LIETUVOS RESPUBLIKOS KULTŪROS MINISTRAS

 

ĮSAKYMAS

DĖL Kultūrinės edukacijos INFORMACINĖS SISTEMOS nuostatų ir KULTŪRINĖS EDUKACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATų PATVIRTINIMO

 

2022 m. gegužės 16 d. Nr. ĮV-481

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu, 30 straipsniu ir 33 straipsnio 1 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 4 ir 11 punktais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais:

1. Į s t e i g i u Kultūrinės edukacijos informacinę sistemą.

2. T v i r t i n u pridedamus:

2.1. Kultūrinės edukacijos informacinės sistemos nuostatus;

2.2. Kultūrinės edukacijos informacinės sistemos duomenų saugos nuostatus.

3. P a v e d u Kultūrinės edukacijos informacinės sistemos pagrindiniam tvarkytojui:

3.1. paskirti Kultūrinės edukacijos informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;

3.2. ne vėliau nei per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir teisės aktų nustatyta tvarka suderinti bei Lietuvos Respublikos kultūros ministerijai pateikti tvirtinti:

3.2.1. Kultūrinės edukacijos informacinės sistemos naudotojų administravimo taisyklių projektą;

3.2.2. Kultūrinės edukacijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;

3.2.3. Kultūrinės edukacijos informacinės sistemos veiklos tęstinumo valdymo plano projektą.

 

 

 

Kultūros ministras                                                                                                    Simonas Kairys

 

 

SUDERINTA

Lietuvos Respublikos ekonomikos ir inovacijų ministerija

2022-02-09 Nr. (4.6-82Mr)-3-587

 

SUDERINTA

Lietuvos Respublikos švietimo, mokslo ir sporto ministerija

2022-04-12 Nr. SR-1317

 

SUDERINTA

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos

2022-02-15 Nr. (4.1 E) 6K-148

 

SUDERINTA

Nacionalinė švietimo agentūra

2022-02-15 Nr. SD-688(1.6E)

 

SUDERINTA

Valstybinė duomenų apsaugos inspekcija

2022-04-05 Nr. 2R-1513 (3.2.Mr.)

 

 

PATVIRTINTA

Lietuvos Respublikos kultūros ministro

2022 m. gegužės 16 d. įsakymu Nr. ĮV-481

 

KULTŪRINĖS EDUKACIJOS INFORMACINĖS SISTEMOS NUOSTATAI

 

I SKYRIUS

Bendrosios nuostatos

 

1.  Kultūrinės edukacijos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Kultūrinės edukacijos informacinės sistemos (toliau – KEIS) steigimo teisinį pagrindą, tikslus, uždavinius ir pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, bendruosius reikalavimus duomenų saugai ir asmens duomenų tvarkymui, finansavimą, modernizavimą ir likvidavimą.

2.  KEIS steigimo teisinis pagrindas – Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. liepos 13 d. įsakymas Nr. ĮV-572/V-650 „Dėl Kultūros paso koncepcijos patvirtinimo“.

3.  Pagrindiniai teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma KEIS:

3.1. Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. liepos 13 d. įsakymas  Nr. ĮV-572/V-650 „Dėl Kultūros paso koncepcijos patvirtinimo“;

3.2. Lietuvos Respublikos kultūros ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. gruodžio 21 d. įsakymas Nr. ĮV-1000/V-1055 „Dėl Kultūros paso paslaugų atrankos ir finansavimo tvarkos aprašo patvirtinimo“;

3.3. Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

3.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (toliau – Įstatymas);

3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymas;

3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo” (toliau – Aprašas);

3.8. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.9. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

3.10.    Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.11.    Nuostatai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymą.

4Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.

5KEIS naudotojai – Lietuvos mokiniai, besimokantys pagal bendrojo ugdymo (išskyrus suaugusiųjų bendrojo ugdymo) programas, lietuviškų bendrojo ugdymo mokyklų  užsienyje mokiniai, besimokantys pagal užsienio valstybės formaliojo švietimo programas, bei Europos mokyklų mokiniai, besimokantys pagal lietuvių kalbos programas, kurie mokosi mokykloje, vykdančioje pradinio, pagrindinio, vidurinio ugdymo mokymo programas, (toliau – mokiniai) ir pedagogai (toliau kartu – Paslaugų gavėjai), ekspertai, KEIS administratoriai, paslaugų teikėjai.

6.  KEIS funkcijomis siekiama įgyvendinti nustatytus valstybės informacinės sistemos uždavinius. KEIS funkcijos:

6.1.      pildyti, saugoti, teikti, vertinti ir atrinkti (patvirtinti arba atmesti) kultūrinės edukacijos paraiškas;

6.2.      pasirinkti, užsakyti bei vertinti kultūrinės edukacijos paslaugas;

6.3.      pateikti informaciją apie kultūrinių edukacijų veiklą Lietuvoje;

6.4.      kaupti ir pateikti duomenis apie kultūrinės edukacijos paslaugų teikimą;

6.5.      vykdyti saugią ir patogią kultūrinių edukacijų apskaitą;

7.  KEIS tikslas – naudojant informacinių technologijų priemones administruoti kultūrinės edukacijos programas ir priemones, kurios ugdo mokinių kultūros pažinimo įpročius ir plečia kultūros patirtį.

8.  KEIS naudotojų asmens duomenų tvarkymo tikslas – informacinės sistemos valdymas, vertinimas (statistika bei būsimi statistikos tyrimai) ir administravimas užtikrinant visiems Lietuvos mokiniams skiriamų lėšų paskirstymą, mokinių ir kultūrinių edukacijų teikėjų identifikavimą.

9.  KEIS uždaviniai:

9.1.      užtikrinti kokybišką kultūrinės edukacijos paraiškų teikimą ir administracinę atranką;

9.2.      užtikrinti paraiškų ekspertinio vertinimo sklandų veikimą ir paslaugų kokybišką atranką;

9.3.      užtikrinti mokykloms ir mokiniams bei jų atstovams kokybiškų kultūrinės edukacijos paslaugų pasirinkimą ir jų vertinimą;

9.4.      užtikrinti saugią ir patogią kultūrinių edukacijų apskaitą;

9.5.      skatinti mokinių dalyvavimą kultūrinės edukacijos paslaugose;

9.6.      sudaryti sąlygas 9–12 klasių mokiniams individualiai gauti kultūrinės edukacijos paslaugas;

9.7.      centralizuotai pateikti informaciją apie kultūrinių edukacijų veiklą Lietuvoje;

9.8.      kaupti ir pateikti realiu laiku duomenis apie kultūrinės edukacijos paslaugų teikimą.

 

II SKYRIUS

Informacinės sistemos organizacinė struktūra

 

10.       KEIS valdytojas ir asmens duomenų valdytojas – Lietuvos Respublikos kultūros ministerija (toliau – valdytojas).

11.       KEIS tvarkytojas ir asmens duomenų tvarkytojas – Lietuvos nacionalinė Martyno Mažvydo biblioteka (toliau – tvarkytojas). KEIS valdytojas ir KEIS tvarkytojai turi Įstatymo nustatytas teises ir pareigas, atlieka šio Įstatymo 34 straipsnyje nustatytas funkcijas.

12.       KEIS asmens duomenų valdytojas turi teises ir pareigas, nustatytas Reglamente (ES) 2016/679.

13.       KEIS tvarkytojas

13.1.    tvarko KEIS duomenis (tarp jų – ir asmens duomenis) KEIS valdytojo nustatyta tvarka;

13.2.    užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

13.3.    imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – techninėmis ir organizacinėmis priemonėmis užtikrina KEIS saugą, KEIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

13.4.    atsižvelgdami į KEIS duomenų tvarkymo pobūdį, padeda KEIS asmens duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinti KEIS asmens duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;

13.5.    Nuostatų nustatyta tvarka padeda KEIS asmens duomenų valdytojui užtikrinti Reglamento (ES)2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į asmens duomenų tvarkymo pobūdį ir KEIS asmens duomenų tvarkytojo turimą informaciją;

13.6.    baigus teikti su asmens duomenų tvarkymu susijusias paslaugas, ištrina visus asmens duomenis, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti;

13.7.    pateikia KEIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES)2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda KEIS asmens duomenų valdytojui arba kitam KEIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja KEIS asmens duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES)2016/679 ar kitas duomenų apsaugos nuostatas;

13.8.    KEIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, ne vėliau kaip per 24 valandas informuoja KEIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu pateikia pranešimą pagal Reglamento (ES)2016/679 33 straipsnio 3 dalies reikalavimus. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis asmens duomenų valdytojo nustatyta pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarka.

14.       KEIS duomenų teikėjai:

14.1.    Lietuvos Respublikos švietimo, mokslo ir sporto ministerija – Mokinių registras (Registrų ir informacinių sistemų registro (toliau - RISR) kodas 7543) ir pagal jį sukurta aktyvių katalogų sistema (AD); Informacinės visuomenės plėtros komitetas – Valstybės informacinių išteklių sąveikumo platforma VIISP (RISR kodas 8007);

14.2.    KEIS paslaugų teikėjai (toliau – Paslaugų teikėjai), teikiantys kultūrinės edukacijos paslaugas ir patvirtinus kitus duomenis, reikalingus paslaugų teikimui ir atsiskaitymui už paslaugas.

15.       KEIS paslaugų gavėjai turi teisę peržiūrėti teikimas paslaugas bei užsisakyti pageidaujamą paslaugą, taip pat turi teisę reitinguoti paslaugas, kurios naudotojui buvo suteiktos.

16.       KEIS naudotojai turi teisę gauti informaciją apie duomenų tvarkymą, susipažinti su duomenimis, reikalauti ištaisyti duomenis, reikalauti ištrinti duomenis ir „būti pamirštam“, taip pat turi teisę nesutikti su duomenų tvarkymu, apriboti duomenų tvarkymą.

17.       KEIS naudotojai privalo teikti teisingus, ir aktualius duomenis; neperduoti teisės jungtis prie KEIS tretiesiems asmenims; teikiamą informaciją ir duomenis naudoti tik teisėtais tikslais.

 

III SKYRIUS

Informacinės sistemos informacinė struktūra

 

18.       KEIS veikia blokų grandinių ir centralizuotų duomenų bazių technologijomis, centralizuotoje duomenų bazėje kaupiami šie duomenys:

18.1.    Paslaugų gavėjų (mokinių ir pedagogų) duomenys:

18.1.1.   vardas (vardai), pavardė (pavardės);

18.1.2.   gimimo data;

18.1.3.   mokyklos, kurioje mokosi pagal bendrojo ugdymo programą, klasė, klasės pavadinimas, tipas, paskirtis, mokymo pamaina, padalinio pavadinimas (jeigu tai padalinio klasė), jungtinės klasės požymis;

18.1.4.   suteikiamas automatiškai generuojamas Mokinių registro identifikavimo kodas;

18.1.5.   asmens kodas;

18.1.6.   lytis;

18.1.7.   gyvenamoji vieta (adresas), atvykimo į gyvenamąją vietą data; jeigu asmuo išvyksta gyventi į užsienį, – išvykimo vieta (valstybė) ir išvykimo data; jeigu asmuo nuolat gyvena užsienyje, – valstybė; jeigu asmuo neturi gyvenamosios vietos ir yra įtrauktas į gyvenamosios vietos neturinčių asmenų apskaitą, – savivaldybė, kurioje gyvena;

18.1.8.   faktinės gyvenamosios vietos adresas;

18.1.9.   prisijungimo prie emokykla.lt aktyvaus katalogo prisijungimo vardas;

18.1.10. virtualios piniginės adresas;

18.1.11. mokyklų pedagogų, vardas (vardai), pavardė (pavardės);

18.1.12. pedagogų atstovaujamos mokyklos pavadinimas;

18.1.13. pedagogų prisijungimo prie emokykla.lt aktyvaus katalogo prisijungimo vardas;

18.2.    Paslaugų teikėjų duomenys:

18.2.1.   juridinio paslaugų teikėjo pavadinimas

18.2.2.   fizinio asmens – paslaugų teikėjo vardas, pavardė;

18.2.3.   teisinis statusas / individualios veiklos pažymos numeris ir išdavimo data;

18.2.4.   juridinio asmens kodas;

18.2.5.   Jei paslaugas teikia fizinis asmuo - jo asmens kodas;

18.2.6.   buveinės adresas / adresas;

18.2.7.   telefono numeris;

18.2.8.   el. pašto adresas;

18.2.9.   internetinės svetainės adresas;

18.2.10. Paslaugos pavadinimas;

18.2.11. Paslaugos tipas;

18.2.12. Paslaugos kultūros ir meno sritis ar žanras;

18.2.13. Paslaugos vykdymo terminas;

18.2.14. Paslaugos teikimo vieta;

18.2.15. Virtualios piniginės adresas;

18.2.16. Kita informacija, susijusi su paslaugos vykdymu, ir specialios sąlygos paslaugos teikimui.

18.3.    Ekspertų, vertinančių paraiškas, duomenys:

18.3.1.   eksperto vardas ir pavardė;

18.3.2.   eksperto el. pašto adresas;

18.3.3.   eksperto telefono numeris;

18.3.4.   eksperto atstovaujama sritis ir ekspertinės kompetencijos, pagal kurias būtų parenkamos vertinamos paraiškos;

18.3.5.   eksperto atstovaujama institucija.

18.4.      KEIS administratorių paskyrų duomenys:

18.4.1.   vardas ir pavardė;

18.4.2.   atstovaujama institucija;

18.4.3.   el. pašto adresas;

18.4.4.   telefono numeris.

 

IV SKYRIUS

Valstybės informacinės sistemos funkcinė struktūra

 

19.       KEIS funkcinę struktūrą sudaro:

19.1.    Kultūrinės edukacijos paslaugų išorinis portalas (platforma), kurio funkcijos – pateikti viešai publikuojamą paslaugų informaciją (apie patvirtintas paraiškas, paslaugų teikimo tvarką, sistemos naujienas ir atnaujinimus);

19.2.    Autentifikacijos modulis, kuris autentifikuos sistemos naudotojus. Paslaugų gavėjai – mokinių ir mokyklų koordinatorių autentifikacija bus vykdoma naudojantis emokykla.lt aktyvių katalogų tarnybos paslaugomis, paraiškų teikėjų autentifikacija bus vykdoma naudojant Valstybės informacinių išteklių sąveikumo platforma (VIISP);

19.3.    Paraiškų teikimo modulis – elektroninių paraiškų dėl kultūrinių edukacijų paslaugų teikimo ir su paslaugomis susijusių pakeitimų prašymų teikimas ir kaupimas;

19.4.    Paraiškų vertinimo modulis – galimų kultūrinės edukacijos paslaugų teikėjų pateiktų paraiškų konkursui vertinimas ir tikslinimas, priskiriant ekspertus automatizuotu būdu;

19.5.    Paslaugų užsakymo ir apskaitos modulis – blokų grandinė, kurios tikslas vykdyti paslaugų užsakymo apskaitą, priskirti kiekvienam mokiniui, mokyklai, patvirtintam paslaugų teikėjui virtualias pinigines ir vykdyti transakcijas virtualiam atsiskaitymui už suteiktas paslaugas;

19.6.    Paslaugų vertinimo modulis – galimybė kultūrinės edukacijos paslaugų naudotojui palikti atsiliepimą/ įvertinimą apie suteiktas teikėjo paslaugas;

19.7.    Analitikos ir statistikos modulis – rinkti, stebėti duomenis apie paslaugų naudojimą, paslaugų teikimą. Analizuoti paslaugų užsakymo tendencijas. Tvarkyti rodiklių sąrašus ir rodiklių parametrus;

19.8.    Administravimo modulis – informacijos publikavimui, bendram turinio valdymui, sistemoje atliktų veiksmų saugojimo ir tvarkymui skirtos funkcijos;

19.9.    Sąskaitų pateikimo modulis – sąskaitų teikimui skirtas funkcionalumas naudojantis integracines sąsajas su esaskaita.eu sistema.

 

V SKYRIUS

Informacinės sistemos duomenų teikimas ir naudojimas

 

20.       KEIS kaupiami duomenys, išskyrus asmens duomenis bei duomenis, kuriuos paslaugų gavėjas nurodė kaip konfidencialius, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims  Įstatymo, kitų duomenų teikimą reglamentuojančių teisės aktų ir duomenų teikimo sutarčių nustatyta tvarka ir sąlygomis.

21.       KEIS kaupiami asmens duomenys teikiami vadovaujantis Asmens duomenų teisinės apsaugos įstatymu, Reglamentu (ES)2016/679, kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą ir gavimą.

22.       Duomenų gavėjo prašymu kaupiami duomenys teikiami raštu, žodžiu ir (ar) elektroninių ryšių priemonėmis.

23.       Duomenys teikiami pagal sutartis (daugkartiniu duomenų teikimo atveju) tarp duomenų gavėjo ir duomenų tvarkytojo ir pagal prašymą (vienkartiniu duomenų teikimo atveju). Kai KEIS duomenys teikiami pagal KEIS duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomų duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai KEIS duomenys teikiami KEIS duomenų gavėjui pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teikiamų duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, sąlygos, duomenų teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

24.       KEIS duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kokie jau naudojami KEIS ir kuriems nereikia papildomo apdorojimo. Įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka KEIS duomenys gali būti pateikiami duomenų gavėjo prašomos formato ir turinio.

25.       Duomenys duomenų gavėjams teikiami neatlygintinai.

26.       Duomenys ir asmens duomenys nebus perduodami į trečiąją valstybę.

27.       KEIS tvarkytojo, pagrindinio tvarkytojo sprendimai atsisakyti teikti KEIS duomenis gali būti skundžiami KEIS valdytojui. KEIS valdytojo veiksmai (neveikimas) gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.

28.       Visi duomenys aprašyti Nuostatų 18.2 papunktyje, išskyrus 18.2.5, yra viešai skelbiami suteikiant galimybes juos peržiūrėti, taip pat statistiniai duomenys. Visi skelbiami duomenys atnaujinami realiu laiku.

29.       Duomenų gavėjai negali naudoti KEIS kaupiamų duomenų kitam tikslui, negu nustatyta duomenų teikimo sutartyje arba nurodyta duomenų gavėjo prašyme.

30.       Asmens duomenų gavėjai privalo saugoti gautų asmens duomenų paslaptį ir laikytis kitų su asmens duomenų naudojimu susijusių Asmens duomenų teisinės apsaugos įstatymo ir Reglamento (ES)2016/679 reikalavimų.

31.       KEIS kaupiami duomenys Europos Sąjungos valstybių narių ir (ar) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Įstatymo nustatyta tvarka.

32.       Duomenų gavėjas, duomenų subjektas, registro ar kitos informacinės sistemos tvarkytojas, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Fizinis ar juridinis asmuo, pastebėjęs netikslius duomenis, raštu kreipiasi į KEIS tvarkytoją. Per 20 darbo dienų KEIS tvarkytojas išnagrinėja gautą kreipimąsi, privalo tokius duomenis patikrinti. Jei tvarkytojas nustato, kad prašymas, pateiktas elektroninių ryšių priemonėmis, patvirtinančiomis besikreipiančiojo tapatybę, arba rašytinis kreipimasis, pateikiant asmens tapatybę patvirtinantį dokumentą, pagrįstas, jis turi imtis veiksmų dėl netikslių duomenų ištaisymo ir (ar) tokių duomenų tvarkymo veiksmų sustabdymo ir nedelsiant elektroninių ryšių priemonėmis arba raštu informuoti apie tokį faktą šių duomenų gavėjus. Apie netikslių duomenų ištaisymą KEIS tvarkytojas raštu arba elektroniniu paštu informuoja asmenį, pranešusį apie netikslius duomenis.

 

VI SKYRIUS

Valstybės informacinės sistemos duomenų sauga

 

33.       KEIS duomenų saugą reglamentuoja KEIS valdytojo tvirtinami KEIS duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Vyriausybės nustatyta tvarka. Siekiant užtikrinti KEIS duomenų saugą, vadovaujamasi:

33.1.    Reglamentu (ES) 2016/679;

33.2.    Kibernetinio saugumo įstatymu;

33.3.    Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

33.4.    Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

34.       Už KEIS duomenų saugą atsako KEIS valdytojas ir KEIS tvarkytojas teisės aktų nustatyta tvarka.

35.       Asmens duomenų saugumas užtikrinamas vadovaujantis  Reglamentu (ES) 2016/679.

36.       Duomenys, taip pat ir asmens duomenys KEIS saugomi 12 metų (arba Mokinių registro nuostatuose aprašyta tvarka). Pasibaigus KEIS duomenų saugojimo laikui, KEIS duomenys yra sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka. 

37.       Asmenys, kurie tvarko asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

 

VII SKYRIUS

Valstybės informacinės sistemos finansavimas

 

38.       KEIS kūrimas ir plėtra finansuojami Lietuvos Respublikos valstybės biudžeto, įskaitant Europos Sąjungos fondus, lėšomis. KEIS eksploatacija ir palaikymas finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis.

 

VIII SKYRIUS

Valstybės informacinės sistemos modernizavimas ir likvidavimas

 

39.       KEIS modernizuojama arba likviduojama Įstatymo ir Aprašo nustatyta tvarka.

40.       Likviduojamos KEIS duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

 

IX SKYRIUS

Baigiamosios nuostatos

 

41.       Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias KEIS veiklą, atsako įstatymų nustatyta tvarka.

42.       Duomenų subjekto teisių, susijusių su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais savo asmens duomenimis ir reikalavimu ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato KEIS valdytojas. 

_________________

 

 

PATVIRTINTA

Lietuvos Respublikos kultūros ministro

2022 m. gegužės 16 d. įsakymu Nr. ĮV-481

 

KULTŪRINĖS EDUKACIJOS informacinės sistemos duomenų saugos nuostatai

 

 

I SKYRIUS

Bendrosios nuostatos

 

1Kultūrinės edukacijos informacinės sistemos (toliau – KEIS, IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja IS elektroninės informacijos ir kibernetinės saugos politiką.

 

2.  Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1. KEIS tvarkytojas– juridinis asmuo, paskirtas Lietuvos kultūros ministerijos įsakymu užtikrinti reikiamą IS  funkcionavimą

2.2. KEIS naudotojai – KEIS valdytojo arba KEIS duomenų teikėjo darbuotojas, tvarkantis KEIS elektroninę informaciją;

2.3. KEIS administratorius – KEIS valdytojo arba tvarkytojo darbuotojas, prižiūrintis IS ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą, elektroninės informacijos saugą;

2.4. KEIS saugos įgaliotinis – KEIS valdytojo arba tvarkytojo darbuotojas koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą bei atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą (kibernetinio saugumo vadovas);

2.5. KEIS duomenų teikėjai – institucijos, duomenis teikiančios iš valstybės informacinių sistemų;

2.6. KEIS aptarnavimo paslaugų teikėjas – fizinis ar juridinis asmuo, kuriam pagal sutartį suteiktos KEIS, jos komponentų bei infrastruktūros techninės priežiūros bei garantinio ir (ar) po garantinio aptarnavimo teisės.

2.7. KEIS paslaugų gavėjai – visi fiziniai asmenys ir juridinių asmenų atstovai besinaudojantys IS.

2.8. Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau - Bendrasis duomenų apsaugos reglamentas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje patvirtintuose Lietuvos Respublikos  krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Lietuvos Respublikos Vyriausybės 2018 metų gruodžio 5 d. nutarime Nr.1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, kituose teisės aktuose, Lietuvos standartuose LST ISO/IEC 27002 ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai“.

 

3.  KEIS elektroninės informacijos saugos tikslas – užtikrinti KEIS elektroninės informacijos prieinamumą, vientisumą ir konfidencialumą bei tinkamą KEIS infrastruktūros funkcionavimą.

 

4.  KEIS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų KEIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

4.2. elektroninės informacijos saugos priemonių parinkimas projektavimo ir diegimo metu;

4.3. KEIS elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.4. KEIS veiklos tęstinumo užtikrinimas;

4.5. asmens duomenų apsauga;

4.6. KEIS naudotojų mokymas.

 

5.  Saugos nuostatai taikomi:

5.1. KEIS valdytojui – Lietuvos Respublikos kultūros ministerija, Jono Basanavičiaus g. 5, LT-01118 Vilnius;

5.2. KEIS tvarkytojui  – Lietuvos nacionalinė Martyno Mažvydo biblioteka, Gedimino pr. 51, LT-01109 Vilnius;

5.3. KEIS duomenų teikėjams – Lietuvos Respublikos švietimo, mokslo ir sporto ministerija, A. Volano g. 2, Vilnius; Nacionalinė švietimo agentūra, K. Kalinausko g. 7, Vilnius; Lietuvos mokinių neformaliojo švietimo centras, Žirmūnų g. 1B, LT-09101 Vilnius;

5.4. KEIS naudotojams, KEIS administratoriui (-iams), KEIS saugos įgaliotiniui, KEIS aptarnavimo paslaugų teikėjams;

 

6.  KEIS valdytojo funkcijos ir atsakomybė:

6.1. organizuoti ir koordinuoti KEIS veiklą ir jai vadovauti;

6.2. atsakyti už saugos politikos formavimą ir įgyvenimo organizavimą, finansavimą bei priežiūrą;

6.3. atlikti saugos reikalavimų laikymosi priežiūrą;

6.4. rengti, priimti ir tvirtinti dokumentus, susijusius su KEIS elektroninės informacijos sauga;

6.5. teisės aktu, kuriuo tvirtinami Saugos nuostatai skirti KEIS saugos įgaliotinį arba pavesti jį paskirti KEIS tvarkytojui;

6.6. atsakyti už informacijos tvarkymo KEIS teisėtumą;

6.7. vykdyti kitas teisės aktuose nustatytas funkcijas.

 

7.  KEIS tvarkytojo funkcijos ir atsakomybė:

7.1. užtikrinti nepertraukiamą KEIS veikimą;

7.2. užtikrinti reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka, priimti sprendimą dėl KEIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

7.3. nustatyti keliamus reikalavimus KEIS administratoriui (-ams), skirti jį (-uos) ir pavesti jam (-iems) užtikrinti tinkamą KEIS ir jos infrastruktūros veikimą;

 

8.  KEIS duomenų teikėjų funkcijos ir atsakomybė:

8.1. organizuoti KEIS duomenų teikimo veiklą, atsižvelgiant į šiuos Saugos nuostatus bei kitus saugų elektroninės informacijos tvarkymą reglamentuojančius dokumentus, nurodytus šių Saugos nuostatų 11punktu;

8.2. rengti ir tvirtinti organizacines elektroninės informacijos saugos kontrolės priemones ir užtikrinti jų laikymąsi;

8.3. atsakyti savo tvarkymo srityje už elektroninės informacijos saugą;

8.4. atlikti kitas teisės aktuose nustatytas funkcijas ir KEIS tvarkytojo pavedimus.

 

9.  KEIS informacijos saugos įgaliotinio funkcijos, atsakomybės ir įgaliojimai:

9.1. teikti jį skyrusios organizacijos vadovui siūlymus dėl:

9.1.1. KEIS administratoriaus (-ių) paskyrimo ir reikalavimų jam (jiems) nustatymo;

9.1.2. KEIS informacinių technologijų saugos atitikties ir rizikos vertinimo atlikimo;

9.1.3. KEIS saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

9.2. koordinuoti elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą ir esant reikalui šiuo klausimu bendradarbiauti su kompetentingomis institucijomis;

9.3. teikti KEIS administratoriui (-iams) ir KEIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

9.4. duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems KEIS valdytojo ar tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

9.5. kiekvienais metais organizuoti KEIS rizikos įvertinimą ir rengti apibendrintą KEIS rizikos vertinimo ataskaitą;

9.6. ne rečiau kaip kartą per metus organizuoti KEIS informacinių technologijų saugos reikalavimų atitikties vertinimą;

9.7. periodiškai organizuoti KEIS naudotojų ir administratorių mokymus elektroninės informacijos saugos klausimais, reguliariai įvairiais būdais informuoti juos apie elektroninės informacijos saugos problemas;

9.8. atlikti kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus KEIS valdytojo ar tvarkytojo vadovo nurodymus, susijusius su KEIS elektroninės informacijos sauga.

 

10.     KEIS administratoriaus (-ių) funkcijos ir atsakomybės:

10.1.  atsako už KEIS funkcionavimą užtikrinančios techninės ir programinės įrangos darbo užtikrinimą, prieigos prie KEIS infrastruktūros išteklių teisių nustatymą;

10.2.  pagal kompetenciją rengti pasiūlymus dėl KEIS priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

10.3.  registruoti elektroninės informacijos saugos incidentus, informuoti apie juos KEIS saugos įgaliotinį ir teikti pasiūlymus dėl minėtų incidentų pašalinimo;

10.4.  reguliariai (ne rečiau kaip kartą per metus ir (arba) po IS pokyčio) tikrinti (peržiūrėti) KEIS įrangos sąranką ir jos būsenos rodiklius;

10.5atliekant KEIS sąrankos pakeitimus, laikytis KEIS valdytojo nustatytos IS pokyčių valdymo tvarkos, nustatytos KEIS valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse;

10.6vykdyti KEIS saugos įgaliotinio nurodymus KEIS saugos politikos įgyvendinimo klausimais ir atsiskaityti jam už pavestą duomenų saugos politikos įgyvendinimo organizavimą ir saugos priemonių įgyvendinimą;

10.7vykdyti kitas KEIS valdytojo ar tvarkytojo vadovo jam pavestas funkcijas.

 

11.     Teisės aktai, kuriais vadovaujantis tvarkoma KEIS elektroninė informacija ir užtikrinamas jos saugumas:

11.1.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas ;

11.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

11.3Bendrasis duomenų apsaugos reglamentas;

11.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr.716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

11.5.  Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.6.  Lietuvos Respublikos Vyriausybės 2018 metų gruodžio 5 d. nutarimas Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“;

11.7.  Lietuvos standartai LST EN ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST EN ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, apibūdinantys informacijos saugos valdymą ir saugų duomenų tvarkymą;

11.8.  KEIS saugaus elektroninės informacijos tvarkymo taisyklės, KEIS naudotojų administravimo taisyklės, KEIS veiklos tęstinumo planas.

11.9.  kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

 

II SKYRIUS

Elektroninės informacijos saugos valdymas

 

 

 

12.     KEIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos elektroninės informacijos kategorijai vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo (toliau – Klasifikavimo gairių aprašo) 9.1 ir 9.3 papunkčiuose nustatytais kriterijais.

 

13.     Atsižvelgiant į KEIS tvarkomos elektroninės informacijos svarbos kategoriją ir vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, IS priskiriama trečiai informacinės sistemos kategorijai.

 

14.     KEIS saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos parengta metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, ne rečiau kaip kartą per  metus organizuoja KEIS rizikos įvertinimą. Prireikus KEIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. KEIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika. Kartu su pagrindiniu KEIS rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos KEIS kibernetiniam saugumui, vertinimas. KEIS valdytojo rašytiniu pavedimu KEIS rizikos įvertinimą gali atlikti ir pats KEIS saugos įgaliotinis.

 

15.     KEIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

15.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

15.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis KEIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

15.3.  nenugalima jėga (force majeure).

 

16.     KEIS valdytojo ar tvarkytojo vadovas, atsižvelgdamas į KEIS rizikos įvertinimo ataskaitą, prireikus tvirtina KEIS saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

 

17.     Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas KEIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, pavirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka (toliau – Stebėsenos sistema).

 

18.     Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, KEIS saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja KEIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

18.1.  įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai IS duomenų saugos situacijai;

18.2.  inventorizuojama KEIS valdytojo kompiuterinė, techninė ir programinė įranga;

18.3.  tikrinama KEIS tarnybinėse stotyse įdiegta programinė įranga ir jos sąranka (konfigūracija);

18.4.  peržiūrima KEIS naudotojams suteiktų teisių ir atliekamų funkcijų atitiktis, prireikus KEIS naudotojų teisės praplečiamos arba apribojamos;

18.5.  tikrinamos KEIS paslaugų gavėjams suteiktos teisės;

18.6.  įvertinamas pasirengimas užtikrinti KEIS veiklos tęstinumą, įvykus KEIS duomenų saugos incidentui.

 

19.     Remdamasis atlikto KEIS informacinių technologijų saugos atitikties vertinimo rezultatais, KEIS saugos įgaliotinis parengia ir  KEIS valdytojo  vadovui pateikia KEIS saugos atitikties vertinimo ataskaitą. Kartu KEIS valdytojo vadovui pateikiamas tvirtinti pastebėtų trūkumų šalinimo planas, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

 

20.     KEIS saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas KEIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Stebėsenos sistemai.

 

21.     Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos, kad būtų užtikrintas IS veiklos tęstinumas, patiriant kuo mažiau finansinių išlaidų, ir garantuojamas saugus KEIS naudotojų darbas.

 

III SKYRIUS

Organizaciniai ir techniniai reikalavimai

 

 

 

22.     Programinės įrangos, skirtos apsaugoti KEIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:

22.1.  tarnybinėse stotyse ir kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios:

22.1.1. nuolat ieško ir blokuoja kenksmingą programinę įrangą (virusus, trojanus, šnipinėjimo programinę įrangą ir kt.);

22.1.2. kenksmingos programinės įrangos charakteringos žymos ir paieškos variklis reguliariai atnaujinamas kas 8 val. automatiniu būdu arba inicijavus administratoriui, iš centrinės valdymo sistemos;

22.2.  tarnybinės stotys ir kompiuterizuotos darbo vietos negali būti eksploatuojamos be kenksmingos programinės įrangos aptikimo priemonių, nebent KEIS rizikos vertinimo metu nustatyta, kad esama rizika priimtina.

 

23.     KEIS kompiuterinis tinklas turi būti atskirtas srauto filtravimo įranga (ugniasienė, web turinio ugniasienė).

 

24.     KEIS elektroninės informacijos perdavimui naudojamas (-i) saugūs šifruoti kanalai.

 

25.     Prieiga prie vidinio tinklo nuotolinio administravimo ir/ar priežiūros darbams organizuojama VPN („virtual private network“) ar kito saugaus ryšio tunelio pagalba.

 

26.     IS interneto svetainė (-s) privalo būti sukonfigūruota laikantis gerų saugumo praktikų reikalavimų, neleisti išsaugoti slaptažodžius bei jų nesaugoti programiniame kode, tikrinti gaunamus duomenis, ryšys su vartotojais privalo būti organizuojamas saugiu šifruotu kanalu, pačiame svetainės serveryje naudojant patikimos sertifikavimo tarnybos išduotus sertifikatus su bent 2048 bitų raktu, ryšio sesijų duomenys turi būti sunaikinus iškart po sesijos pabaigos, leidžiami tik reikalingi HTTP metodai, naršymas aplankuose draudžiamas, visi veiksmai joje ir įvykiai turi būti audituojami ir kontroliuojami.

 

27.     IS elektroninės informacijos atsarginės kopijos daromos automatiškai. Periodiškai atliekama atsarginių kopijų tinkamumo ir saugojimo kontrolė. Elektroninės informacijos kopijos turi būti šifruotos ir saugomos kitoje patalpoje nei IS tarnybinės stotys.

28.     KEIS naudotojams leidžiama naudotis tik valdytojo (tvarkytojo) kontroliuojamais nešiojamais kompiuteriais ir kitais mobiliaisiais įrenginiais. atitinkančiais valdytojo nustatytus saugumo reikalavimus. kompiuterinės laikmenos turi būti apsaugotos.

 

IV SKYRIUS

Reikalavimai personalui

 

 

 

29.     KEIS saugos įgaliotinis privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, išmanyti elektroninės informacijos saugos principus, elektroninės informacijos saugos užtikrinimo metodus, savo darbe vadovautis saugos reikalavimais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais ir standartais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, sugebėti užtikrinti efektyvų saugos politikos įgyvendinimą.

 

30.     KEIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

 

31.     KEIS administratoriai privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, *nix, SQL, blokų grandinių) administravimo ir priežiūros patirties.

 

32.     KEIS naudotojai privalo turėti atitinkamą kvalifikaciją, būti apmokyti dirbti su KEIS programine įranga, supažindinti saugaus darbo su duomenimis principais, turėti patirties dirbant su Windows  operacinės sistemos taikomosiomis programomis, būti pasirašę pasižadėjimą saugoti asmens duomenų ir kitą KEIS elektroninę informacijos paslaptį.

 

V SKYRIUS

Informacinės sistemos naudotojų supažindinimo su saugos dokumentais principai

 

 

 

33.     Tvarkyti KEIS elektroninę informaciją gali tik KEIS naudotojai, susipažinę su Saugos nuostatais, KEIS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymą ir saugą, bei atsakomybe už saugos dokumentų nuostatų pažeidimus, ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.

 

34.     Už KEIS naudotojų supažindinimą su šiais Saugos nuostatais ir KEIS saugos politiką įgyvendinančiais dokumentais yra atsakingas KEIS saugos įgaliotinis.

 

35.     KEIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu būdu, teminių seminarų rengimas ir pan.). Už saugumo problemų priminimą, mokymų organizavimą atsako KEIS saugos įgaliotinis.

 

VI SKYRIUS

Baigiamosios nuostatos

 

 

 

36.       Saugos nuostatai turi būti peržiūrimi ne rečiau kaip kartą per metus, taip pat atlikus KEIS rizikos ir (ar) saugos atitikties vertinimą, IS valdytojo institucijoje įvykus esminiams organizaciniams, sisteminiams ar kitokiems pokyčiams.

 

37.       KEIS administratoriai, KEIS saugos įgaliotinis, KEIS naudotojai, KEIS duomenų teikėjai, KEIS aptarnavimo paslaugų teikėjai pažeidę KEIS elektroninės informacijos saugą reglamentuojančių dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

 

__________