Suvestinė redakcija nuo 2021-05-11 iki 2021-12-23

 

Įsakymas paskelbtas: TAR 2020-01-28, i. k. 2020-01939

 

 

LIETUVOS RESPUBLIKOS

SOCIALINĖS APSAUGOS IR DARBO MINISTRAS

 

ĮSAKYMAS

DĖL EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NUOSTATŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

 

2020 m. sausio 28 d. Nr. A1-71

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsniu, 33 straipsnio 1 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1. T v i r t i n u  pridedamus:

1.1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatus;

1.2. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatus;

1.3. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.4. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisykles;

1.5. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planą.

2. S k i r i u  Nerijų Keršį Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos vyriausiąjį patarėją informacinių sistemų plėtros klausimais – Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugos įgaliotiniu.

Punkto pakeitimai:

Nr. A1-538, 2020-06-12, paskelbta TAR 2020-06-12, i. k. 2020-12922

Nr. A1-366, 2021-05-10, paskelbta TAR 2021-05-10, i. k. 2021-10370

 

3. P a v e d u  šio įsakymo vykdymo kontrolę viceministrui pagal veiklos sritį. 

 

 

 

Socialinės apsaugos ir darbo ministras                                                                   Linas Kukuraitis

 


 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos ir darbo ministro

2020 m. sausio 28 d.  įsakymu Nr. A1-71

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) steigimo teisinį pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, jos finansavimą, modernizavimą ir likvidavimą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus.

2. EPLSAFIS steigimo teisinis pagrindas:

2.1. 2014 m. kovo 11 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo (toliau – Reglamentas Nr. 223/2014) 32 straipsnio 2 dalies d punktas;

2.2. 2014 m. kovo 13 d. Komisijos deleguotojo reglamento (ES) Nr. 532/2014, kuriuo papildomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo (toliau – Reglamentas Nr. 532/2014), 2 straipsnio 1 dalis ir 1 priedas;

2.3. 2015 m. vasario 11 d. Komisijos įgyvendinimo reglamento (ES) 2015/212, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 nuostatų dėl kiekvieno veiksmo duomenų, kurie reikalingi stebėsenai, vertinimui, finansų valdymui, tikrinimui ir auditui, įskaitant duomenis apie atskirus veiksmų, kurie bendrai finansuojami pagal VP II, dalyvius, įrašymo ir saugojimo sistemos techninių specifikacijų taikymo taisyklės (toliau – Reglamentas     Nr. 2015/212), 1 straipsnis;

2.4. Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių, patvirtintų Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. rugpjūčio 27 d. įsakymu Nr. A1-426 „Dėl Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių patvirtinimo“ (toliau – Atsakomybės ir funkcijų pasiskirstymo taisyklės), 2.1 ir 3.7.2 papunkčiai.

Punkto pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

3. EPLSAFIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:

3.1. Reglamentu Nr. 223/2014, Reglamentu Nr. 532/2014 ir Reglamentu Nr. 2015/212;

3.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas);

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

3.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Išteklių valdymo įstatymas);

3.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.5. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.6. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;

3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

3.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);

3.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.10. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.11. Atsakomybės ir funkcijų pasiskirstymo taisyklėmis;

3.12. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. gegužės 16 d. įsakymu Nr. A1-268 „Dėl dokumentų, skirtų Europos pagalbos labiausiai skurstantiems asmenims fondo tikslinės grupės asmenų, maisto produktų ir (ar) būtinojo asmeninio vartojimo prekių apskaitai užtikrinti, formų patvirtinimo“;

3.13. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. vasario 17 d. įsakymu Nr. A1-77 „Dėl Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklių patvirtinimo“;

3.14. Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gegužės 22 d. įsakymu Nr. A1-288 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklių patvirtinimo“;

3.15. Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. liepos 13 d. įsakymu Nr. A1-424 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklių patvirtinimo“;

3.16. Europos pagalbos labiausiai skurstantiems asmenims fondo grąžintinų ir grąžintų lėšų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gruodžio 17 d. įsakymu Nr. A1-760 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų grąžintinų ir grąžintų lėšų administravimo taisyklių patvirtinimo“;

3.17. EPLSAFIS saugos politiką įgyvendinančiais dokumentais – Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatais (toliau – EPLSAFIS duomenų saugos nuostatai), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu, tvirtinamais socialinės apsaugos ir darbo ministro;

3.18.  Nuostatais.

4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. EPLSAFIS tikslas – sukurti vieną informacinę sistemą, suteikiančią galimybę kompiuterizuotai administruoti Europos pagalbos labiausiai skurstantiems asmenims fondą (toliau – EPLSAF), centralizuotai, sistemiškai ir kompiuterizuotai tvarkyti su EPLSAF administravimu susijusią informaciją.

6. EPLSAFIS duomenų (įskaitant asmens duomenis) tvarkymo tikslai:

6.1. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje, patvirtintos Europos Komisijos 2014 m. spalio 30 d. įgyvendinimo sprendimu Nr. C (2014) 8213 (toliau – EPLSAF veiksmų programa), paraiškų ir projektų pagal teisės aktais suteiktą kompetenciją administravimas;

6.2. EPLSAF veiksmų programos ir projektų stebėsenos rodiklių skaičiavimas, tikrinimas, stebėjimas;

6.3. EPLSAFIS valdytojo ir tvarkytojų valstybės tarnautojų ir (arba) darbuotojų, dirbančių pagal darbo sutartis ir tvarkančių EPLSAFIS duomenis, įskaitant asmens duomenis (toliau kartu – darbuotojai), EPLSAFIS duomenų mainų svetainės (toliau – DMS) naudotojų identifikavimas.

7. EPLSAFIS uždaviniai:

7.1. teisės aktų nustatyta tvarka rinkti, saugoti, sisteminti, analizuoti ir teikti EPLSAFIS naudotojams aktualią informaciją, reikalingą administraciniams darbams atlikti, sprendimams priimti, nepažeidžiant duomenų (įskaitant asmens duomenis) tvarkymą ir saugą reglamentuojančių teisės aktų;

7.2. užtikrinti su EPLSAF administravimu susijusių procesų automatizavimą ir kompiuterizavimą, ypač daug dėmesio skiriant efektyvesniam informacijos ir dokumentų srautų valdymui;

7.3. užtikrinti EPLSAF administravimo veiklos procesų vykdymo kontrolę ir stebėseną;

7.4. užtikrinti greitą ir efektyvią EPLSAF administravimo veiklos duomenų paiešką;

7.5. užtikrinti centralizuotą ataskaitų formavimą;

7.6. užtikrinti duomenų vientisumą ir saugumą.

8. EPLSAFIS pagrindinės funkcijos:

8.1. registruoti ir tvarkyti EPLSAF funkcionuoti reikalingus duomenis (įskaitant asmens duomenis):

8.1.1. EPLSAFIS klasifikatoriams registruoti ir tvarkyti;

8.1.2. EPLSAFIS tvarkytojams ir jų darbuotojams registruoti, paskyroms tvarkyti, institucijų ir duomenų naudotojų teisėms ir teisių rinkiniams valdyti;

8.1.3. EPLSAFIS modulių parametrams (patikros lapų šablonams kurti, patikros lapų pildymo duomenims registruoti ir tvarkyti, modulių pranešimams administruoti ir tvarkyti, EPLSAFIS duomenų objektų nagrinėjimo terminų (užduočių) duomenims tvarkyti) tvarkyti;

8.1.4. EPLSAFIS iš kitų informacinių sistemų gaunamų / teikiamų duomenų (asmens duomenys iš kitų sistemų į EPLSAFIS nėra teikiami) apdorojimo duomenims stebėti ir integracijai valdyti;

8.2. registruoti ir tvarkyti duomenis apie EPLSAF veiksmų programos finansavimą, biudžetus, terminus, duomenis apie EPLSAF veiksmų programos projektų sutarčių rezultatus, rodiklius, planuojamas ir pasiektas reikšmes, projektų partnerius (įskaitant projektų partnerių atsakingų asmenų asmens duomenis, nurodytus Nuostatuose);

8.3. registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetus;

8.4. registruoti ir tvarkyti pateiktas paraiškas;

8.5. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;

8.6. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, paskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus;

8.7. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, jos keitimo duomenis ir būsenas, prisegtas rinkmenas;

8.8. registruoti ir tvarkyti projektų pirkimų planus, jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis (pirkimo objektai, vykdytojai (tvarkomas juridinio asmens pavadinimas ir kodas), pirkimo dokumentų pateikimo tarpinei institucijai data);

8.9. registruoti ir tvarkyti pasirašytas pirkimų sutartis, jų patikrinimo ir vykdymo duomenis;

8.10. registruoti ir tvarkyti mokėjimo prašymų pateikimo grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir juose nurodytas išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymų vertinimo duomenis;

8.11. registruoti ir tvarkyti duomenis apie grąžintinas projektų lėšas ir jų grąžinimą;

8.12. registruoti ir tvarkyti duomenis apie negrąžintas lėšas, jų grąžinimus, nurašymą, padengimą ir perdavimą centralizuotai valdomo valstybės turto valdytojui;

8.13. registruoti ir tvarkyti rengiant mokėjimo prašymus patirtų išlaidų perskirstymą projekto biudžete;

8.14. registruoti patikras vietoje (vertinant paraiškas, įgyvendinant projektus), nustatyti patikros vietoje dalyvių paskyrimo tvarką, tvarkyti patikros vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

8.15. registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo informaciją, pažeidimo tyrimo informaciją (tyrimo būsena, pabaigos terminas, išvada);

8.16. formuoti nustatytos formos analitines ataskaitas, surinkus ir apibendrinus duomenis iš kitų EPLSAFIS modulių;

8.17.  surinkti duomenis iš DMS naudotojų, vykdyti duomenų mainus ir pateikti jų apdorojimo duomenis EPLSAF atsakingoms institucijoms.

 

II SKYRIUS

EPLSAFIS ORGANIZACINĖ STRUKTŪRA

 

9. EPLSAFIS organizacinę struktūrą sudaro:

9.1. EPLSAFIS valdytojas;

9.2. EPLSAFIS tvarkytojai;

9.3. EPLSAFIS DMS naudotojai;

9.4. EPLSAFIS duomenų teikėjai;

9.5. EPLSAFIS asmens duomenų valdytojas;

9.6. EPLSAFIS asmens duomenų tvarkytojai.

10. EPLSAFIS valdytoja ir tam tikrų funkcijų, nurodytų Nuostatų 12 punkte, atžvilgiu EPLSAFIS tvarkytoja – Lietuvos Respublikos socialinės apsaugos ir darbo ministerija (toliau – Ministerija). Ministerija, kaip EPLSAFIS valdytoja, atlieka visas Išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui nustatytas funkcijas, turi Išteklių valdymo įstatyme nurodytas teises ir pareigas.

11. Ministerija, kaip EPLSAFIS valdytoja, atlieka Nuostatų 10 punkte ir šiame Nuostatų punkte nurodytas funkcijas:

11.1. rengia ir priima teisės aktus, susijusius su EPLSAFIS duomenų tvarkymu, sauga, inicijuoja EPLSAFIS programinės įrangos tobulinimą, plėtrą, nagrinėja ir sprendžia aktualias EPLSAFIS veiklos problemas;

11.2. planuoja lėšas EPLSAFIS funkcionavimui, plėtrai, duomenų saugai užtikrinti ir kontroliuoja jų naudojimą;

11.3. valdo programinės įrangos licencijas;

11.4. tvarko ir administruoja EPLSAFIS ir joje kaupiamus duomenis;

11.5. organizacinėmis ir techninėmis priemonėmis užtikrina tvarkomų duomenų (įskaitant asmens duomenis) apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo, kitokio neteisėto tvarkymo;

11.6. teisės aktų nustatyta tvarka teikia informaciją apie EPLSAFIS veiklą ir rezultatus.

12. Ministerija, kaip EPLSAFIS tvarkytoja, atlieka šias funkcijas:

12.1. organizuoja EPLSAFIS programinės įrangos kūrimą, diegimą ir palaikymą;

12.2. inicijuoja EPLSAFIS programinės įrangos tobulinimą, plėtrą, nagrinėja ir sprendžia aktualias EPLSAFIS veiklos problemas;

12.3. sudaro EPLSAFIS duomenų teikimo ir gavimo sutartis (jeigu taikoma);

12.4. užtikrina EPLSAFIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą teisę juos gauti turintiems asmenims, kokybę ir saugą;

12.5. administruoja prieigą prie EPLSAFIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;

12.6. atlieka asmenų, turinčių teisę naudotis EPLSAFIS duomenimis, peržiūros kontrolę;

12.7. užtikrina saugų EPLSAFIS duomenų tvarkymą ir jų suderinamumą;

12.8. konsultuoja EPLSAFIS duomenų tvarkytoją, nurodytą Nuostatų 13 punkte, ir DMS naudotojus visais su naudojimusi EPLSAFIS susijusiais klausimais.

13. Europos socialinio fondo agentūros, kaip EPLSAFIS duomenų tvarkytojos, funkcijos, teisės ir pareigos nustatytos Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 1–3, 5, 7–9, 12 punktuose.

14. DMS naudotojai:

14.1. juridinių asmenų, kurie yra potencialūs EPLSAF paraiškų teikėjai, ir juridinių asmenų, kurie vykdo projektų įgyvendinimo sutartyse numatytas veiklas, darbuotojai, kurie teikia ir gauna duomenis iš EPLSAFIS per jiems sukurtą DMS paskyrą;

14.2. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2017 m. liepos 26 d. įsakymo Nr. A1-399 „Dėl Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąrašo patvirtinimo“ 1 ir 2 punktuose nurodytos institucijos ir organizacijos, kurios teikia ir gauna duomenis iš EPLSAFIS per joms sukurtą DMS paskyrą.

15. EPLSAFIS duomenų teikėjai:

15.1. Socialinės paramos šeimai informacinė sistema (valdytoja – Ministerija);

15.2. DMS naudotojai, teikiantys duomenis EPLSAFIS, nekaupiamus kitose valstybės informacinėse sistemose ir (ar) registruose.

16. EPLSAFIS duomenų teikėjai, prieš teikdami duomenis, privalo įsitikinti jų tikslumu ir teisingumu.

17. EPLSAFIS asmens duomenų valdytoja yra Ministerija.

18. EPLSAFIS asmens duomenų tvarkytojai yra Europos socialinio fondo agentūra (duomenų, tvarkomų vykdant Nuostatų 13 punkte nurodytas funkcijas) ir Informacinės visuomenės plėtros komitetas (duomenų, pateiktų registruojantis ir užsisakant informacinių technologijų paslaugas (pareigos, vardas, pavardė, elektroninio pašto adresas, telefono ryšio numeris, užsakoma paslauga ir jos teikimo laikotarpis)).

19. EPLSAFIS asmens duomenų valdytojas ir EPLSAFIS asmens duomenų tvarkytojai atlieka Nuostatais jiems priskirtas ir Bendrajame duomenų apsaugos reglamente nustatytas funkcijas, turi šiuose teisės aktuose nurodytas bei šias teises ir pareigas:

19.1. EPLSAFIS asmens duomenų valdytojo teisės:

19.1.1. nustatyti duomenų tvarkymo tikslus ir priemones;

19.1.2. spręsti dėl tvarkomų EPLSAFIS esančių asmens duomenų teikimo;

19.1.3. įgyvendinti kitas Bendrajame duomenų apsaugos reglamente nustatytas teises;

19.2. EPLSAFIS esančių asmens duomenų valdytojo pareigos:

19.2.1. užtikrinti, kad, įgyvendinant techninius ir organizacinius sprendimus EPLSAFIS, būtų laikomasi Bendrojo duomenų apsaugos reglamento, Asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą;

19.2.2. užtikrinti asmens duomenų saugumą, įgyvendinant technines, organizacines ir fizines asmens duomenų saugumo priemones;

19.2.3. pranešti apie Bendrojo duomenų apsaugos reglamento 33 straipsnyje nustatytus kriterijus atitinkantį asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai;

19.3. EPLSAFIS asmens duomenų valdytojas atlieka šias funkcijas:

19.3.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumui užtikrinti;

19.3.2. teikia metodinę pagalbą darbuotojams ir EPLSAFIS asmens duomenų tvarkytojams EPLSAFIS asmens duomenų tvarkymo klausimais;

19.3.3. organizuoja EPLSAFIS asmens duomenų tvarkymą;

19.3.4. vykdo kitas funkcijas, reikalingas EPLSAFIS asmens duomenų valdytojo teisėms įgyvendinti ir pareigoms įvykdyti;

19.4. EPLSAFIS asmens duomenų tvarkytojo teisės:

19.4.1.    teikti EPLSAFIS asmens duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir organizacinių bei programinių priemonių gerinimo;

19.4.2. tvarkyti asmens duomenis, kiek tam yra įgaliotas EPLSAFIS asmens duomenų valdytojo;

19.5. EPLSAFIS asmens duomenų tvarkytojo pareigos:

19.5.1. įgyvendinti tinkamas organizacines, technines ir fizines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo apsaugoti;

19.5.2. užtikrinti, kad asmens duomenys būtų tvarkomi ir saugomi, vadovaujantis asmens duomenų tvarkymo sutartimi, Bendruoju duomenų apsaugos reglamentu, Asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;

19.5.3. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomų duomenų teisės jų gauti neturintiems asmenims ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nė vienam asmeniui, kuris nėra įgaliotas naudotis šiais duomenimis, tiek savo organizacijoje, tiek už jos ribų;

19.5.4. pranešti EPLSAFIS asmens duomenų valdytojui apie asmens duomenų saugumo pažeidimą asmens duomenų tvarkymo sutartyje nustatyta tvarka;

19.5.5. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažino atlikdamas asmens duomenų tvarkymo veiksmus;

19.6. EPLSAFIS asmens duomenų tvarkytojas atlieka šias funkcijas:

19.6.1. įgyvendina asmens duomenų saugumo priemones;

19.6.2. tvarko asmens duomenis pagal EPLSAFIS asmens duomenų valdytojo nurodymus;

19.6.3. vykdo kitas teisės aktais paskirtas užduotis ir pareigas.

20. EPLSAFIS asmens duomenų valdytojas ir EPLSAFIS asmens duomenų tvarkytojai pasirašo asmens duomenų tvarkymo sutartis, kuriose detaliai apibrėžiamos vykdomos funkcijos, turimos teisės ir pareigos, nurodoma kita informacija pagal Bendrojo duomenų apsaugos reglamento 28 straipsnį.

21. EPLSAFIS netvarkomi EPLSAF paramos gavėjų asmens duomenys (EPLSAFIS nėra EPLSAF paramos gavėjų vardų, pavardžių, asmens kodų, gyvenamosios vietos ir kitų asmens duomenų). EPLSAFIS gali sugeneruoti tik bendrus skaičius rodikliams, numatytiems Aprašo 24.1 papunktyje, apskaičiuoti.

 

III SKYRIUS

EPLSAFIS INFORMACINĖ STRUKTŪRA

 

22. EPLSAFIS duomenų bazėje kaupiami šie duomenys (įskaitant asmens duomenis):

22.1. EPLSAF veiksmų programos ir su ja susiję duomenys: duomenys apie EPLSAF veiksmų programą, jos pakeitimus, finansavimą, jos vykdymo stebėsenos rodikliai ir jų reikšmės, Europos Komisijos mokėjimai Lietuvos Respublikai;

22.2. subjektų duomenys: subjekto (juridinio asmens) pavadinimas, kodas ir kontaktinė informacija (adresas, telefono ryšio numeris, el. pašto adresas);

22.3. kvietimų teikti paraiškas ir paraiškų duomenys:

22.3.1. kvietimo teikti paraišką duomenys: kvietimo numeris, kvietimo pavadinimas, projektų pavadinimai ir jiems įgyvendinti skirtos lėšos, paraiškų teikimo laikotarpis ir darbuotojai, atsakingi už paraiškų vertinimą (nurodomi vardai, pavardės, pareigos, telefono ryšio numeriai, el. pašto adresai);

22.3.2. užregistruotų paraiškų duomenys: paraiškos numeris, paraiškos pavadinimas, paraiškos pateikimo data, paraiškos vertinimo duomenys (nurodoma vertinimo klausimyno informacija ir išvada), pareiškėjas (nurodomas juridinio asmens pavadinimas, kodas) ir jo kontaktiniai duomenys (nurodomas adresas, telefono ryšio numeris, el. pašto adresas), projekto pavadinimas, projekto įgyvendinimo laikotarpis, projekto veiklos teritorija, projekto aprašymas, projekto vykdytojo ar jo įgalioto asmens duomenys (nurodomas juridinio asmens pavadinimas, kodas arba fizinio asmens vardas, pavardė ir pareigos), už paraiškos pateikimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), informavimo apie projektą priemonės, duomenys apie partnerius (nurodomas juridinio asmens pavadinimas, kodas), projekto rizikas, finansavimo duomenys (nurodomos prašomos ir skirtos lėšos), veiklos, veiklų ir stebėsenos rodikliai, pirkimų plano duomenys (nurodomas objekto pavadinimas, lėšos pagal finansavimo šaltinius, planuojama pirkimų pradžia, pirkimo būdas), duomenys apie projekto finansavimo šaltinius, tinkamumo finansuoti reikalavimų neatitinkančias išlaidas, patikros lapų, prisegtų elektroninių dokumentų duomenys;

22.4. administruojamų projektų duomenys:

22.4.1.    projekto duomenys: projekto numeris, projekto pavadinimas, projekto vykdytojas (nurodomas juridinio asmens pavadinimas, kodas), už projekto įgyvendinimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), projekto sutarties turinys, projekto veiklų įgyvendinimo laikotarpis, paramos teikimo intensyvumo procentas, galutinio mokėjimo prašymo duomenys, principai, kurių laikomasi įgyvendinant projektą, partneriai, veiklos, veiklos ir stebėsenos rodikliai, duomenys apie finansavimą, pirkimus, už projekto administravimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), prisegti elektroniniai dokumentai;

22.4.2.    įgyvendinant projektą vykdomų pirkimų duomenys: pirkimo numeris, duomenys apie pirkimą vykdantį subjektą (nurodomas juridinio asmens pavadinimas, kodas), pirkimo objektas, pirkimo būdas, pirkimo suma, veiklos rodikliai, pirkimo dokumentų vertinimo duomenys, duomenys apie sudarytas pirkimo sutartis, patikros lapų, prisegtų elektroninių dokumentų duomenys;

22.4.3.    projekto mokėjimų prašymų duomenys: mokėjimo prašymo numeris, mokėjimo prašymo tipas, mokėjimo prašymo pateikimo data, mokėjimo prašymo vertinimo laikotarpis, mokėjimo prašymo ataskaitinis laikotarpis, avanso duomenys, planuojamos išlaidos, deklaruojamos išlaidos, veiklos ir rodikliai, galutinė projekto įgyvendinimo informacija, išvados (nurodomas išlaidų tinkamumas finansuoti ir prašomos išmokos), patikros lapų ir prisegtų elektorinių dokumentų duomenys;

22.4.4.    projekto patikros vietoje duomenys: patikros vietoje tipas, patikros vietoje data, patikros vietoje tikslas ir apimtis, patikros vietoje rezultatai, patikros lapai, nustatytų neatitikimų aprašymas ir jų ištaisymo terminai, stabdomo mokėjimo prašymų vykdymo duomenys (nurodomas stabdymo terminas, ištaisymo data, suma), atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), prisegti elektroniniai dokumentai;

22.4.5.    projekto pažeidimų duomenys: pranešimo apie įtariamą pažeidimą informacija (nurodomas pranešimą pateikęs darbuotojas (nurodomas vardas, pavardė ir pareigos), pirminės informacijos gavimo data, pirminės informacijos šaltiniai, siūlymas dėl išlaidų apmokėjimo stabdymo), įtariamo pažeidimo registravimo informacija (nurodoma registravimo data, įtariamą pažeidimą registravęs darbuotojas (nurodomas vardas, pavardė ir pareigos), sprendimas dėl įtariamo pažeidimo), pažeidimo tyrimo informacija (nurodomas tyrimą atliekantis darbuotojas (nurodomas vardas, pavardė ir pareigos), tyrimo pabaigos terminas, tyrimo būsena, tyrimo išvada, pažeidimo ištaisymo terminas), stabdomų mokėjimo prašymų duomenys (nurodomi mokėjimo prašymų numeriai, stabdomos sumos) ir prisegti el. dokumentai;

22.4.6. projekto grąžinimų duomenys: duomenys apie grąžintinas lėšas (nurodomas grąžintinų lėšų tipas, sąsaja su pažeidimu, suma, grąžinimo terminas), duomenys apie projekto vykdytojo grąžintas lėšas;

22.5. audito duomenys: audito tipas, audito pradžios data, audito subjektai (nurodomas juridinio asmens pavadinimas, kodas), audito objektas, auditoriai (nurodomas vardas, pavardė ir pareigos), audituojamas projektas, audito ataskaitos data, audito ataskaitos numeris, audito išvada, audito rekomendacijos, duomenys apie audito rekomendacijų įgyvendinimą, kita informacija apie auditą ir prisegti el. dokumentai;

22.6. kiti EPLSAFIS duomenys: naudotojų, turinčių teises naudotis EPLSAFIS, duomenys: vardas, pavardė, juridinio asmens pavadinimas ir kodas, naudotojo prisijungimo vardas, naudotojo kontaktinė informacija (nurodomas telefono ryšio numeris, el. pašto adresas); EPLSAFIS naudotojams suteiktos duomenų registravimo, skaitymo, koregavimo, šalinimo teisės; EPLSAFIS naudotojų prisijungimo ir veiksmų apskaitos duomenys.

23. EPLSAFIS klasifikatoriai: dokumentų tipų, subjektų, subjektų skyrių ir pirkimo būdų.

24. Rodiklių reikšmių įvedimo funkcijai vykdyti naudojami duomenys:

24.1. Socialinės paramos šeimai informacinės sistemos duomenys: savivaldybė, bendras paramos gavėjų skaičius, paramos gavėjų moterų skaičius, 15 metų ir jaunesnių paramos gavėjų skaičius, 65 metų ir vyresnių paramos gavėjų skaičius, neįgalių paramos gavėjų skaičius, paramos gavėjų benamių skaičius, migrantų, užsienio kilmės, tautinių mažumų atstovų paramos gavėjų skaičius ir bendras išdalytų paketų skaičius;

24.2. DMS naudotojų teikiami duomenys:

24.2.1. projekto pavadinimas, projekto įgyvendinimo pradžia ir pabaiga;

24.2.2. pareiškėjo ir projekto vykdytojo duomenys: juridinio asmens pavadinimas, juridinio asmens kodas, kontaktiniai duomenys (nurodomas adresas (gatvė, namo (ir buto, jeigu taikoma) numeris, pašto kodas, miestas / rajonas, telefono ryšio numeris, elektroninio pašto adresas), pareiškėjo, projekto vykdytojo vadovo arba jo įgalioto asmens duomenys (nurodomas vardas ir pavardė, pareigos), už paraiškos teikimą atsakingas asmuo (nurodomas vardas ir pavardė, pareigos, telefono ryšio numeris, elektroninio pašto adresas);

24.2.3. informacija apie partnerius: juridinių asmenų pavadinimai, juridinių asmenų kodai, adresai, bendrieji telefono ryšio numeriai ir elektroninio pašto adresai;

24.2.4. projekto aprašymas;

24.2.5. projekto biudžetas;

24.2.6. projekto veiklų įgyvendinimo grafikas;

24.2.7. informacija apie pirkimus ir sudarytas viešųjų pirkimų sutartis: pirkimų procedūros (nepradėtos / pradėtos / baigtos), pirkimo pavadinimas ir numeris, pirkimo dalis, vokų atplėšimo data, sutarties data, sudarytos sutarties numeris);

24.2.8. stebėsenos rodikliai;

24.2.9. finansavimo šaltiniai;

24.2.10. viešinimo priemonės;

24.2.11. pareiškėjo ir partnerių deklaracijos;

24.2.12. mokėjimo prašymų grafikų duomenys: numeris, mokėjimo prašymo tipas (avansinis / tarpinis / galutinis), data, suma, avansas, įskaitoma avanso suma, sumos, išskaidytos pagal projekto išlaidų kategorijas;

24.2.13. mokėjimo prašymų duomenys: mokėjimo prašymo tipas, bendra prašomų pripažinti tinkamomis finansuoti išlaidų suma, projekto veiklos rodiklių įgyvendinimo, stebėsenos rodiklių įgyvendinimo duomenys, informacija apie sukauptas palūkanas, atitiktį principams.

 

IV SKYRIUS

EPLSAFIS FUNKCINĖ STRUKTŪRA

 

25. EPLSAFIS funkcinę struktūrą sudaro:

25.1. DMS posistemis, kurio funkcijos: teikti duomenis subjektui apie prieinamus kvietimus teikti paraiškas dėl finansavimo iš EPLSAF, rodyti prisijungusio subjekto projektus ir su tais projektais susijusią informaciją, pateikti projekto įgyvendinimo duomenis bei dokumentus. Prie DMS posistemio gali jungtis subjektai, turintys suteiktą prisijungimo prie EPLSAFIS teisę per plačiąją interneto prieigą, jie gali matyti jiems prieinamus kvietimus teikti paraiškas ar savo įgyvendinamų projektų informaciją;

25.2. Administravimo posistemis, kurio funkcijos: administruoti sistemos naudotojų duomenis (nurodomas vardas, pavardė ir pareigos), jų funkcijas ir teises sistemoje, tvarkyti klasifikatorius ir parametrus, naudojamus sistemoje;

25.3. EPLSAF veiksmų programos posistemis, kurio funkcija – tvarkyti informaciją apie finansavimą, veiksmus, rodiklius;

25.4. Kvietimų ir paraiškų posistemis, kurio funkcijos: registruoti kvietimus, paraiškas, tvarkyti paraiškų vertinimo duomenis;

25.5. Projektų įgyvendinimo posistemis, kurio funkcijos: kurti ir tvarkyti projektus, kuriems skirtas finansavimas, tvarkyti su projektu susijusius duomenis, nurodytus Nuostatų 25.5.1–25.5.8 papunkčiuose. Šį posistemį sudaro:

25.5.1. projektų modulis, kurio pagrindinės funkcijos:– registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis (nurodomas projekto pavadinimas, numeris, vykdytojas), peržiūrėti rodiklių pasiekimų hierarchinius duomenis, duomenis apie paskirtus atsakingus darbuotojus (nurodomas vardas, pavardė ir pareigos), dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus;

25.5.2. projektų sutarčių ir jų pakeitimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;

25.5.3. projekto pirkimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti pirkimų, vykdomų įgyvendinant projektus, planus, jų vykdymo duomenis, pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir jų vykdymo duomenis;

25.5.4. mokėjimo prašymų ir patirtų išlaidų modulis, kurio pagrindinės funkcijos: registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir juos rengiant patirtas išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;

25.5.5. patikrų vietoje modulis, kurio pagrindinės funkcijos: registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių (nurodomas vardas, pavardė ir pareigos) paskyrimą, tvarkyti patikros vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

25.5.6. pažeidimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo duomenis, pažeidimo tyrimo duomenis;

25.5.7. grąžintinų lėšų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti duomenis apie grąžintinas projektų lėšas, jų grąžinimo duomenis;

25.5.8. auditų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti duomenis apie auditą, jo metu registruotas rekomendacijas bei jų įgyvendinimą;

25.6. Ataskaitų posistemis, kurio funkcija – formuoti ataskaitas, surenkant duomenis iš visų posistemių.

 

V SKYRIUS

EPLSAFIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

 

26. EPLSAFIS duomenys teikiami ir naudojami, vadovaujantis Nuostatų 3 punkte nurodytais teisės aktais. Duomenys yra vieši, išskyrus asmens duomenis, ir teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.

27. EPLSAFIS duomenys teikiami šiems duomenų gavėjams:

27.1. EPLSAFIS registruotiems duomenų gavėjams pagal jiems suteiktas prieigos teises (t. y. Atsakomybių ir funkcijų pasiskirstymo taisyklėse ir Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, atrankos tvarkos apraše nurodytoms institucijoms bei organizacijoms);

27.2. išorės subjektams, turintiems teisę gauti EPLSAFIS duomenis, pateikus atskirus prašymus EPLSAFIS valdytojui (vienkartinio duomenų teikimo atveju) ar pagal asmens duomenų teikimo sutartį, sudarytą su EPLSAFIS valdytoju (daugkartinio duomenų teikimo atveju);

27.3. Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Išteklių valdymo įstatymo nustatyta tvarka.

28. Jei EPLSAFIS duomenys ir asmens duomenys teikiami vieną kartą, jie prašančiam duomenų gavėjui teikiami pateikus prašymą, kuriame nurodomas prašomų pateikti duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Jei EPLSAFIS duomenys ir asmens duomenys teikiami daug kartų, jie prašančiam duomenų gavėjui teikiami pagal sutartį, kurioje nustatoma teiktinų duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, duomenų teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

29. EPLSAFIS duomenys visiems gavėjams teikiami tokio turinio ir tokios formos, kokie EPLSAFIS saugomi ir naudojami. Vadovaudamasi Išteklių įstatymo 35 straipsnio 3 dalimi, Ministerija sukuria reikalingas priemones, jei EPLSAFIS duomenų turinys ar formatas neatitinka prašančiojo registro ar valstybės informacinės sistemos tvarkytojo poreikių.

30. Duomenys teikiami elektroniniu ryšiu. Duomenų peržiūra vykdoma leidžiamosios kreipties būdu internetu per internetu pasiekiamą sistemą. Išorės subjektams duomenys gali būti teikiami ir raštu.

31. Duomenys visiems gavėjams teikiami neatlygintinai.

32. Jei atsisakoma teikti EPLSAFIS duomenis, asmeniui ar organizacijai, pateikusiam (‑iai) prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo (jos) prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti EPLSAFIS duomenis skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

33. EPLSAFIS duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, ar kiti asmenys turi teisę reikalauti EPLSAFIS ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis ir apie tai raštu arba elektroninių ryšių priemonėmis pranešti Ministerijai.

34. Ministerija, gavusi informaciją apie netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymą, per 5 darbo dienas nuo informacijos gavimo patikrina EPLSAFIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per 1 darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, raštu ir (ar) elektroninių ryšių priemonėmis. Ištaisiusi netikslius duomenis, Ministerija per 1 darbo dieną nuo jų ištaisymo apie tai praneša EPLSAFIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.

35. Ministerija, nustačiusi, kad yra EPLSAFIS duomenų netikslumų, turi nedelsdama (ne vėliau kaip per 1 darbo dieną) elektroninių ryšių tinklais ir (ar) raštu perduoti šią informaciją tų duomenų teikėjui.

 

VI SKYRIUS

EPLSAFIS DUOMENŲ SAUGA

 

36. Už EPLSAFIS duomenų saugą pagal kompetenciją atsako EPLSAFIS valdytojas ir tvarkytojai.

37. EPLSAFIS duomenų saugą reglamentuoja socialinės apsaugos ir darbo ministro tvirtinami EPLSAFIS saugos politiką įgyvendinantys dokumentai –EPLSAFIS duomenų saugos nuostatai, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas.

38. EPLSAFIS duomenų sauga užtikrinama vadovaujantis:

38.1. Bendruoju duomenų apsaugos reglamentu;

38.2. Išteklių valdymo įstatymu;

38.3. Kibernetinio saugumo įstatymu;

38.4. Saugos reikalavimų aprašu;

38.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

39. EPLSAFIS naudotojai – Ministerija, Europos socialinio fondo agentūra ir kitų subjektų (organizacijų) darbuotojai – naudojasi EPLSAFIS duomenimis pagal jiems suteiktas prieigos teises.

40. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos ar darbo santykiams. Už šių pareigų nevykdymą ar netinkamą vykdymą EPLSAFIS naudotojai atsako valstybės tarnybą, darbo santykius, asmens duomenų apsaugą reglamentuojančių ir kitų teisės aktų nustatyta tvarka. EPLSAFIS prieigą turintys subjektai užtikrina, kad jų darbuotojai, kurie tvarko asmens duomenis, yra pasirašytinai supažindinti su pareiga saugoti asmens duomenų paslaptį ir pasirašę konfidencialumo pasižadėjimus.

41. EPLSAFIS tvarkomų asmens duomenų saugumas užtikrinamas, vadovaujantis Bendrojo duomenų apsaugos reglamento 32 straipsnyje nustatytais duomenų tvarkymo saugumo reikalavimais.

 

VII SKYRIUS

EPLSAFIS FINANSAVIMAS

 

42. EPLSAFIS kūrimas, diegimas, eksploatavimas, tobulinimas, priežiūra ir plėtra finansuojama EPLSAF techninės paramos lėšomis.

 

VIII SKYRIUS

EPLSAFIS MODERNIZAVIMAS IR LIKVIDAVIMAS

 

43. EPLSAFIS modernizuojama ir likviduojama Išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, kitų teisės aktų nustatyta tvarka.

44. Modernizuojamos ar likviduojamos EPLSAFIS duomenys gali būti perduodami kitai informacinei sistemai, kuri steigiama ar integruojama vietoj likviduojamos EPLSAFIS, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

45. Už Nuostatų pažeidimus EPLSAFIS valdytojas, EPLSAFIS tvarkytojai, DMS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

46. EPLSAFIS duomenų, įskaitant asmens duomenis, saugojimas organizuojamas vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir (ar) Elektroninių dokumentų valdymo taisyklėmis, patvirtintomis Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo“.

47. EPLSAFIS duomenys (įskaitant asmens duomenis) saugomi 3 (trejus) metus po galutinės EPLSAF veiksmų programos ataskaitos patvirtinimo dienos. Pasibaigus šiam terminui, duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

_____________________

part_d1e91b6cfe2640238f3acb3b9a6d512b_end


 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos ir darbo ministro

2020 m. sausio 28 d.  įsakymu Nr. A1-71

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENROSIOS NUOSTATOS

 

1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatai (toliau – EPLSAFIS saugos nuostatai) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) saugos politiką – EPLSAFIS elektroninės informacijos saugos valdymą, organizacinius ir techninius EPLSAFIS duomenų saugos reikalavimus, reikalavimus su EPLSAFIS dirbančiam personalui, EPLSAFIS valdytojo valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojas) supažindinimo su EPLSAFIS saugos politiką įgyvendinančiais dokumentais taisykles.

2. EPLSAFIS saugos nuostatuose vartojamos sąvokos:

2.1. EPLSAFIS išorės administratorius – asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduota EPLSAFIS techninės ir programinės įrangos priežiūra. Sąvoka taikoma kompiuterinių tinklų administratoriams, tarnybinių stočių administratoriams ir duomenų bazių administratoriams.

2.2. EPLSAFIS naudotojų administratorius (toliau – EPLSAFIS administratorius) – Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos (toliau – Ministerijos) darbuotojas, kuris registruoja EPLSAFIS naudotojus, skiria jiems registravimosi vardus, nustato prieigos prie EPLSAFIS teises ir atlieka kitas teisės aktų nustatytas funkcijas.

2.3. EPLSAFIS naudotojas – Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklėse, patvirtintose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. rugpjūčio 27 d. įsakymu Nr. A1-426 „Dėl Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių patvirtinimo“ (toliau – Atsakomybės ir funkcijų pasiskirstymo taisyklės), ir Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąraše, sudarytame Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2017 m. liepos 26 d. įsakymu Nr. A1-399 „Dėl Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąrašo patvirtinimo“, numatytų institucijų ir organizacijų darbuotojai, kuriems suteiktos prieigos prie EPLSAFIS teisės.

2.4. EPLSAFIS personalas – EPLSAFIS saugos įgaliotinis, EPLSAFIS administratorius ir EPLSAFIS išorės administratorius.

2.5. Kitos EPLSAFIS saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas), Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos standartuose LST ISO/IEC 27002 ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai“ vartojamas sąvokas.

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

3. EPLSAFIS duomenų saugos tikslai:

3.1. sudaryti sąlygas automatiniu būdu saugiai tvarkyti elektroninę informaciją;

3.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. elektroninės informacijos prieinamumo užtikrinimas;

4.2. elektroninės informacijos vientisumo užtikrinimas;

4.3. veiklos tęstinumas;

4.4. elektroninės informacijos konfidencialumo užtikrinimas;

4.5. asmens duomenų apsauga;

4.6. EPLSAFIS naudotojų mokymas.

5. EPLSAFIS valdytoja – Ministerija, kurios buveinės adresas: A. Vivulskio g. 11, 03610 Vilnius.

6. EPLSAFIS saugos nuostatai reglamentuoja automatizuotą EPLSAFIS duomenų apdorojimą ir yra privalomi visiems EPLSAFIS naudotojams ir EPLSAFIS personalui.

7. EPLSAFIS valdytojo funkcijos užtikrinant EPLSAFIS duomenų saugą:

7.1. organizuoti EPLSAFIS duomenų saugos teisinės bazės plėtrą ir įgyvendinimą;

7.2. prižiūrėti, kaip laikomasi EPLSAFIS duomenų saugos reikalavimų;

7.3. užtikrinti veiksmingą ir spartų EPLSAFIS pokyčių  planavimą;

7.4. skirti EPLSAFIS saugos įgaliotinį ir EPLSAFIS administratorių;

7.5. nustatyti elektroninės informacijos saugos incidentų registracijos ir tyrimo tvarką;

7.6. užtikrinti tinkamą priimtų teisės aktų ir rekomendacijų įgyvendinimą.

8. EPLSAFIS saugos įgaliotinis, laikydamasis EPLSAFIS elektroninės informacijos saugos reikalavimų, atlieka šias funkcijas:

8.1. teikia EPLSAFIS valdytojo vadovui pasiūlymus dėl:

8.1.1. saugos dokumentų priėmimo, keitimo ar pripažinimo netekusiais galios;

8.1.2. EPLSAFIS informacinių technologijų saugos atitikties ir rizikos vertinimo atlikimo organizavimo;

8.1.3. EPLSAFIS administratoriaus paskyrimo;

8.2. koordinuoja EPLSAFIS administratoriaus veiklą ir teikia jam metodinę pagalbą;

8.3. koordinuoja elektroninės informacijos incidentų, susijusių su sauga, registravimą ir tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

8.4. tiria elektroninės informacijos saugos incidentus;

8.5. teikia EPLSAFIS administratoriui privalomus vykdyti nurodymus, susijusius su EPLSAFIS saugos politikos įgyvendinimu;

8.6. kasmet rengia apibendrintą EPLSAFIS rizikos vertinimo ataskaitą;

8.7. prireikus organizuoja neeilinį EPLSAFIS rizikos įvertinimą;

8.8. supažindina EPLSAFIS personalą ir naudotojus su EPLSAFIS saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą (informacija elektroniniu paštu, teminių seminarų rengimas, atmintinių darbuotojams parengimas ir pan.);

8.9. periodiškai inicijuoja EPLSAFIS naudotojų mokymą duomenų saugos klausimais, informuoja juos apie duomenų saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinių darbuotojams parengimas ir pan.);

8.10. atlieka kitas EPLSAFIS valdytojo vadovo jam pavestas funkcijas.

9. EPLSAFIS administratorius, laikydamasis EPLSAFIS elektroninės informacijos saugos reikalavimų, atlieka šias funkcijas:

9.1. registruoja EPLSAFIS naudotojus ir suteikia jiems prieigos teises;

9.2. panaikina EPLSAFIS naudotųjų prieigos teises;

9.3. dalyvauja atliekant EPLSAFIS naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;

9.4. dalyvauja nustatant EPLSAFIS pažeidimus;

9.5. dalyvauja atliekant EPLSAFIS saugos atitikties vertinimą;

9.6. vykdo EPLSAFIS saugos įgaliotinio nurodymus EPLSAFIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už pavestą duomenų saugos politikos įgyvendinimo organizavimą ir saugos priemonių įgyvendinimą;

9.7. informuoja EPLSAFIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų nuostatų pažeidimus, galimos nusikalstamos veikos požymius, neveiksmingas arba nepakankamai veiksmingas duomenų saugos užtikrinimo priemones;

9.8 vykdo kitas EPLSAFIS valdytojo vadovo jam pavestas funkcijas.

10. Saugų EPLSAFIS duomenų tvarkymą reglamentuoja:

10.1. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.2. Valstybės informacinių išteklių valdymo įstatymas;

10.3. Bendrasis duomenų apsaugos reglamentas;

10.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

10.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos gairės);

10.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

10.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.9. Lietuvos standartai LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

10.10. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

10.11. socialinės apsaugos ir darbo ministro tvirtinamos Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatai ir EPLSAFIS saugos nuostatai. 

11. Tvarkant EPLSAFIS duomenis, vadovaujamasi:

11.1. 2014 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo;

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

11.2. 2014 m. kovo 13 d. Komisijos deleguotuoju reglamentu (ES) Nr. 532/2014, kuriuo papildomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo;

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

11.3. 2015 m. vasario 11 d. Komisijos įgyvendinimo reglamentu (ES) 2015/212, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 nuostatų dėl kiekvieno veiksmo duomenų, kurie reikalingi stebėsenai, vertinimui, finansų valdymui, tikrinimui ir auditui, įskaitant duomenis apie atskirus veiksmų, kurie bendrai finansuojami pagal VP II, dalyvius, įrašymo ir saugojimo sistemos techninių specifikacijų taikymo taisyklės;

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

11.4. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. gegužės 16 d. įsakymu Nr. A1-268 „Dėl dokumentų, skirtų Europos pagalbos labiausiai skurstantiems asmenims fondo tikslinės grupės asmenų, maisto produktų ir (ar) būtinojo asmeninio vartojimo prekių apskaitai užtikrinti, formų patvirtinimo“;

11.5. Atsakomybės ir funkcijų pasiskirstymo taisyklėmis;

11.6. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. vasario 17 d. įsakymu Nr. A1-77 „Dėl Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklių patvirtinimo“;

11.7. Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gegužės 22 d. įsakymu Nr. A1-288 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklių patvirtinimo“;

11.8. Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. liepos 13 d. įsakymu Nr. A1-424 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklių patvirtinimo“;

11.9. Europos pagalbos labiausiai skurstantiems asmenims fondo grąžintinų ir grąžintų lėšų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gruodžio 17 d. įsakymu Nr. A1-760 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų grąžintinų ir grąžintų lėšų administravimo taisyklių patvirtinimo“;

11.10. kitais EPLSAFIS veiklą reglamentuojančiais teisės aktais.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12. EPLSAFIS tvarkoma vidutinės svarbos informacija:

12.1. EPLSAFIS tvarkomos informacijos svarbos kategorija nustatyta vadovaujantis Elektroninės informacijos gairių 9.1 ir 9.3 papunkčiuose nustatytais kriterijais;

12.2. vadovaujantis Elektroninės informacijos gairių 12.3 papunkčiu, EPLSAFIS priskiriama trečiajai informacinių sistemų kategorijai.

13. EPLSAFIS rizika vertinama vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos parengta metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais.

14. EPLSAFIS rizikos įvertinimas aprašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Svarbiausi rizikos veiksniai:

14.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

14.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, tyčinis duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

14.3. nenugalima jėga (force majeure).

15. Taikant kokybinius rizikos vertinimo metodus, nustatomi šie rizikos veiksnių įtakos elektroninės informacijos saugai laipsniai:

15.1. N – nereikšmingas laipsnis. Duomenų saugos pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija nusiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, prarasta informacija po paskutinio kopijavimo, sugadinta operacinė sistema;

15.2. R – reikšmingas laipsnis. Duomenų saugos pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar dalis jų visiškai sugadinta; duomenų bazių įrašai suklastoti ir nekorektiški, sunku rasti klaidas ir suklastotą informaciją; neveikia kompiuterinės programos ir operacinė sistema;

15.3. K – kritinis laipsnis. Duomenų saugos pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti; dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos; neveikia visa informacinė sistema.

16. EPLSAFIS rizikos vertinimas atliekamas kasmet. Už rizikos vertinimo organizavimą atsakingi EPLSAFIS saugos įgaliotinis ir EPLSAFIS administratorius.

17. Vertinant EPLSAFIS riziką, atliekami šie darbai:

17.1. EPLSAFIS sudarančių informacinių išteklių inventorizacija;

17.2. įtakos EPLSAFIS veiklai vertinimas;

17.3. grėsmės ir pažeidimų analizė;

17.4. likutinės rizikos vertinimas.

18. Rizikos įvertinimo ataskaitą tvirtina EPLSAFIS valdytojo vadovas. Atsižvelgdamas į rizikos įvertinimo ataskaitą, EPLSAFIS valdytojas tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus po to, kai buvo atlikta rizikos analizė ar EPLSAFIS saugos atitikties vertinimas, arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami.

20. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

20.1. įgyvendinamos tinkamos techninės ir organizacinės priemonės, kad būtų užtikrintas pavojų atitinkančio lygio saugumas;

20.2. likutinė rizika turi būti sumažinta iki priimtino lygio;

20.3. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

20.4. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

21. Kartą per metus atliekamas informacinių technologijų saugos atitikties vertinimas. Už informacinių technologijų saugos atitikties vertinimą atsakingas EPLSAFIS saugos įgaliotinis.

22. Atlikus EPLSAFIS informacinių technologijų saugos atitikties vertinimą, rengiama EPLSAFIS informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama EPLSAFIS valdytojo vadovui, ir nustatytų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato EPLSAFIS valdytojo vadovas.

23. EPLSAFIS informacinių technologijų saugos atitikties vertinimo ataskaitos, rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas EPLSAFIS valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų patvirtinimo dienos turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, pavirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI.

NEŠIOJAMŲJŲ KOMPIUTERIŲ IR MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMAS

 

24. EPLSAFIS naudotojų prieiga prie EPLSAFIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.

25. EPLSAFIS išorės administratorius yra atsakingas už EPLSAFIS serverių apsaugos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.) užtikrinimą.

26. EPLSAFIS naudotojų darbo vietose naudojama programinė įranga, skirta jų darbo vietoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.).

27. EPLSAFIS duomenys automatiniu būdu teikiami ir (ar) gaunami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.

28. Siekiant užtikrinti EPLSAFIS duomenų bazės tęstinumą, turi būti daromos atsarginės duomenų kopijos. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:

28.1. atsarginės duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę). Atsarginių duomenų kopijų laikmenos sužymimos nurodant kopijos tipą, datą bei kitą sėkmingam jos kūrimui būtiną informaciją;

28.2. duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai (ne rečiau kaip kartą per metus) išbandomas. Bandymų eiga ir rezultatai dokumentuojami;

28.3. atsarginės duomenų kopijos turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje;

28.4. už atsarginių kopijų darymo reikalavimų įgyvendinimą atsako EPLSAFIS išorės administratorius, už darbų atlikimo priežiūrą – EPLSAFIS saugos įgaliotinis;

28.5. už atsarginių taikomosios programinės įrangos (aplikacijos) kopijų darymą atsako EPLSAFIS išorės administratorius, už darbų priežiūrą – EPLSAFIS saugos įgaliotinis.

29. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

29.1. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;

29.2. už serverio srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją atsakingas EPLSAFIS išorės administratorius.

30. Nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai (toliau kartu –nešiojamieji įrenginiai) išduodami pasirašytinai, duomenys, esantys juose, turi būti šifruojami.

31. Nešiojamiesiems įrenginiams taip pat taikomos toliau nurodytos apsaugos priemonės:

31.1. prisijungimas prie nešiojamojo kompiuterio operacinės sistemos turi būti apsaugotas slaptažodžiu;

31.2. nenaudojamų Wi-Fi, Bluetooth ar kitų belaidžių technologijų funkcijos nustatymuose turi būti išjungtos.

32. Atsakingas organizacijos darbuotojas kartą per pusę metų privalo atlikti nešiojamųjų įrenginių patikrą ir priežiūrą. Patikrą galima atlikti nuotoliniu būdu, prisijungus prie nešiojamojo įrenginio (kai nešiojamasis įrenginys prijungtas prie vidinio kompiuterių tinklo), naudojant nešiojamųjų įrenginių valdymo sistemą arba darbuotojui fiziškai pristačius nešiojamąjį įrenginį.

33. Atsakingas organizacijos darbuotojas EPLSAFIS naudotojų grąžintuose nenaudojamuose nešiojamuosiuose įrenginiuose esančią informaciją suarchyvuoja, sukelia į tam skirtą vietą serveryje ir ištrina iš nešiojamojo įrenginio taip, kad jos nebūtų galima atkurti.

34. EPLSAFIS naudotojai privalo laikytis šių nešiojamųjų įrenginių naudojimo reikalavimų:

34.1. saugoti nešiojamąjį įrenginį nuo aplinkos poveikio – dulkių, vibracijos, cheminių medžiagų, elektromagnetinio spinduliavimo;

34.2. saugoti nešiojamąjį įrenginį nuo didelių temperatūros pokyčių;

34.3. nepalikti nešiojamojo įrenginio be priežiūros viešose vietose, elgtis rūpestingai, kad nešiojamasis įrenginys ir jame esantys duomenys nebūtų prarasti;

34.4. kelionių metu registruoti nešiojamąjį įrenginį kaip rankinį bagažą;

34.5. įjungti ekrano užsklandą su slaptažodžiu, jei pasitraukia nuo nešiojamojo kompiuterio;

34.6. apsaugoti mobilųjį įrenginį slaptažodžiu arba biometrinėmis apsaugos priemonėmis, jei jo nenaudoja;

34.7. nenaudojamus nešiojamuosius įrenginius grąžinti atsakingam organizacijos darbuotojui;

34.8. nedelsdami informuoti nešiojamąjį įrenginį išdavusį darbuotoją, jei jis pametamas ar jei įvyksta jo vagystė.

35. EPLSAFIS naudotojams draudžiama:

35.1. mėtyti, laužyti, daužyti, ardyti nešiojamuosius įrenginius, dėti ant jų sunkius daiktus;

35.2. bandyti šalinti, apeiti ar išjungti nešiojamajame įrenginyje nustatytas saugumo priemones;

35.3. leisti naudotis nešiojamuoju įrenginiu kitiems žmonėms;

35.4. išimti nešiojamojo įrenginio bateriją jo neišjungus ar nesilaikyti kitų gamintojo nustatytų eksploatavimo rekomendacijų.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI IR NAUDOTOJAMS

 

36. EPLSAFIS personalas ir EPLSAFIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, turi būti susipažinę su EPLSAFIS saugos nuostatais, Bendruoju duomenų apsaugos reglamentu ir kitais duomenų saugos politiką įgyvendinančiais dokumentais.

37. Jungtis prie EPLSAFIS duomenų ir (ar) juos tvarkyti gali tik tie EPLSAFIS naudotojai ir EPLSAFIS personalas, kurie pasirašę konfidencialumo pasižadėjimą (EPLSAFIS saugos nuostatų priedas) saugoti asmens duomenų paslaptį ir yra susipažinę su EPLSAFIS nuostatais, EPLSAFIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais. Ši pareiga galioja ir perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos, darbo, sutartiniams ar kitiems santykiams.

38. EPLSAFIS administratorius, EPLSAFIS išorės administratorius ir EPLSAFIS naudotojai privalo rūpintis tvarkomos informacijos saugumu.

39. EPLSAFIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos saugos užtikrinimo metodus, Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus, reglamentuojančius saugų duomenų tvarkymą, sugebėti užtikrinti saugų EPLSAFIS duomenų naudojimą.

40. EPLSAFIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

41. EPLSAFIS administratorius ir EPLSAFIS išorės administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių administravimo pagrindus, turi būti susipažinęs su EPLSAFIS saugos nuostatais ir kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais. EPLSAFIS administratorius privalo sugebėti užtikrinti nepertraukiamą techninės ir programinės įrangos funkcionavimą, stebėti jos veikimą, atlikti profilaktinę jos priežiūrą, nustatyti ir šalinti sutrikimus.

42. Susipažinimo su EPLSAFIS saugos politiką įgyvendinančiais dokumentais tvarka:

42.1. už EPLSAFIS personalo supažindinimą su EPLSAFIS saugos nuostatais, kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas EPLSAFIS saugos įgaliotinis;

42.2. EPLSAFIS personalas su EPLSAFIS saugos nuostatais ir EPLSAFIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą pirmą kartą supažindinamas EPLSAFIS saugos įgaliotinio pasirašytinai, kaip numatyta EPLSAFIS saugos nuostatų 30 punkte;

42.3. EPLSAFIS naudotojai susipažįsta su EPLSAFIS saugos nuostatais ir EPLSAFIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą, prieš pirmą kartą prisijungdami prie EPLSAFIS. EPLSAFIS pirminiame lange pateikiamas informacinis pranešimas apie susipažinimą su EPLSAFIS saugos nuostatais, kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais, atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą ir minėti dokumentai. EPLSAFIS naudotojai, pirmą kartą jungdamiesi prie EPLSAFIS, pirmiausia privalo susipažinti su minėtais dokumentais ir patvirtinti susipažinimo faktą. Patvirtinimo informacija saugoma EPLSAFIS konkretaus EPLSAFIS naudotojo paskyros naudojimo laikotarpiu ir 1 metus nuo paskyros panaikinimo dienos, vėliau sunaikinama. Nesusipažinus su EPLSAFIS saugos politiką įgyvendinančiais dokumentais, prisijungti prie EPLSAFIS nebus leidžiama;

42.4. EPLSAFIS saugos įgaliotinis ne rečiau kaip kartą per trejus metus inicijuoja EPLSAFIS naudotojų mokymą duomenų saugos klausimais, informuoja juos apie duomenų saugos reikalavimus ir problematiką vienu iš šių būdų:

42.4.1. elektroniniu paštu;

42.4.2. teminiuose seminaruose / mokymuose;

42.4.3. atmintinėse.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

43. EPLSAFIS personalas ir EPLSAFIS naudotojai, pažeidę EPLSAFIS saugos nuostatų ar kitų EPLSAFIS saugos politiką reguliuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_________________

part_b0fc996e50084067b17110e653bbdd7b_end


 

Europos pagalbos labiausiai skurstantiems asmenims

fondo informacinės sistemos duomenų saugos nuostatų

priedas

 

 

(Konfidencialumo pasižadėjimo forma)

 

KONFIDENCIALUMO PASIŽADĖJIMAS

 

Aš, _____________________________________________________________________ ,

(vardas, pavardė)

____________________________________________________________________________ ,

(pareigų pavadinimas)

 

patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais asmens duomenų apsaugą reguliuojančiais teisės aktais bei socialinės apsaugos ir darbo ministro patvirtintais Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatais, ir pasižadu:

1. laikytis teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, nuostatų;

2. saugoti asmens duomenų paslaptį visą darbo (tarnybos) laiką, taip pat pasibaigus darbo (tarnybos) santykiams ir tik įstatymų bei kitų teisės aktų nustatytais tikslais ir tvarka naudoti ir teikti asmens duomenis teisę juos gauti turintiems asmenims;

3. man patikėtus dokumentus (duomenis) saugoti taip, kad tretieji asmenys, neturintys teisės su jais susipažinti, neturėtų galimybės su šiais dokumentais (duomenimis) susipažinti ar jais pasinaudoti;

4. neatskleisti man dėl darbo ar tarnybos santykių žinomų asmens duomenų tretiesiems asmenims, neturintiems teisės su jais susipažinti;

5. taikyti nustatytas technines ir organizacines saugumo priemones, elgtis rūpestingai, kad būtų išvengta asmens duomenų saugumo pažeidimo;

6. asmens duomenis tvarkyti tik teisėtais tikslais ir tik esant teisiniam pagrindui, ir tik tiek, kiek būtina jiems tvarkyti ir funkcijoms atlikti;

7. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatinėti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, įgyvendinti, vėliau šiuos duomenis sunaikinti pats ar perduoti juos sunaikinti tai įgaliotiems atlikti asmenims, ar perduoti juos saugoti, jeigu tokią pareigą nustato teisės aktai;

8. nedelsdamas (-a) pranešti tiesioginiam vadovui ir institucijos duomenų apsaugos pareigūnui apie asmenų, neturinčių teisės gauti asmens duomenis, bandymus gauti man patikėtą informaciją;

9. nedelsdamas (-a) pranešti savo tiesioginiam vadovui ir institucijos duomenų apsaugos pareigūnui apie įtariamą ir (ar) įvykusį duomenų saugumo pažeidimą (bet kokį pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be teisėto pagrindo atskleidžiami, saugomi arba kitaip tvarkomi asmens duomenys arba be teisėto pagrindo gaunama prieiga prie jų).

Žinau, kad už šio konfidencialumo pasižadėjimo nesilaikymą atsakysiu Lietuvos Respublikos teisės aktų nustatyta tvarka.

 

_________________                __________________                        ______________________

(data)                                                     (parašas)                                         (vardas ir pavardė)

 

 

Skirsnio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

part_460d0d8f3c0a4c74a3a9fd29b0adff2e_end


 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos ir darbo ministro

2020 m. sausio 28 d.  įsakymu Nr. A1-71

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANBTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) tvarkomos elektroninės informacijos kategorijas, nustato tvarką, užtikrinančią saugų techninės, programinės įrangos funkcionavimą, elektroninės informacijos tvarkymą ir jos teikimą kitoms institucijoms.

2.    Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės  2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau − Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose (toliau – EPLSAFIS nuostatai), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose vartojamas sąvokas.

 

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS UŽTIKRINIMO PRIEMONIŲ APRAŠYMAS

 

3. EPLSAFIS kompiuterinės įrangos saugos užtikrinimo priemonės:

3.1. tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų, naudojant rezervinius elektros įvadus, vietinius elektros generatorius, nenutrūkstamo maitinimo šaltinius (UPS), užtikrinančius tarnybinių stočių veikimą ne mažiau kaip 30 min.;

3.2. patalpose, kuriose yra techninė įranga, užtikrintos gamintojo nustatytos techninės įrangos veikimo sąlygos, įranga prižiūrima ir eksploatuojama pagal gamintojo rekomendacijas;

3.3. svarbiausi EPLSAFIS elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos dubliuojami, jų techninė būklė nuolat stebima;

3.4. svarbiausios kompiuterinės įrangos gedimai registruojami (už gedimų registravimą atsakingas EPLSAFIS išorės administratorius);

3.5. naudojamą kompiuterinę įrangą prižiūri ir gedimus šalina kvalifikuoti specialistai;

3.6. kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga, kurios sąrašas peržiūrimas kartą per metus ir prireikus atnaujinamas;

3.7. įgyvendinamos Lietuvos standarte LST ISO/IEC 27002:2014 nurodytos saugos užtikrinimo priemonės;

3.8. kitos EPLSAFIS kompiuterinės įrangos saugos užtikrinimo priemonės nustatytos Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, patvirtintuosesocialinės apsaugos ir darbo ministro.

4. EPLSAFIS sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės:

4.1. naudojama legali sisteminė ir taikomoji programinė įranga;

4.2. programinę įrangą diegia tik įgalioti asmenys;

4.3. programinė įranga testuojama tik tam skirtoje aplinkoje;

4.4. pirminiai slaptažodžiai, suteikiantys teisę dirbti su EPLSAFIS sistemine programine įranga, žinomi tik EPLSAFIS administratoriui ir saugomi seife užklijuotame voke;

4.5. teisė dirbti su EPLSAFIS programine įranga suteikiama tik EPLSAFIS naudotojams;

4.6. EPLSAFIS naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai nustatyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose socialinės apsaugos ir darbo ministro;

4.7. kitos saugos priemonės, susijusios su EPLSAFIS programinės įrangos sauga, nustatytos Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose socialinės apsaugos ir darbo ministro.

5. EPLSAFIS elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės:

5.1. EPLSAFIS naudotojų tapatybei nustatyti ir tiesioginei prieigai prie EPLSAFIS elektroninės informacijos kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir teisių sistema;

5.2. prisijungimo prie EPLSAFIS duomenų bazės vardai ir pirminio prisijungimo slaptažodžiai žinomi tik EPLSAFIS administratoriui ir tam EPLSAFIS naudotojui, kuriam jie yra skirti;

5.3. perduodamos EPLSAFIS elektroninės informacijos saugumas užtikrinamas naudojant saugų duomenų perdavimo tinklą arba sukuriant šifruoto duomenų perdavimo kanalą;

5.4. kitos EPLSAFIS elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės nustatytos Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose socialinės apsaugos ir darbo ministro.

6. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

6.1. patekimo į patalpas, kuriose yra EPLSAFIS tarnybinės stotys, sąlygas nustato EPLSAFIS išorės administratoriaus vadovas;

6.2. patekimas į patalpas, kuriose yra tarnybinės stotys, ir patalpas, kuriose saugomos EPLSAFIS duomenų atsarginės kopijos, kontroliuojamas naudojant vaizdo stebėjimo sistemą;

6.3. visos išorinės durys ir langai tarnybinių stočių patalpose turi būti apsaugoti taip, kad niekas į jas nepatektų;

6.4. patalpos, kuriose yra tarnybinės stotys, atskirtos nuo bendrojo naudojimo patalpų. Į šias patalpas patekti gali tik įgalioti asmenys. Kiti asmenys į šias patalpas gali patekti tik lydimi įgalioto asmens;

6.5. tarnybinių stočių patalpose įrengtos priešgaisrinės signalizacijos ir automatinės gaisro gesinimo sistemos, yra ugnies gesintuvai ir speciali gesinimo įranga, įrengti įsilaužimo davikliai, nustatoma įeinančių į patalpas ir išeinančių iš jų asmenų tapatybė (elektroninės tapatybės nustatymo kortelės). Gaisro ir įsilaužimo davikliai prijungti prie pastato signalizacijos ir apsaugos tarnybų;

6.6. tarnybinių stočių patalpose įrengtos vėdinimo ir oro kondicionavimo sistemos. Šiose patalpose palaikomas tarnybinės stoties gamintojų nustatytas santykinis oro drėgnumas;

6.7. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo ar pažeidimo.

7. Kitos priemonės, naudojamos EPLSAFIS elektroninės informacijos saugai užtikrinti:

7.1. saugiam EPLSAFIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos fizinės, techninės ir organizacinės duomenų saugos priemonės, kuriomis užtikrinamas:

7.1.1. EPLSAFIS prieinamumas per metus ne mažiau kaip 95 proc. laiko visą parą;

7.1.2. ne ilgesnis nei 8 valandų EPLSAFIS neveikimo laikotarpis;

7.2. naudojantis programine įranga, nuolat atliekama EPLSAFIS funkcionavimo analizė ir EPLSAFIS funkcionavimo sutrikimų prevencija;

7.3. įdiegiama EPLSAFIS programinės įrangos apsauga nuo pagrindinių per tinklą valdomų EPLSAFIS atakų;

7.4. informacija apie EPLSAFIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, visus EPLSAFIS naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius analizuojama ne rečiau kaip kartą per mėnesį, įvykių žurnaluose duomenys saugomi 1 metus;

7.5. EPLSAFIS tarnybinės stotys apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto). Apsaugai naudojama programinė įranga atsinaujina automatiškai ne rečiau kaip kartą per parą.

 

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

8. EPLSAFIS administratoriaus tvarkoma informacija:

8.1.    EPLSAFIS klasifikatoriai;

8.2.    EPLSAFIS naudotojų teisės;

8.3.    EPLSAFIS naudotojų grupės.

9. EPLSAFIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo duomenų saugos nuostatais, patvirtintais socialinės apsaugos ir darbo ministro, ir kitais teisės aktais, reglamentuojančiais EPLSAFIS elektroninės informacijos tvarkymą.

10. EPLSAFIS naudotojo veiksmų registravimo tvarka: EPLSAFIS naudotojui prisijungus prie EPLSAFIS duomenų bazės, elektroniniame žurnale automatiškai registruojamas EPLSAFIS naudotojo darbo laikas, prisijungimo vardas ir jo atliekami EPLSAFIS elektroninės informacijos tvarkymo veiksmai.

11. Atsarginių EPLSAFIS elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

11.1. atsarginės EPLSAFIS elektroninės informacijos kopijos daromos automatiškai kiekvieną dieną. Visos EPLSAFIS elektroninės informacijos kopija daroma darbo dienomis nuo 23 val. iki 5 val.;

11.2. atsarginės EPLSAFIS elektroninės informacijos kopijos laikomos kitose patalpose, nei yra EPLSAFIS tarnybinės stotys;

11.3. ne rečiau kaip kartą per metus vykdomi EPLSAFIS elektroninės informacijos atkūrimo iš atsarginių EPLSAFIS elektroninės informacijos kopijų bandymai.

12. Saugaus EPLSAFIS elektroninės informacijos perkėlimo ir teikimo kitiems registrams bei informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:

12.1. EPLSAFIS elektroninė informacija teikiama tik teisės aktuose nustatytais atvejais;

12.2. EPLSAFIS elektroninė informacija, įskaitant asmens duomenis, vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, teikiama ir gaunama:

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

12.3. EPLSAFIS elektroninė informacija kitiems registrams ir informacinėms sistemoms teikiama ir gaunama (jeigu taikoma) iš jų duomenų teikimo sutartyse nustatytomis sąlygomis ir tvarka, kurios atitinka galiojančių teisės aktų reikalavimus.

13. EPLSAFIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

13.1. EPLSAFIS naudotojai apie pastebėtą neteisėtą EPLSAFIS elektroninės informacijos kopijavimą, keitimą, naikinimą ar kitus neteisėtus EPLSAFIS elektroninės informacijos tvarkymo veiksmus nedelsdami informuoja EPLSAFIS saugos įgaliotinį ar EPLSAFIS administratorių;

13.2. EPLSAFIS naudotojams suteiktų teisių atitiktis atliekamoms funkcijoms patikrinama atliekant EPLSAFIS informacinių technologijų saugos atitikties vertinimą EPLSAFIS duomenų saugos nuostatų nustatyta tvarka.

14. EPLSAFIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

14.1. EPLSAFIS išorės administratorius EPLSAFIS tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą EPLSAFIS funkcionuoti;

14.2. naudojama tik sertifikuota programinė ir techninė įranga;

14.3. prieš išvežant remontuoti sugedusią techninę įrangą, išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos atsarginės jų kopijos, o kartu perduodamose laikmenose esantys duomenys ištrinami.

15. EPLSAFIS pokyčių (toliau – pokyčiai) valdymo tvarka:

15.1. EPLSAFIS valdytojas užtikrina pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį, įtakos vertinimą, pokyčių prioritetų nustatymo procesus;

15.2. pokyčiai nustatomi pagal EPLSAFIS naudotojų poreikius, atsižvelgiant į EPLSAFIS priežiūros problemas;

15.3. pokyčius inicijuoti turi teisę EPLSAFIS valdytojas;

15.4. prieš priimant sprendimą įgyvendinti pokytį, įvertinama, kokią įtaką jis turės EPLSAFIS veiklai. Pagal įtaką EPLSAFIS veiklai pokyčiai skirstomi į nedidelius ir didelius;

15.5. pokyčių prioritetai nustatomi atsižvelgiant į pokyčių kategorijas ir jiems suteikiamos reikšmės: „labai skubu“, „skubu“, „neskubu“;

15.6. pokyčius planuoti ir įgyvendinti gali Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, arba tretieji asmenys paslaugų pirkimo sutartyse nurodytomis sąlygomis;

15.7. jei įgyvendinant pokyčius gali kilti grėsmė EPLSAFIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, būsimi pokyčiai išbandomi testavimo aplinkoje;

15.8. jei įgyvendinant pokyčius galimi EPLSAFIS veiklos sutrikimai, EPLSAFIS administratorius privalo ne vėliau kaip prieš 1 darbo dieną iki planuojamų pokyčių įgyvendinimo pradžios informuoti (per EPLSAFIS, elektroniniu paštu ar kitomis priemonėmis) EPLSAFIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

15.9. EPLSAFIS administratorius privalo pateikti visą reikalingą informaciją kitiems EPLSAFIS naudotojams apie EPLSAFIS naudojimo pakitimus.

 

IV SKYRIUS

REIKALAVIMAI, KELIAMI EPLSAFIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

16. EPLSAFIS funkcionuoti reikalingų paslaugų teikėjo prieiga prie EPLSAFIS techninės ir programinės įrangos kontroliuojama naudojant prisijungimo vardų, slaptažodžių ir teisių sistemą, skirtą paslaugų teikėjo darbuotojų tapatybei nustatyti.

17. EPLSAFIS elektroninės informacijos saugos priemonės, taip pat EPLSAFIS funkcionuoti reikalingų paslaugų teikėjo atsakomybė, susijusi su EPLSAFIS techninės ir programinės įrangos diegimu bei priežiūra, paslaugos, būtinos EPLSAFIS funkcionavimui užtikrinti, nustatomos paslaugų teikimo sutartyje.

18. Paslaugų, darbų ar įrangos, susijusių su EPLSAFIS kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas turi užtikrinti atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

19. EPLSAFIS naudotojas privalo nedelsdamas, bet ne vėliau kaip per 1 darbo dieną informuoti EPLSAFIS saugos įgaliotinį ar EPLSAFIS administratorių apie pastebėtus saugumo incidentus: Taisyklių reikalavimų pažeidimus, EPLSAFIS veiklos sutrikimus arba neįprastą EPLSAFIS veikimą.

20. EPLSAFIS naudotojai, pažeidę Taisyklių ar kitų EPLSAFIS saugos politiką įgyvendinančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_______________________________

part_6aaa2664219e4c22a232e742cc497020_end


 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos ir darbo ministro

2020 m. sausio 28 d. įsakymu Nr. A1-71

 

 

Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) naudotojų ir administratorių funkcijas, jų teises ir pareigas, saugaus elektroninės informacijos teikimo kontrolės tvarką ir principus.

2.    Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.

3.    Taisyklės taikomos EPLSAFIS valdytojui, EPLSAFIS administratoriui, EPLSAFIS išorės administratoriui, EPLSAFIS saugos įgaliotiniui ir EPLSAFIS naudotojams.

 

II SKYRIUS

EPLSAFIS ELEKTRONINĖS INFORMACIJOS PRINCIPAI

 

4. Prieigos prie EPLSAFIS elektroninės informacijos principai:

4.1. neleisti neįgaliotiems asmenims prieiti prie EPLSAFIS duomenims tvarkyti naudojamos duomenų apdorojimo įrangos;

4.2. apriboti neleistiną duomenų įvedimą į EPLSAFIS, siekiant EPLSAFIS duomenis keisti, ištrinti, peržiūrėti ar kitaip tvarkyti;

4.3. neleisti neįgaliotiems asmenims naudotis EPLSAFIS programine įranga;

4.4. užtikrinti, kad asmenys, įgalioti naudotis EPLSAFIS programine įranga, galėtų prieiti tik prie tos elektroninės informacijos, prie kurios prieiti jiems suteiktos prieigos teisės;

4.5. užtikrinti, kad EPLSAFIS duomenų užklausos būtų registruojamos;

4.6. užtikrinti galimybę nustatyti, kas ir kada pateikė elektroninę informaciją EPLSAFIS;

4.7. kituose Lietuvos Respublikos ir Europos Sąjungos teisės aktuose numatyti saugaus elektroninės informacijos tvarkymo principai.

 

III SKYRIUS

EPLSAFIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

 

5. EPLSAFIS naudotojų ir EPLSAFIS administratorių įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi socialinės apsaugos ir darbo ministro tvirtinamose Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėse, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plane, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo duomenų saugos nuostatuose.

6. EPLSAFIS naudojasi ir EPLSAFIS elektroninę informaciją tvarko EPLSAFIS naudotojai.

7. EPLSAFIS naudotojai turi teisę:

7.1. naudotis EPLSAFIS ir EPLSAFIS kaupiama elektronine informacija pagal EPLSAFIS administratoriaus suteiktas prieigos teises;

7.2. tvarkyti EPLSAFIS elektroninę informaciją pagal EPLSAFIS administratoriaus suteiktas prieigos teises.

8. EPLSAFIS naudotojai privalo:

8.1. užtikrinti jų naudojamos ir tvarkomos EPLSAFIS elektroninės informacijos konfidencialumą, vientisumą, savo veiksmais netrikdyti EPLSAFIS elektroninės informacijos prieinamumo;

8.2. saugoti naudojamų ir tvarkomų asmens duomenų paslaptį 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nustatyta tvarka.

Papunkčio pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

9. EPLSAFIS saugos įgaliotinio funkcijos ir atsakomybė nustatyti EPLSAFIS duomenų saugos nuostatų 8 punkte.

10. EPLAFIS administratoriaus funkcijos ir atsakomybė nustatyti EPLSAFIS duomenų saugos nuostatų 9 punkte.

 

IV SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NAUDOTOJAMS KONTROLĖS TVARKA

 

11. EPLSAFIS naudotojus registruoja, išregistruoja, prieigos prie EPLSAFIS teises suteikia ir panaikina EPLSAFIS administratorius.

12. EPLSAFIS naudotojui prieiga prie EPLSAFIS duomenų ir elektroninės informacijos suteikiama pateikus prašymą (Taisyklių 1 priedas) elektroniniu adresu: EPLSAFIS@socmin.lt.

13. EPLSAFIS naudotojui prieiga prie EPLSAFIS duomenų ir EPLSAFIS elektroninės informacijos panaikinama gavus prašymą panaikinti prieigą prie EPLSAFIS (Taisyklių 2 priedas). Jeigu prašymas dėl prieigos prie EPLSAFIS panaikinimo nėra gautas, bet yra žinoma, kad atitinkamas EPLSAFIS naudotojas nebedirba tam tikroje institucijoje ar organizacijoje arba egzistuoja kitos objektyvios aplinkybės, dėl kurių prieiga prie EPLSAFIS turi būti panaikinta (pavyzdžiui, EPLSAFIS naudotojas sistemiškai nesilaiko EPLSAFIS duomenų saugą reguliuojančių teisės aktų reikalavimų), EPLSAFIS administratorius tokią prieigą gali panaikinti be prašymo.

14. EPLSAFIS administratorius, gavęs rašytinį prašymą suteikti / panaikinti naudotojo prieigos teises, per 1 darbo dieną suteikia / panaikina nurodytam EPLSAFIS naudotojui prieigą prie EPLSAFIS apie tai informuodamas jį el. paštu, kartu pateikdamas ir laikinąjį slaptažodį.

15. EPLSAFIS naudotojai prie EPLSAFIS gali jungtis naudodamiesi suteiktu naudotojo vardu ir slaptažodžiu.

16. EPLSAFIS naudotojo slaptažodžiui yra keliami šie reikalavimai:

16.1. slaptažodis sudaromas iš ne mažesnio kaip 8 simbolių derinio, sudaryto iš raidžių, skaičių ir specialiųjų simbolių;

16.2. slaptažodžiams nenaudojama asmeninio pobūdžio informacija;

16.3. slaptažodis keičiamas ne rečiau kaip kas 3 mėnesius;

16.4. keičiant slaptažodį informacinė sistema neleidžia pasirinkti slaptažodžio iš buvusių 2 (dviejų) paskutinių slaptažodžių;

16.5. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 5 (penki) kartai. Slaptažodį neteisingai įvedus 5 (penkis) kartus, EPLSAFIS užsirakina ir neleidžia EPLSAFIS naudotojui identifikuotis 15 (penkiolika) minučių.

17. EPLSAFIS naudotojas privalo:

17.1. pirmą kartą gavęs EPLSAFIS administratoriaus suteiktą vardą ir slaptažodį prisijungti prie EPLSAFIS, nedelsdamas pakeisti slaptažodį nauju ir jį įsiminti (draudžiama užrašytus slaptažodžius palikti matomoje vietoje);

17.2. saugoti prisijungimo duomenis ir jų neatskleisti tretiesiems asmenims;

17.3. nedelsdamas pakeisti prisijungimo duomenis, jei įtaria, kad tretieji asmenys sužinojo slaptažodį.

18. EPLSAFIS administratoriaus slaptažodžiui yra keliami šie reikalavimai:

18.1. slaptažodis sudaromas iš ne mažesnio kaip 12 simbolių derinio, sudaryto iš didžiųjų, mažųjų raidžių, skaitmenų ir specialiųjų simbolių. Keičiant slaptažodį, EPLSAFIS neleidžia sudaryti slaptažodžio iš buvusių 2 (dviejų) paskutinių slaptažodžių;

18.2. slaptažodis keičiamas ne rečiau kaip kas 2 (du) mėnesius.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

19. Asmenys, pažeidę Taisyklių ar kitų EPLSAFIS saugos politiką įgyvendinančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_________________________

part_4fe3efcfbcba4b8c8066063fbdccfe67_end


 

Europos pagalbos labiausiai skurstantiems

asmenims fondo informacinės sistemos

naudotojų administravimo taisyklių

1 priedas

 

(Prašymo suteikti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų tvarkymo / peržiūros teises forma)

 

_______________________________________________________________________________________ (įstaigos pavadinimas)

 

Lietuvos Respublikos socialinė apsaugos ir darbo ministerijai

El. p. EPLSAFIS@socmin.lt

 

PRAŠYMAS SUTEIKTI EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMO / PERŽIŪROS TEISES

 

_______________

(data)

 

Prašau suteikti man ________________________________________________________________

(pareigos, vardas, pavardė)

 

teises dirbti su Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) kaupiamais duomenimis:

Duomenų apimtis

Duomenų tvarkymo teisės

(pažymėkite reikiamas teises)

Duomenų įvedimas ir tikslinimas

Tik duomenų peržiūra

1. Visi EPLSAFIS moduliai, nurodyti lentelės 2 punkte

2. Dalis EPLSAFIS modulių:

2.1. Modulis „Programa“

2.2. Modulis „Paraiškų vertinimas“

2.3. Modulis „Projektai“

2.4. Modulis „Pažeidimai“

2.5. Modulis „Auditas“

2.6. Modulis „Ataskaitos“

2.7. Modulis „Administravimas“

3. EPLASFIS duomenų mainų svetainė

 

Patvirtinu, kad atstovauju vienai iš šių institucijų / organizacijų:

Europos pagalbos labiausiai skurstantiems asmenims fondo vadovaujančiai institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo audito institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo tarpinei institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo tvirtinančiai institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo projekto vykdytojui;

Europos pagalbos labiausiai skurstantiems asmenims fondo organizacijai partnerei.

 

_______________________________

(vardas, pavardė, parašas)

 

part_f9fa6dfa3c2e4b3eb60f4d225eef16cc_end


 

Europos pagalbos labiausiai skurstantiems

asmenims fondo informacinės sistemos

naudotojų administravimo taisyklių

2 priedas

 

(Prašymo panaikinti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų tvarkymo / peržiūros teises forma)

 

___________________________________________________________________________________

(įstaigos pavadinimas)

 

Lietuvos Respublikos socialinė apsaugos ir darbo ministerijai

El. p. EPLSAFIS@socmin.lt

 

PRAŠYMAS PANAIKINTI EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMO / PERŽIŪROS TEISES

 

________________

(data)

 

Prašau panaikinti mano __________________________________________________________

(pareigos, vardas, pavardė)

 

toliau pažymėtas teises dirbti su Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje kaupiamais duomenimis:

Duomenų apimtis

Duomenų tvarkymo teisės

(pažymėkite reikiamas teises)

Duomenų įvedimas ir tikslinimas

Tik duomenų peržiūra

1. Visi EPLSAFIS moduliai, nurodyti lentelės 2 punkte

2. Dalis EPLSAFIS modulių:

2.1. Modulis „Programa“

2.2. Modulis „Paraiškų vertinimas“

2.3. Modulis „Projektai“

2.4. Modulis „Pažeidimai“

2.5. Modulis „Auditas“

2.6. Modulis „Ataskaitos“

2.7. Modulis „Administravimas“

3. EPLASFIS duomenų mainų svetainė

 

Patvirtinu, kad atstovauju / atstovavau vienai iš šių institucijų / organizacijų:

Europos pagalbos labiausiai skurstantiems asmenims fondo vadovaujančiai institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo audito institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo tarpinei institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo tvirtinančiai institucijai;

Europos pagalbos labiausiai skurstantiems asmenims fondo projekto vykdytojui;

Europos pagalbos labiausiai skurstantiems asmenims fondo organizacijai partnerei.

 

__________________________________

(vardas, pavardė, parašas)

 

 

part_aa8b7fe865564597bc7853a402b6efb2_end


 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos ir darbo ministro

2020 m. sausio 28 d. įsakymu Nr. A1-71

 

EUropos pagalbos labiausiai skurstantiems asmenims fondo INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) veiklos užtikrinimą, veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės funkcijas.

2.    Plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.

3.    Planą vykdyti privalu įvykus elektroninės informacijos saugos arba kibernetinės saugos incidentui (toliau kartu – saugos incidentas), kurio metu gali kilti pavojus EPLSAFIS tvarkomai elektroninei informacijai (gali būti pažeistas duomenų vientisumas, konfidencialumas ar prieinamumas), EPLSAFIS infrastruktūros ir taikomosios programinės įrangos funkcionavimui, gali būti sutrikdytas EPLSAFIS duomenų teikimas suinteresuotiems juridiniams asmenims ir (ar) jų valdomoms informacinėms sistemoms, pažeistas duomenų priėmimas iš suinteresuotų juridinių asmenų ir (ar) jų valdomų registrų ar informacinių sistemų. Įvykus kibernetiniam incidentui, vadovaujamasi Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

4.    EPLSAFIS išorės administratoriaus, EPLSAFIS saugos įgaliotinio, EPLSAFIS administratoriaus ir kitų atsakingų Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos (toliau – Ministerija) ar kitų atsakingų institucijų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojai), veiksmai saugos incidento atveju yra nurodyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plane (Plano 1 priedas).

5.    EPLSAFIS naudotojai privalo vykdyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) reikalavimus.

6.    Finansinių ir kitokių išteklių, numatomų EPLSAFIS veiklai atkurti įvykus saugos incidentui, šaltinius ir pobūdį numato ir pasirenka Valdymo grupė.

7.    EPLSAFIS veikla laikoma atkurta, jeigu yra atkurtas saugos incidento metu sutrikęs EPLSAFIS funkcionalumas ir prieinamumas, užtikrintas duomenų konfidencialumas ir vientisumas.

 

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

 

8.    Valdymo grupė užtikrina EPLSAFIS veiklai kylančių grėsmių valdymą ir EPLSAFIS veiklos atkūrimo koordinavimą įvykus saugos incidentui.

9. Valdymo grupę sudaro grupės vadovas, jo pavaduotojai ir grupės nariai:

9.1. Ministerijos, kaip EPLSAFIS valdytojos, kancleris arba socialinės apsaugos ir darbo ministro paskirtas kitas Ministerijos darbuotojas (toliau – Valdymo grupės vadovas);

9.2. Valdymo grupės vadovo pavaduotojai:

9.2.1. Ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas;

9.2.2. Ministerijos Administravimo departamento darbuotojas arba kitas saugos incidento klausimus sprendžiantis Ministerijos darbuotojas;

9.2.3.  Ministerijos Finansų departamento Finansų skyriaus vedėjas;

9.3.  Europos Sąjungos investicijų skyriaus vedėjas arba kitas jo paskirtas darbuotojas;

9.4. EPLSAFIS saugos įgaliotinis.

Punkto pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

91. Į Valdymo grupės susitikimus turi būti kviečiamas Informacinės visuomenės plėtros komiteto, kaip Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos išorės administratoriaus, atstovas.

Papildyta punktu:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

10Valdymo grupės funkcijos:

10.1.  saugos incidento analizė ir sprendimų EPLSAFIS veiklos tęstinumo valdymo klausimais priėmimas;

10.2.  saugos incidento skelbimas; prieš priimdama sprendimą skelbti saugos incidentą, Valdymo grupė įvertina:

10.2.1.    ar saugos incidento padariniams likviduoti reikės papildomų finansinių išteklių;

10.2.2.    ar reikės atkurti EPLSAFIS duomenis iš atsarginių kopijų;

10.2.3.    ar reikės apie saugos incidentą informuoti teisėsaugą ar kitas valstybės institucijas ir įstaigas;

10.3.  bendradarbiavimas su EPLSAFIS naudotojais;

10.4.  bendradarbiavimas su susijusių registrų, informacinių sistemų veiklos tęstinumo valdymo grupėmis;

10.5.  bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

10.6.  bendravimas ir bendradarbiavimas su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos (toliau – Centras), teisėsaugos ir kitomis institucijomis, jų darbuotojais ir kitomis interesų grupėmis vadovaujantis Kibernetinio saugumo įstatymo ir Kibernetinio saugumo reikalavimų aprašo nuostatomis;

10.7.  finansinių ir kitų išteklių, reikalingų EPLSAFIS veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;

10.8.  EPLSAFIS elektroninės informacijos fizinės saugos užtikrinimas, įvykus saugos incidentui;

10.9.  logistika (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

10.10.     EPLSAFIS veiklos atkūrimo priežiūra ir koordinavimas;

10.11.     kitų funkcijų, susijusių su EPLSAFIS veiklos tęstinumo užtikrinimu, vykdymas.

11.  Atkūrimo grupė yra atskaitinga Valdymo grupei ir vykdo EPLSAFIS veiklos atkūrimą ir veikimo užtikrinimą įvykus saugos incidentui.

12. Atkūrimo grupė sudaroma iš šių narių:

12.1. Ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas (toliau – Atkūrimo grupės vadovas);

12.2. EPLSAFIS saugos įgaliotinis (toliau – Atkūrimo grupės vadovo pavaduotojas);

12.3. Ministerijos Administravimo departamento Turto valdymo skyriaus darbuotojas;

12.4. Ministerijos Administravimo departamento Informacinių technologijų skyriaus darbuotojas;

12.5. EPLSAFIS administratorius;

12.6. Europos Sąjungos investicijų skyriaus darbuotojas.

Punkto pakeitimai:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

121. Į Atkūrimo grupės susitikimus turi būti kviečiamas Informacinės visuomenės plėtros komiteto, kaip Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos išorės administratoriaus, atstovas.

Papildyta punktu:

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

 

13Atkūrimo grupės funkcijos:

13.1.  EPLSAFIS tarnybinių stočių veikimo atkūrimo organizavimas;

13.2.  kompiuterių tinklo veikimo atkūrimo organizavimas;

13.3.  EPLSAFIS elektroninės informacijos atkūrimo organizavimas;

13.4.  EPLSAFIS taikomosios programinės įrangos tinkamo veikimo atkūrimo organizavimas;

13.5.  darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

13.6.  kitų funkcijų, susijusių su EPLSAFIS veiklos tęstinumo užtikrinimu, vykdymas.

14.  Už kiekvieną Atkūrimo grupės funkciją atsakingais skiriami ne mažiau kaip du Atkūrimo grupės atstovai.

15.  Esant paskelbtam saugos incidentui, Valdymo grupė ir Atkūrimo grupė organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (el. paštu, telefonu, mobiliuoju ryšiu ir kt.).

16.  Reaguojant į saugos incidentus ir juos valdant, turi būti vadovaujamasi Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu (Plano 1 priedas) ir šiomis taisyklėmis:

16.1.  darbuotojų gyvybės ir sveikatos apsauga – būtina užtikrinti visų darbuotojų gyvybės ir sveikatos apsaugą, kol trunka saugos incidentas ir likviduojami elektroninės informacijos saugos incidento padariniai;

16.2.  EPLSAFIS veiklos atkūrimas – paskelbus saugos incidentą, jei būtina, organizuojama fizinė sauga ir nedelsiant pradedama atkurti EPLSAFIS veikla. Pirmiausia atkuriamas EPLSAFIS prieinamumas ir kritiškiausias informacinės sistemos funkcionalumas:

16.2.1.    EPLSAFIS išorės administratorius pagal kompetenciją atkuria EPLSAFIS infrastruktūros ir taikomosios programinės įrangos funkcionavimą;

16.2.2.    EPLSAFIS išorės administratorius iš atsarginių kopijų atkuria elektroninės informacijos saugos incidento metu prarastus arba sugadintus EPLSAFIS duomenis.

17.  Valdymo grupė organizuoja žalos EPLSAFIS duomenims, EPLSAFIS infrastruktūrai ir taikomajai programinei įrangai vertinimą, koordinuoja EPLSAFIS veiklai atkurti reikalingos kompiuterių aparatinės, sisteminės ir taikomosios programinės įrangos įsigijimą.

18.  Saugos incidento metu sunaikinta kompiuterių aparatinė, sisteminė ir taikomoji programinė įranga keičiama turima rezervine kompiuterių įranga, vėliau Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka įsigyjama nuolatinė kompiuterių įranga. Įsigijimo išlaidos padengiamos iš Lietuvos Respublikos valstybės biudžeto ir (ar) kitų finansavimo šaltinių.

19.  Atsarginės patalpos, naudojamos EPLSAFIS veiklai atkurti saugos incidento atveju, turi atitikti šiuos reikalavimus:

19.1 patekimas į patalpas kontroliuojamas;

19.2.  patalpos atskirtos nuo bendrojo naudojimo patalpų;

19.3.  patalpos atitinka priešgaisrinės saugos reikalavimus, jose įrengtos gaisro gesinimo priemonės;

19.4.  patalpos apsaugotos nuo vandens žalos, žaibo, elektros energijos tiekimo sutrikimo grėsmių;

19.5.  patalpose įrengtas rezervinis elektros energijos šaltinis EPLSAFIS kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;

19.6.  ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo;

19.7.  patalpoje nuolat veikia oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema);

19.8.  atsarginės patalpos turi tenkinti ir kitus pagrindinėms patalpoms keliamus reikalavimus.

20.  Atsarginių patalpų, naudojamų EPLSAFIS veiklai atkurti elektroninės informacijos saugos incidento atveju, adresas ir vieta nurodyti Plano 3 priede.

21.  Per metus turi būti užtikrintas ne mažesnis kaip 95 proc. visos paros laiko EPLSAFIS prieinamumas.

22.  EPLSAFIS negali neveikti ilgiau nei 8 val.

23.  Apie kibernetinius incidentus Centras turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais.

24.  Apie tai, kad didelės ar vidutinės reikšmės kibernetinis incidentas suvaldytas ir pašalintas, Centrui turi būti pranešama ne vėliau kaip per 2 valandas nuo kibernetinio incidento suvaldymo ir pašalinimo.

 

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

 

25.  Už informaciją apie EPLSAFIS naudojamą kompiuterių techninę ir programinę įrangą, jos parametrus, už šios įrangos priežiūrą atsakingas EPLSAFIS išorės administratorius.

26.  Minimaliai būtinos kompiuterių techninės ir programinės įrangos, reikalingos EPLSAFIS veiklai atkurti ir funkcionalumui užtikrinti saugos incidento metu, specifikacija turi būti tokia pati kaip ir pagrindinė EPLSAFIS techninė specifikacija.

27.  Visų pastatų aukštų patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą (vadovaudamasis EPLSAFIS technine specifikacija) parengia, ne rečiau kaip kartą per kalendorinius metus atnaujina ir saugo EPLSAFIS išorės administratorius. Brėžiniuose turi būti pažymėta ši patalpose esanti įranga bei komunikacijos:

27.1 tarnybinės stotys;

27.2.  duomenų perdavimo įranga (šakotuvai, skirstytuvai, kelvedžiai, modemai, telefonų stotys ir kt.);

27.3.  kompiuterių tinklo ir telefonų tinklo mazgai;

27.4.  kompiuterių tinklo ir telefonų tinklo laidų, nutiestų tarp pastato aukštų, vietos;

27.5.  elektros įvedimo pastate vietos.

28.  Kompiuterių tinklo fizinio ir loginio sujungimo schemas parengia ir saugo EPLSAFIS išorės administratorius.

29.  EPLSAFIS elektroninės informacijos teikimo ir kompiuterių techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos ir duomenys saugomi EPLSAFIS išorės administratoriaus vadovo patvirtintame dokumentacijos plane nustatyta tvarka.

30.  Programinės įrangos laikmenų ir laikmenų su atsarginėmis EPLSAFIS elektroninės informacijos kopijomis saugojimo vieta, šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos fiksuojami vadovaujantis EPLSAFIS išorės administratoriaus organizacijoje nustatyta tvarka.

31.  EPLSAFIS saugos įgaliotinis parengia ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą, kuriame nurodomi šių asmenų tarnybinių mobiliųjų ir asmeninių telefonų numeriai, gyvenamosios vietos adresai. Šie duomenys tvarkomi tik siekiant užtikrinti saugos incidentų valdymą ir EPLSAFIS veiklos tęstinumą, jeigu Valdymo grupės ar Atkūrimo grupės nario Ministerijoje nėra.

 

IV SKYRIUS

PLANO VEIKSMINGUMO PATIKRINIMO NUOSTATOS

 

32.  Data, kai patikrinama, ar planas veiksmingas, nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojami saugos incidentai. Jų metu už saugos incidentų padarinių likvidavimą atsakingi asmenys imituoja saugos incidentą ir atlieka padarinių likvidavimo veiksmus. Atsarginėje EPLSAFIS stotyje iš atsarginių EPLSAFIS duomenų kopijų atkuriami EPLSAFIS duomenys.

33.  Pagal bandymų rezultatus EPLSAFIS saugos įgaliotinis parengia Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitą (Plano 4 priedas) (toliau – Ataskaita), kurioje apibendrinami atliktų bandymų rezultatai, nurodomi Plano trūkumai ir siūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina EPLSAFIS valdytojo vadovas.

34.  EPLSAFIS saugos įgaliotinis nuolat kontroliuoja, kaip įgyvendinamos Ataskaitoje nurodytos prevencinės priemonės.

35.  Plano veiksmingumo patikrinimo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

 

V skyrius

BAIGIAMOSIOS NUOSTATOS

 

36.  EPLSAFIS saugos įgaliotinis organizuoja Plano peržiūrą ne rečiau kaip vieną kartą per metus. Planas turi būti peržiūrimas atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

37.  Asmenys, pažeidę šio Plano reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

___________________

part_6584adf104fa4bb793a95515154e774b_end


 

Europos pagalbos labiausiai skurstantiems asmenims fondo

informacinės sistemos veiklos tęstinumo valdymo plano

1 priedas

 

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

 

Pavojaus rūšys

Pirmaeiliai veiksmai

Pasekmių likvidavimo veiksmai

Atsakingi pasekmių likvidavimo vykdytojai

1. Klimato sąlygos (smarkus lietus, audra, viesulas, škvalas, kruša, stiprus speigas ir pan.)

1.1. Saugos incidento pasekmių įvertinimas, priemonių plano pavojui pašalinti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas

1.1.1. Saugos incidento metu padarytos žalos įvertinimas

Valdymo grupės vadovas

1.1.2. Pavojaus pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas

Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) saugos įgaliotinis

 

1.1.3. Priemonių plano įgyvendinimas

Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) vadovas

1.2. Darbuotojų saugos incidento pasekmėms likviduoti paskyrimas

1.2.1. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas

Atkūrimo grupės vadovas

1.3. Oro prognozės sekimas

Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

1.4. Dirbantiesiems pavojaus vietoje rekomendacijų teikimas

1.4.1. Saugos incidento pasekmes likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

1.4.2. Darbuotojų informavimas, kaip elgtis pavojaus vietoje

EPLSAFIS saugos įgaliotinis

1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams

Atkūrimo grupės vadovas

1.4.4. Nukentėjusių darbuotojų transportavimo į gydymo įstaigą organizavimas

Atkūrimo grupės vadovas

1.5. Pavojaus vietų ženklinimas

1.5.1. Darbuotojų informavimas

EPLSAFIS saugos įgaliotinis

1.5.2. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

2. Gaisras

2.1. Ugniagesių tarnybos informavimas

2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija

Atkūrimo grupė vadovas

2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomendacija

Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas

2.2. Darbuotojų evakuacija (pagal ugniagesių tarnybos rekomendaciją)

Darbuotojų informavimas apie evakuaciją, jei yra rekomendacija

EPLSAFIS saugos įgaliotinis

2.3. Darbas pavojaus zonoje

Darbuotojų informavimas apie saugų darbą pavojaus zonoje

EPLSAFIS saugos įgaliotinis

2.4. Komunikacijų, sukeliančių pavojų, išjungimas

Atsakingų darbuotojų informavimas

Atkūrimo grupės vadovas

2.5. Gaisro gesinimas ankstyvojoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje

Individualių gesinimo priemonių panaudojimas

Atkūrimo grupės vadovas

3. Patalpų naudojimo reikalavimų pažeidimas arba praradimas

3.1. Teisėsaugos tarnybos informavimas

3.1.1. Įvykio vietos lokalizavimas, draudimas patekti į patalpas, jei yra teisėsaugos tarnybos rekomendacija

Atkūrimo grupės vadovas

3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija

Valdymo grupės vadovas

3.2. Darbuotojų evakuacija, jei yra rekomendacija

Darbuotojų informavimas apie evakuaciją

EPLSAFIS saugos įgaliotinis

3.3. Patalpų užrakinimas, jei yra galimybė

Teisėsaugos tarnybos nurodymų vykdymas

Atkūrimo grupės vadovas

3.4. Teisėsaugos tarnybos nurodymų vykdymas

Darbuotojų informavimas, kaip vykdomi nurodymai

EPLSAFIS saugos įgaliotinis

3.5. Veiklos perkėlimas į atsargines patalpas

3.5.1. Galimybių perkelti veiklą į atsargines patalpas nagrinėjimas

Valdymo grupės vadovas

3.5.2. Veiklos perkėlimas į atsargines patalpas

Atkūrimo grupės vadovas

3.5.3. Darbuotojų informavimas apie darbą naujose patalpose

EPLSAFIS saugos įgaliotinis

3.6. Patalpoms padarytos žalos likvidavimas

3.5.1. Padarytos žalos įvertinimas

Valdymo grupės vadovas

3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas

Valdymo grupės vadovas

 

3.5.3. Padarytos žalos likvidavimo priemonių plano vykdymas

Atkūrimo grupės vadovas

3.5.4. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

4. Elektros energijos tiekimo sutrikimai

4.1. Elektros energijos tiekimo sutrikimų priežasčių nustatymas

Sutrikimų šalinimo organizavimas

Atkūrimo grupės vadovas

4.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir galimybių pašalinti sutrikimus

Rekomendacijų iš energijos tiekimo tarnybos gavimas

Valdymo grupės vadovas

 

4.3. Sutrikimų pašalinimas

4.3.1. Pavojaus pašalinimas, elektros energijos tiekimas iš rezervinio dyzelinio generatoriaus

Atkūrimo grupės vadovas

4.3.2. Padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas

Atkūrimo grupės vadovas

4.3.3. Padarytos žalos įvertinimas

4.3.4. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

5. Vandentiekio ir šildymo sistemos sutrikimai

5.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas

5.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas

Valdymo grupės vadovas

 

5.1.2. Darbuotojų informavimas apie rekomendacijas

EPLSAFIS saugos įgaliotinis

5.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas

5.2.1. Padarytos žalos įvertinimas. Sutrikimo šalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas

Atkūrimo grupės vadovas

5.2.2. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

6. Tarnybinių stočių patalpos kondicionavimo įrangos gedimai

6.1. Atitinkamų tarnybų informavimas apie kondicionavimo įrangos gedimą

Kreipimasis į kondicionavimo įrangą prižiūrinčią tarnybą. Rekomendacijų iš tarnybos gavimas

 

EPLSAFIS išorės administratorius

6.2. Kondicionavimo įrangos gedimo pašalinimas

6.2.1. Priemonių, kad gedimai nesikartotų, nustatymas ir įgyvendinimas

Atkūrimo grupės vadovas

6.2.2. Padarytos žalos įvertinimas

7. Ryšio sutrikimas

7.1. Ryšio sutrikimo priežasčių nustatymas

Kreipimasis į ryšio paslaugos teikėją

EPLSAFIS administratorius

7.2. Ryšio tarnybų informavimas, paklausimas dėl sutrikimo trukmės ir galimybių jį pašalinti

 

7.1.2. Priemonių, kad sutrikimai nesikartotų, nustatymas ir įgyvendinimas

Atkūrimo grupės vadovas

7.1.3. Ryšio sutrikimo pašalinimas

8. Kompiuterių aparatinės įrangos sugadinimas, praradimas

8.1. Teisėsaugos tarnybos, draudimo bendrovės informavimas apie įvykį

8.1.1. Darbuotojų saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas

Valdymo grupės vadovas

 

8.2. Saugos incidento pasekmių šalinimas

8.2.1. Žalos, padarytos saugos incidento metu, įvertinimas

Valdymo grupės vadovas

 

8.2.2. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo

Atkūrimo grupės vadovas

8.2.3. Įsigytos įrangos diegimas

EPLSAFIS išorės administratorius

9. Programinės įrangos sugadinimas, praradimas

9.1. Saugos incidento pasekmių įvertinimas, priemonių plano pavojui suvaldyti ir padarytai žalai likviduoti sudarymas

 

9.1.4. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas

Valdymo grupės vadovas

 

9.1.1. Žalos, padarytos saugos incidento metu, įvertinimas

Valdymo grupės vadovas

 

9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas

Valdymo grupės vadovas

 

9.1.3. Žalą likviduojančių darbuotojų instruktavimas

EPLSAFIS saugos įgaliotinis

9.2. Programinės įrangos kopijų periodinis gaminimas

Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas

EPLSAFIS išorės administratorius

10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas

10.1. Saugos incidento pasekmių įvertinimas; Ministerijos vadovybės informavimas

10.1. Prarastų duomenų arba dokumentų atkūrimas

Atkūrimo grupės vadovas

10.2. Prarastų duomenų arba dokumentų atkūrimo kontrolė

Valdymo grupės vadovas

11. Darbuotojų praradimas

11.1. Saugos incidento pasekmių įvertinimas

Trūkstamų darbuotojų paieška

Valdymo grupės vadovas

 

 

part_159243069c2842c392184d9b888d1ce2_end


 

Europos pagalbos labiausiai skurstantiems asmenims

fondo informacinės sistemos veiklos tęstinumo valdymo plano

2 priedas

 

(Saugos incidentų registravimo žurnalo formos pavyzdys)

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGOS INCIDENTŲ ŽURNALAS

 

 

Pradėta pildyti  __________________                       Baigta pildyti ___________________

 

Eil. Nr.

Saugos incidentas

Požymio kodas

Įvykio aprašymas

Pradžia

(metai, mėnuo, diena, valanda)

Pabaiga

(metai, mėnuo, diena, valanda)

Pašalino

(vardas, pavardė)

Europos pagalbos labiausiai skurstantiems asmenims saugos įgaliotinis (vardas, pavardė, parašas)

1.

 

 

 

 

 

 

2.

 

 

 

 

 

 

3.

 

 

 

 

 

 

n

 

 

 

 

 

 

 

 

Elektroninės informacijos saugos incidento požymiai:

1 – klimatinės sąlygos; 2 – gaisras; 3 – patalpų naudojimo reikalavimų pažeidimas arba praradimas; 4 – elektros energijos tiekimo sutrikimai; 5 – vandentiekio ir šildymo sistemos sutrikimai; 6 – tarnybinių stočių patalpos kondicionavimo įrangos gedimas; 7 – ryšio sutrikimai; 8 – kompiuterių aparatinės įrangos sugadinimas, praradimas; 9 – programinės įrangos sugadinimas, praradimas; 10 – duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 –  darbuotojų praradimas.

 

part_1bc3e8276acd4c95b63dd8a9973df44e_end


 

Europos pagalbos labiausiai skurstantiems asmenims

fondo informacinės sistemos veiklos tęstinumo valdymo plano

3 priedas

 

ATSARGINĖS PATALPOS EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLAI ATKURTI SAUGOS INCIDENTO ATVEJU

 

1. Atsarginių patalpų adresas: Gedimino pr. 7, 01103 Vilnius, Lietuva

2. Atsarginių patalpų vieta plane:

 

 

 

part_f0c3ad9bc5a14f96bfa1e55b0cebeb85_end


 

Europos pagalbos labiausiai skurstantiems asmenims

fondo informacinės sistemos veiklos tęstinumo valdymo plano

4 priedas

 

 

(Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitos forma)

 

TVIRTINU

Socialinės apsaugos ir darbo ministras

 

(parašas)

 

(vardas ir pavardė)

 

EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATIKRINIMO ATASKAITA

 

20____ m. ____________ __d.  Nr.___

Vilnius

 

Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – valdymo planas) patikrinime dalyvavo šie Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) valdymo grupės nariai (nurodomas vardas, pavardė ir pareigos):

 

1.

2.

....

 

Elektroninės informacijos saugos incidento apibūdinimas:

 

 

 

Elektroninės informacijos saugos incidento poveikis EPLSAFIS:

 

 

 

Saugos incidento valdymo eiga:

 

 

 

Kibernetinio incidento apibūdinimas:

 

 

 

Kibernetinio incidento poveikis EPLSAFIS:

 

 

 

 

Nustatyti valdymo plano trūkumai:

 

 

 

Pasiūlymai keisti arba papildyti valdymo planą:

 

 

 

 

Veiklos tęstinumo

valdymo grupės vadovas

 

 

 

 

(vardas, pavardė)

 

(parašas)

 

Veiklos atkūrimo

grupės vadovas

 

 

 

 

(vardas, pavardė)

 

(parašas)

 

EPLSAFIS saugos įgaliotinis

 

 

 

 

 

(vardas, pavardė)

 

(parašas)

 

 

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas

Nr. A1-538, 2020-06-12, paskelbta TAR 2020-06-12, i. k. 2020-12922

Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas

Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353

Dėl Socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo

 

3.

Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas

Nr. A1-366, 2021-05-10, paskelbta TAR 2021-05-10, i. k. 2021-10370

Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo

 

 

part_d9374b7cc7384638871908865f0387f2_end