems elektroninio pašto pranešimams (kurie dabar sudaro apie 70 procentų bendro elektroninio pašto srauto), vien tik galimybės nubausti nepageidaujamo elektroninio pašto pranešimo siuntėją nepakanka. Kad būtų užkirstas kelias šiam neigiamam reiškiniui, Įstatyme, atsižvelgiant į technologinio neutralumo principą, bus reglamentuojamas techninių ir organizacinių priemonių, skirtų jo prevencijai ir nepageidaujamų elektroninio pašto pranešimų sklaidos užkardymui, nustatymas bei panaudojimas.

16. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597) 24 straipsnis nustato, kad duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, jos turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir panašiai). Ši Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo norma yra analogiška minėtai Lietuvos Respublikos elektroninių ryšių įstatymo 62 straipsnio nuostatai, tačiau ji taikoma duomenų valdytojams ir duomenų tvarkytojams, kurie, teikdami atitinkamas paslaugas, tvarko fizinių asmenų duomenis.

17. Kiti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo straipsniai nustato asmens duomenų (kaip dalies privačios fizinių asmenų informacijos) apsaugos sistemą.

18. Lietuvos Respublikos elektroninių ryšių įstatymo 62, 68 ir kitų devintojo skirsnio straipsnių nuostatų priežiūros funkcija Lietuvos Respublikos elektroninių ryšių įstatymo 12 straipsnio 5 dalies 1 punktu pavesta Duomenų apsaugos inspekcijai, kuri pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą yra atsakinga už žmogaus privataus gyvenimo neliečiamumo teisę, kadangi tvarko asmens duomenis. Norint tinkamai apsaugoti asmens duomenis (ypač kai jie tvarkomi automatiniu (kompiuterizuotu) būdu), būtina įgyvendinti tinkamas tinklų ir informacijos saugumo užtikrinimo priemones. Asmens duomenų apsauga negalima, jeigu nesilaikoma atitinkamų tinklų ir informacijos saugumo reikalavimų. Kita vertus, tų pačių reikalavimų laikymasis skirtas ir kitoms asmens teisėms (ne vien privataus gyvenimo neliečiamumo) informacinėje visuomenėje garantuoti (apsaugoti asmenis nuo sukčiavimo, informacijos, finansinių lėšų ar laiko praradimo, jų naudojamų informacinių sistemų sutrikdymo, galimybės naudotis paslaugomis atėmimo ir panašiai), todėl turėtų būti aiškiai reglamentuota atitinkamų institucijų kompetencija užtikrinti visavertę asmens teisių apsaugą naudojantis informacinės visuomenės paslaugomis.

19. Lietuvos Respublikos elektroninio parašo įstatymas (Žin., 2000, Nr. 61-1827) skirtas elektroninio parašo kūrimui, tikrinimui, galiojimui, parašo naudotojų teisių ir atsakomybės, reikiamos infrastruktūros funkcionavimui reglamentuoti. Jis reglamentuoja vieną iš saugios informacinės visuomenės elementų, skirtų patikimam ir teisiškai reikšmingam keitimuisi informacija tarp informacinės visuomenės paslaugų gavėjų užtikrinti (t.y. elektroninį parašą).

20. Lietuvos Respublikos įstatymu dėl Konvencijos dėl elektroninių nusikaltimų ratifikavimo (Žin., 2004, Nr. 36-1178) ratifikuota Konvencija dėl elektroninių nusikaltimų (Žin., 2004, Nr. 36-1188), jos atitinkamos normos įtvirtintos Lietuvos Respublikos baudžiamojo kodekso (Žin., 2000, Nr. 89-2741) 196–198² straipsniuose: 196 straipsnis – kompiuterinės informacijos sunaikinimas ar pakeitimas (turi būti padaryta didelė žala); 197 straipsnis – kompiuterinės programos sunaikinimas ar pakeitimas ir kompiuterinio tinklo, duomenų banko ar informacinės sistemos darbo sutrikdymas (turi būti padaryta didelė žala); 198 straipsnis – kompiuterinės informacijos pasisavinimas ir skleidimas (būtina sąlyga, kad informacija turi būti saugoma įstatymų); 198¹ straipsnis – neteisėtas prisijungimas prie kompiuterio ar kompiuterinio tinklo; 198² straipsnis – neteisėtas disponavimas įrenginiais, kompiuterinėmis programomis, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis, skirtais nusikaltimams daryti. Ikiteisminius tyrimus dėl tokio pobūdžio nusikalstamų veikų atlieka Lietuvos Respublikos baudžiamojo proceso kodekso (Žin., 2002, Nr. 37-1341) 165 straipsnyje nustatytos ikiteisminio tyrimo įstaigos. Pažymėtina, kad Lietuvos kriminalinės policijos biure įkurtas specializuotas Nusikaltimų elektroninėje erdvėje tyrimo skyrius atlieka ikiteisminius tyrimus dėl tokių nusikalstamų veikų.

21. Numatomu Įstatymu nebus siekiama pakeisti Lietuvos Respublikos baudžiamajame kodekse įtvirtintos nusikaltimų informatikai sistemos. Jis sudarys galimybes ne tik reaguoti į jau įvykusius pažeidimus (nubausti asmenis), bet ir užtikrinti tokių pažeidimų prevenciją, užkirsti kelią neigiamiems jų padariniams. Taip pat Įstatymas aiškiai nustatys elgesio ribas – apibrėš veikas, kurios formaliai nėra kriminalizuotos (dėl to, kad Lietuvos Respublikos baudžiamasis kodeksas kai kurias veikas kriminalizuoja tik įtraukdamas papildomą požymį – padarytą didelę žalą), bet yra aiškiai pavojingos – kenksmingo programinio kodo kūrimas ir disponavimas juo; prisijungimas prie elektroninių ryšių tinklo ar informacinės sistemos, neturint tam teisės, ar sąlygų tam sudarymas; elektroninio pašto adreso rinkimas, platinimas, įsigijimas, naudojimas ar kitoks disponavimas elektroninio pašto adresu be naudotojo sutikimo tiesioginės rinkodaros tikslu ir panašiai, o už tokių veikų padarymą Lietuvos Respublikos administracinių teisės pažeidimų kodekse (Žin., 1985, Nr. 1-1) bus numatyta administracinė atsakomybė.

22. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) nustato valstybės registrų (kadastrų) steigimą, tvarkymą, reorganizavimą ir likvidavimą; valstybės registrų sistemą ir bendruosius valstybės registrų sąveikos principus; vadovaujančių valstybės registrų tvarkymo įstaigų, valstybės registrų tvarkymo įstaigų, valstybės registrų priežiūros institucijų, valstybės registrų tvarkytojų, valstybės registrų duomenų teikėjų ir gavėjų teises ir pareigas. Lietuvos Respublikos valstybės registrų įstatymo 2 straipsnio 19 dalyje įtvirtinta registro sąvoka – teisinių, organizacinių, technologinių priemonių visuma, skirta registruoti įstatymų nustatytus registro objektus, rinkti, kaupti, apdoroti, sisteminti, saugoti ir teikti fiziniams ir juridiniams asmenims registruojamų objektų kiekybinius, kokybinius, geografinius ir kitus duomenis bei dokumentus.

23. Lietuvos Respublikos valstybės registrų įstatymo 20 straipsnis nustato duomenų saugos reikalavimus registrams: „Už registro duomenų saugą atsako registro tvarkymo įstaiga ir registro tvarkytojai. Tvarkant registro duomenis, privaloma įgyvendinti registro duomenų saugos priemones, skirtas užtikrinti registro duomenų tikslumą ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Kad būtų užtikrinta registro duomenų sauga, vadovaujantis Lietuvos Respublikos Vyriausybės patvirtintais bendraisiais duomenų saugos reikalavimais, rengiami ir vadovaujančiosios registro tvarkymo įstaigos tvirtinami registro duomenų saugos nuostatai. Juose nustatomos reikiamos registro duomenų saugos priemonės, registro duomenų saugaus tvarkymo reikalavimai ir jų įgyvendinimas. Registro tvarkytojai privalo registro duomenų saugos nuostatų nustatyta tvarka užtikrinti reikiamas administracines, technines ir organizacines duomenų saugos priemones ir tokių priemonių laikymąsi. Valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis ir tvarkantys registro duomenis, privalo įsipareigoti saugoti duomenų paslaptį. Įsipareigojimas saugoti duomenų paslaptį galioja ir nutraukus su registro duomenų tvarkymu susijusią veiklą.“

24. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) reglamentuoja tinklų ir informacijos  saugumo reikalavimus valstybės ir tarnybos paslapčių apsaugos srityje. Nurodytojo įstatymo aštuntajame skirsnyje reglamentuojama automatizuotų duomenų apdorojimo sistemų ir tinklų, kuriuose yra saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, apsauga – reglamentuojamas leidimų apdoroti įslaptintą informaciją automatizuotomis duomenų apdorojimo sistemomis ir tinklais išdavimas, nustatyti tokių sistemų ir tinklų apsaugos reikalavimai ir informacijos laikmenų saugumo reikalavimai. Pažymėtina, jog Įstatymu nesiekiama pakeisti tinklų ir informacijos saugumo reglamentavimo, kiek tai susiję su valstybės ir (ar) tarnybos paslaptimi, – Įstatymas numatys tik bendruosius reikalavimus, o Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas, kaip specialusis teisės aktas, atskirai reglamentuos santykius valstybės ir tarnybos paslapčių saugumo užtikrinimo srityje.

25. Būtų galima paminėti kelis su tinklų ir informacijos saugumu susijusius Lietuvos Respublikos Vyriausybės nutarimus, kurie plačiąja prasme reglamentuoja tinklų ir informacijos saugumą valstybės ir savivaldybės institucijose: 1997 m. rugsėjo 4 d. nutarimą Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 2003 m. kovo 5 d. nutarimą Nr. 290 „Dėl Viešo naudojimo kompiuterių tinkluose neskelbtinos informacijos kontrolės ir ribojamos viešosios informacijos platinimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 24-1002), 2004 m. balandžio 19 d. nutarimą Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 58-2061), 2005 m. liepos 20 d. nutarimą Nr. 807 „Dėl Ryšio slaptumo patikrinimų atlikimo taisyklių patvirtinimo“ (Žin., 2005, Nr. 89-3341) ir 2006 m. birželio 19 d. nutarimą Nr. 601 „Dėl Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų ir jos įgyvendinimo priemonių plano patvirtinimo“ (Žin., 2006, Nr. 70-2575), iš jų:

26. Remiantis šios Koncepcijos III skyriuje pateikta teisės aktų, reguliuojančių tą pačią visuomeninių santykių sritį, charakteristika, galima teigti, kad kol kas nėra nei Lietuvos Respublikos įstatymų, nei jų lydimųjų teisės aktų, kurie išsamiai ir sistemiškai reglamentuotų tinklų ir informacijos saugumą, o esami teisės aktai neužtikrina visapusiško ir nuoseklaus tinklų ir informacijos saugumo visuomeninių santykių reglamentavimo, nesudaro sąlygų vartotojų pasitikėjimui informacine visuomene ir saugios informacinės visuomenės plėtrai. Numatytas tik fragmentiškas reguliavimas. Nesprendžiami kai kurie svarbūs klausimai – pavyzdžiui, neapibrėžtos sąvokos, nėra sistemingai išdėstytos institucinės sistemos, nereglamentuota atsakomybė už veikas, formaliai nekriminalizuotas Lietuvos Respublikos baudžiamojo kodekso (dėl to, kad nepadaroma didelė žala), nedetalizuotos elektroninių ryšių paslaugų ir tarpinių informacinės visuomenės paslaugų teikėjų pareigos rūpintis savo vartotojų saugumu (kai kuriems tokia pareiga apskritai nenustatyta), nenustatyta tinklų ir informacijos saugumo incidentų tyrimo sistema, įstatymuose nereglamentuojamas valstybės ir savivaldybių tinklų ir informacinių sistemų saugumas (tinklų ir informacijos saugumą valstybės institucijų informacinėse sistemose iki šiol reglamentuoja tik įstatymų lydimieji teisės aktai – Lietuvos Respublikos Vyriausybės nutarimai, ministrų įsakymai), neaiški kritinių informacinių infrastruktūrų saugumo reglamentavimo sistema, nereglamentuotas tinklų ir informacijos saugumo vertinimas.

27. Vien tik Lietuvos Respublikos elektroninių ryšių įstatymo papildymas neišspręstų esamo tinklų ir informacijos saugumo reglamentavimo trūkumo dėl kelių svarbių priežasčių. Pirma, Įstatymas bus taikomas platesniam subjektų ratui, nei nustatyta Lietuvos Respublikos elektroninių ryšių įstatyme, reguliuos ir informacinės visuomenės tarpinių paslaugų teikėjų veiklą (sąvoka pateikta šios Koncepcijos X skyriuje). Antra, Įstatymo objektas bus ne tik elektroninių ryšių tinklai, bet ir informacinės sistemos. Trečia, Lietuvos Respublikos elektroninių ryšių įstatymas nereglamentuoja santykių, susijusių su elektroninių ryšių tinklais perduodamos informacijos turiniu, o tinklų ir informacijos saugumas iš dalies susijęs ir su šia sritimi, pavyzdžiui, būtina reglamentuoti tokius klausimus kaip kenksmingo programinio kodo kūrimas ir naudojimas.

28. Tinklų ir informacijos saugumui užtikrinti reikia kompleksinio reguliavimo, nes su informacinėmis sistemomis gali būti atliekamos įvairios veikos, kurios riboja kitų asmenų galimybę naudotis paslaugomis, sudaro jiems nepatogumų (pvz., nepageidaujamų elektroninio pašto pranešimų reiškinys), sukelia finansinius nuostolius šių paslaugų teikėjams, taip pat ir nusikalstamos veikos, tokios kaip vagystės iš elektroninių bankų sąskaitų, kitų duomenų praradimas, darantis didelę finansinę žalą jų teisėtiems valdytojams, ir panašiai. Lietuvos Respublikos baudžiamajame kodekse kriminalizuotos veikos informatikos srityje yra specifinio, kriminalinio pobūdžio, dėl to daugelio jų pasekmės turi būti specifinės – didelė žala. Tačiau kol kas nėra įstatymų uždraustų veikų, kurių pavojingumas baudžiamosios teisės prasme nėra toks didelis, kad užtrauktų kitokios rūšies atsakomybę jas padariusiems asmenims.

29. Įstatymu ketinama pataisyti šio reglamentavimo spragas ir nustatyti draudžiamas veikas tinklų ir informacijos saugumo srityje (pvz., kenksmingo programinio kodo platinimas), taip pat atitinkamai papildyti Lietuvos Respublikos administracinių teisės pažeidimų kodeksą naujomis nuostatomis, numatančiomis atsakomybę už neteisėtas veikas tinklų ir informacijos saugumo srityje.

30. Įstatymu siekiama suteikti vienai institucijai – Ryšių reguliavimo tarnybai – pagrindines rinkos priežiūros funkcijas tinklų ir informacijos saugumo srityje, nustatyti jai aiškias kompetencijos ribas ir įgaliojimus, be to, jai bendradarbiaujant su kitomis institucijomis, veikiančiomis pagal jų veiklą bei kompetenciją tinklų ir informacijos saugumo reguliavimo atitinkamose srityse nustatančius įstatymus, bendrai užtikrinti aukštą tinklų ir informacijos saugumo lygį Lietuvoje.

31. Kaip jau buvo konstatuota šios Koncepcijos 18 punkte, siekiant užtikrinti efektyvesnį reguliavimo mechanizmą tinklų ir informacijos saugumo srityje, būtina aiškiai reglamentuoti atitinkamų institucijų kompetenciją.

32. Įstatyme bus nustatyti bendrieji tinklų ir informacijos saugumo reikalavimai, kurie užtikrins vartotojų interesus informacinėje visuomenėje. Bus nustatytos teikėjų teisės ir pareigos, susijusios su tinklų ir informacijos saugumo užtikrinimu, pavyzdžiui, kenksmingo programinio kodo filtravimas bei kenkėjiškų adresų blokavimas elektroninio pašto sistemose nepažeidžiant fizinių asmenų privatumo (atsižvelgiant į Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2006 m. vasario 21 d. nuomonės 2/2006 apie privatumo klausimus, susijusius su elektroninio pašto tikrinimo paslaugų teikimu, rekomendacijas), o tai dabar nereglamentuojama.

33. Taip pat Įstatyme numatoma tinklų ir informacijos saugumo incidentų tyrimo sistema, sudaromos galimybės užkirsti kelią tinklų ir informacijos saugumo incidentams plisti, laikinai apribojant paslaugų ar tinklų teikimą tinklų ir informacijos saugumo incidentų šaltiniams ir taikant kitas poveikio priemones.

34. Įstatymas reglamentuos tinklų ir informacijos saugumo audito bei techninės ir programinės įrangos saugumo vertinimo sritis, kurios iki šiol kitų teisės aktų nebuvo reglamentuojamos. Įstatymu nebus siekiama pakeisti rinkoje vykdomo tinklų ir informacijos saugumo audito, tačiau bus įvesta aukštesnio lygio patikimumo užtikrinimo sistema, kuri bus taikoma kritinėms informacinėms infrastruktūroms, Lietuvos Respublikos Vyriausybės nustatytoms valstybės ir savivaldybių informacinėms sistemoms arba savanoriškai – bet kuriems rinkoms dalyviams.

35. Šiuo metu nėra įstatymo, kuris reglamentuotų kritinių informacinių infrastruktūrų tinklų ir informacijos saugumą. Įstatymu ketinama pašalinti šią reglamentavimo spragą ir nustatyti pagrindinius kritinių informacinių sistemų tinklų ir informacijos saugumo užtikrinimo principus, subjektus (Lietuvos Respublikos Vyriausybė ar jos įgaliota institucija), turinčius teisę sudaryti kritinių informacinių infrastruktūrų sąrašą, nustatyti subjektus, turinčius teisę teikti pasiūlymus dėl tokio sąrašo sudarymo, pakeitimo ar papildymo, ir kontrolės funkcijas atliekančias institucijas.

36. Užsienio valstybių tinklų ir informacijos saugumo reglamentavimo praktika nėra gausi, nes daugelyje valstybių šios srities reglamentavimo sistema dar tik kuriama.

37. Antai Suomijoje 2004 m. rugsėjo 1 d. įsigaliojo Privatumo apsaugos elektroniniuose ryšiuose įstatymas, kurio tikslas – užtikrinti slaptumą ir privatumo apsaugą elektroniniuose ryšiuose, didinti tinklų ir informacijos saugumą, gerinti elektroninių ryšių paslaugas. Atsižvelgiant į technologinio neutralumo principą, nurodytajame įstatyme Suomijos elektroninių ryšių reguliuotojui (FICORA) numatyta teisė tvirtinti įstatymų lydimuosius teisės aktus pagal atitinkamas tinklų ir informacijos saugumo kategorijas ir paslaugas. Minėtini reikalavimai, kad elektroninio pašto paslaugų teikėjai kovotų su nepageidaujamais elektroninio pašto pranešimais, taip pat reikalavimai, kad informacija apie tinklų ir informacijos saugumo incidentus būtų teikiama tinklų ir informacijos saugumo incidentų tyrimo padaliniui, ir kita.

38. Bendrai apžvelgus užsienio valstybių teisėkūros praktiką tinklų ir informacijos saugumo srityje, galima konstatuoti, kad ji yra fragmentiška, – daugelis užsienio valstybių, ypač Europos Sąjungos valstybių narių, kelia klausimą, jog būtina nacionaliniu lygiu parengti bendrą teisės aktą, reglamentuojantį tinklų ir informacijos saugumą (tokio įstatymo projektą dabar rengia Belgija).

39. Europos Sąjungos teisės aktai numato atitinkamus įpareigojimus keliant tinklų ir informacijos saugumo lygį tiek nacionaliniu, tiek tarptautiniu lygiu:

40. Tinklų ir informacijos saugumo veiklos reguliavimo sistema pagrįsta tam tikrais principais, iš kurių svarbiausieji yra šie:

41. Įstatymas įtvirtins šias reguliavimo naujoves:

42. Įstatymas sudarys sąlygas apsaugoti vartotojus, ūkio subjektus, valstybės ir savivaldybių institucijas ir įstaigas nuo galimų grėsmių, kylančių naudojantis informacinėmis paslaugomis. Įstatymas aiškiai reglamentuos kiekvienos atsakingos institucijos kompetenciją tinklų ir informacijos saugumo srityje, sudarys sąlygas veiksmingai bendradarbiauti, operatyviai ir tiksliai ištirti tinklų ir informacijos saugumo incidentus.

43. Neigiamų numatomo teisinio reguliavimo padarinių nenumatoma.

44. Įstatymą įgyvendinti turėtų būti pavesta Lietuvos Respublikos Vyriausybei, jos įgaliotoms institucijoms (Susisiekimo ministerijai ir Vidaus reikalų ministerijai) ir Ryšių reguliavimo tarnybai. Bus laikomasi Lietuvos Respublikos elektroninių ryšių įstatyme numatytos Ryšių reguliavimo tarnybos finansavimo sistemos. Naujų institucijų steigti neketinama. Įstatymui parengti ir įgyventi papildomų valstybės lėšų nereikės.

45. Įstatymą sudarys šie 7 skirsniai:

Pirmasis skirsnis. Bendrosios nuostatos.

Antrasis skirsnis. Politikos bei strategijos tinklų ir informacijos saugumo srityje formavimo ir šios srities reguliavimo sistema.

Trečiasis skirsnis. Bendrieji tinklų ir informacijos saugumo reikalavimai.

Ketvirtasis skirsnis. Valstybės ir savivaldybių institucijų, kritinių informacinių infrastruktūrų tinklų ir informacijos saugumas.

Penktasis skirsnis. Tinklų ir informacijos saugumo auditas bei techninės ir programinės įrangos saugumo vertinimas.

Šeštasis skirsnis. Informacijos gavimas ir šio Įstatymo laikymosi priežiūra.

Septintasis skirsnis. Baigiamosios nuostatos.

Įstatymo pirmajame skirsnyje bus nustatytas reguliavimo objektas, Įstatymo paskirtis ir taikymas, reguliavimo principai (iš esmės atitinkantys nustatytuosius Lietuvos Respublikos elektroninių ryšių įstatymo 2 straipsnyje) ir tikslai. Pirmajame skirsnyje bus pateiktos šios pagrindinės sąvokos:

Elektroniniai duomenys – faktų, informacijos ar sąvokų pateiktis tokia forma, kuri tinkama tvarkyti informacinėje sistemoje, įskaitant programą, tinkamą tam, kad informacinė sistema atliktų funkciją.

Informacinės visuomenės tarpinės paslaugos – informacinės visuomenės paslaugos, kurias visiškai ar iš dalies sudaro paslaugos gavėjo pateiktos informacijos perdavimas elektroninių ryšių tinklu, galimybės naudotis elektroninių ryšių tinklu suteikimas arba paslaugos gavėjo pateiktos informacijos saugojimas.

Informacinė sistema – įtaisas arba tarpusavyje sujungtų ar susijusių įtaisų grupė, iš kurių vienas arba daugiau pagal programą automatiniu būdu tvarko elektroninius duomenis, taip pat kuriuose saugomi, tvarkomi, iš jų išrenkami arba jais perduodami elektroniniai duomenys siekiant juos tvarkyti, panaudoti, apsaugoti ir prižiūrėti.

Tinklų ir informacijos saugumas – elektroninių ryšių tinklo ar informacinės sistemos pajėgumas pakankamu patikimumo lygiu išlaikyti atsparumą nuo atsitiktinių įvykių ar veiksmų, kurie kelia ar gali sukelti pavojų išsaugotų, tvarkomų, per informacinę sistemą ar elektroninių ryšių tinklu perduodamų elektroninių duomenų ir susijusių siūlomų ar per tą informacinę sistemą arba elektroninių ryšių tinklu gaunamų paslaugų prieinamumui, tapatumui, vientisumui ar slaptumui, taip pat pajėgumas užkirsti kelią perduoti elektroninio pašto pranešimus, siunčiamus tiesioginės rinkodaros tikslu be abonento išankstinio sutikimo.

Kenksminga programinė įranga – programinis kodas (ar jo dalis), skirtas (-a) neteisėtai prisijungti (ar sudaryti sąlygas prisijungti) prie informacinių sistemų ar elektroninių ryšių tinklo, informacinės sistemos ar elektroninių ryšių tinklo veiklai sutrikdyti ar pakeisti (įskaitant valdymo perėmimą), elektroniniams duomenims sunaikinti, sugadinti, pašalinti ar pakeisti, galimybei naudotis elektroniniais duomenimis panaikinti ar apriboti, sąlygoms, kad būtų pasisavinti, paskleisti, paskelbti, platinti ar kitaip panaudoti nevieši elektroniniai duomenys, sudaryti.

Kritinė informacinė infrastruktūra – elektroninių ryšių tinklas, informacinė sistema ar informacinių sistemų grupė, prie kurios neteisėtas prisijungimas ir sąlygų neteisėtai prisijungti sudarymas, kurios neteisėtas sutrikdymas ar pakeitimas, kurioje saugomų, tvarkomų, iš jos išrenkamų arba ja perduodamų elektroninių duomenų sunaikinimas, sugadinimas, pašalinimas ar pakeitimas, panaikinimas arba galimybės naudotis tokiais elektroniniais duomenimis apribojimas turi ar gali turėti įtakos nacionaliniam saugumui, šalies ūkiui ar visuomenės gerovei.

Tinklų ir informacijos saugumo auditas – elektroninių ryšių tinklo ir (ar) informacinės sistemos atitikties privalomiems, taikomiems ir (ar) deklaruojamiems tinklų ir informacijos saugumo reikalavimams įvertinimas ir (ar) elektroninių ryšių tinklo ir (ar) informacinės sistemos tinklų ir informacijos saugumo nustatymas.

Tinklų ir informacijos saugumo incidentas – įvykis, veiksmas ar neveikimas, kurie sukelia ar gali sukelti neteisėtą prisijungimą ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos ar elektroninių ryšių tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) informacinės sistemos ar elektroninių ryšių tinklo veiklą, sunaikinti, sugadinti, pašalinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę naudotis elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskleisti, paskelbti, platinti ar kitaip panaudoti neviešus elektroninius duomenis, siųsti elektroninio pašto pranešimus tiesioginės rinkodaros tikslu be abonento išankstinio sutikimo.

Tinklų ir informacijos saugumo valdymo taisyklės – dokumentų visuma, nustatanti naudojamas technines ir organizacines priemones tinklų ir informacijos saugumui užtikrinti.

Teikėjas – ūkio subjektas, teikiantis viešuosius ryšių tinklus, viešąsias elektroninių ryšių paslaugas ar informacinės visuomenės tarpines paslaugas, teikiamas viešaisiais ryšių tinklais.

Kitos Įstatyme vartojamos sąvokos bus suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme ir kituose teisės aktuose.

Antrajame skirsnyje bus nustatyta tinklų ir informacijos saugumo veiklos reguliavimo institucinė sistema, nurodytos pagrindinės institucijos – Lietuvos Respublikos Vyriausybė, jos įgaliotos institucijos (Susisiekimo ministerija ir Vidaus reikalų ministerija) ir Ryšių reguliavimo tarnyba. Apibrėžiant institucijų sistemą, bus atskirtos politinės ir reguliavimo funkcijos – pirmosios priskiriamos Lietuvos Respublikos Vyriausybei ir jos įgaliotoms institucijoms (Susisiekimo ministerijai ir Vidaus reikalų ministerijai), o rinkos priežiūros reguliavimo funkcijos pavedamos Ryšių reguliavimo tarnybai. Siekiant įtvirtinti aiškią tinklų ir informacijos saugumo administravimo institucinę sistemą, bus nustatytos ir kitų institucijų (Policijos departamento prie Vidaus reikalų ministerijos ir Valstybės saugumo departamento) funkcijos, susijusios su tinklų ir informacijos saugumu, įtvirtintos institucijų ir tarptautinio bendradarbiavimo gairės. Šiame skirsnyje taip pat bus numatyti tinklų ir informacijos saugumo standartizavimo dokumentų taikymo pagrindai.

Trečiajame skirsnyje bus reglamentuoti bendrieji reikalavimai, susiję su tinklų ir informacijos saugumu, apibrėžtos neteisėtos veikos tinklų ir informacijos saugumo srityje, numatytos teikėjų (ūkio subjektai, teikiantys viešuosius tinklus, viešąsias elektroninių ryšių paslaugas ar informacinės visuomenės tarpines paslaugas, teikiamas viešaisiais tinklais) teisės ir pareigos, susijusios su tinklų ir informacijos saugumo užtikrinimu. Bus įtvirtintos tinklų ir informacijos saugumo priežiūros ir stebėjimo nuostatos, reglamentuotas tinklų ir informacijos saugumo incidentų tyrimas. Tuo tikslu Ryšių reguliavimo tarnyba koordinuos tinklų ir informacijos saugumo incidentų tyrimo grupės veiklą, bus numatytos nuostatos dėl savanoriškai taikomų tinklų ir informacijos saugumo reikalavimų ir kita.

Ketvirtajame skirsnyje bus reglamentuotas valstybės ir savivaldybių institucijų, kritinių informacinių infrastruktūrų tinklų ir informacijos saugumo užtikrinimas, šio saugumo kontrolė ir priežiūra. Ketvirtojo skirsnio paskirtis – įstatymiškai reglamentuoti jau gana detaliai apibrėžtą valstybės ir savivaldybių tinklų ir informacijos saugumą, sudaryti sąlygas reglamentuoti kritinių informacinių infrastruktūrų saugumą, valstybės ir savivaldybių institucijų pareigas, galimus saugaus duomenų perdavimo ir viešųjų paslaugų teikimo būdus.

Penktajame skirsnyje bus reglamentuotas tinklų ir informacijos saugumo auditas, tinklų ir informacijos saugumo atestuotų auditorių veiklos principai ir reikalavimai, bus įtvirtintos nuostatos, reglamentuojančios techninės ir programinės įrangos saugumo vertinimą.

Šeštajame skirsnyje bus nustatytos Įstatymo laikymosi priežiūros procedūros ir sąlygos, užtikrinančios jo įgyvendinimą.

Septintajame skirsnyje bus reglamentuotas Įstatymo įsigaliojimas ir įgyvendinimas.

46. Įgyvendinant Įstatymą, turėtų būti pakeisti šie teisės aktai:

Lietuvos Respublikos elektroninių ryšių įstatymas;

Lietuvos Respublikos administracinių teisės pažeidimų kodeksas.

47. Lietuvos Respublikos Vyriausybei ar jos įgaliotoms institucijoms pagal kompetenciją reikės priimti teisės aktų pakeitimus, kad atitinkamos nuostatos būtų suderintos su Įstatymu ir jo įgyvendinimu.

______________