3.1. Saugaus Tarpžinybinės mokestinių duomenų saugyklos elektroninės informacijos tvarkymo taisykles ir jų priedus:

3.2. Tarpžinybinės mokestinių duomenų saugyklos veiklos tęstinumo valdymo planą;

3.3. Tarpžinybinės mokestinių duomenų saugyklos naudotojų administravimo taisykles.

1. Tarpžinybinės mokestinių duomenų saugyklos duomenų saugos nuostatų (toliau vadinama – TDS saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Tarpžinybinės mokestinių duomenų saugyklos (toliau vadinama – TDS) duomenų tvarkymą.

2. TDS duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš trijų vienas po kito sekančių etapų:

3. TDS saugos nuostatuose naudojamos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir TDS nuostatuose apibrėžtos sąvokos.

4. TDS duomenų saugos prioritetinės kryptys – saugus duomenų teikimas į TDS, teisėtas, saugus ir kokybiškas jų tvarkymas teikiant TDS duomenis TDS naudotojams bei teisėtas ir saugus jų naudojimas.

5. TDS valdytojo vadovas teisės aktu, kuriuo tvirtinami TDS saugos nuostatai, skiria TDS saugos įgaliotinį (toliau vadinama – saugos įgaliotinis) ir nurodo TDS saugos politiką įgyvendinančių dokumentų rengėjus bei šių dokumentų patvirtinimo terminus.

6. TDS valdytojo vadovas tvirtina šiuos TDS saugos politiką įgyvendinančius dokumentus:

7. TDS valdytojo vadovas, vadovaudamasis TDS saugos nuostatais, skiria TDS administratorių (toliau vadinama – administratorius).

8. Saugos įgaliotinis organizuoja, kontroliuoja, atsako už TDS saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:

9. Administratorius atlieka funkcijas, susijusias su TDS naudotojų darbuotojų teisių administravimu, TDS sudarančių komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklai) tinkamu veikimu ir priežiūra, TDS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu, vykdo kitas TDS saugos nuostatuose ir kituose TDS saugos nuostatų 6 punkte nurodytuose TDS saugos politiką įgyvendinančiuose dokumentuose prisikirtas funkcijas bei kitus TDS valdytojo nurodymus, susijusius su TDS sauga.

10. Administratorius kontroliuoja ir atsako už aptarnaujančių TDS darbuotojų ir TDS naudotojų darbuotojų atitinkamų teisių sukūrimą ir panaikinimą, jų administravimą, TDS ir TDS sudarančių komponentų nepertraukiamą veikimą, TDS pažeidžiamų vietų ir saugumo reikalavimų nustatymą bei aptarnaujančių TDS darbuotojų TDS saugos nuostatų ir kitų TDS saugą reglamentuojančių teisės aktų laikymąsi.

11. Administratorius turi teisę patikrinti (peržiūrėti) TDS saugos nuostatų 9 punkte įvardintų TDS sudarančių komponentų tinkamą veikimą ir TDS būsenos rodiklius.

12. Aptarnaujantys TDS darbuotojai atlieka tokias funkcijas:

13. Aptarnaujantys TDS darbuotojai naudojasi teisėmis tvarkyti sukeltus į TDS juridinio asmens duomenis tik tiek, kiek tai yra būtina nustatytoms jų funkcijoms atlikti.

14. Aptarnaujantys TDS darbuotojai, užpildydami ir pasirašydami aptarnaujančio TDS darbuotojo įsipareigojimų formą, raštu įsipareigoja nepažeisti TDS saugos nuostatų, kitų TDS saugos nuostatų 6 punkte nurodytų TDS saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, kurie reglamentuoja TDS duomenų tvarkymą ir saugą.

15. Teisės aktų, kuriais vadovaujamasi tvarkant teikiamus į TDS duomenis, TDS duomenis ir informaciją iš TDS, užtikrinant jų saugumą, sąrašas:

16. TDS saugos nuostatai yra parengti vadovaujantis:

17. TDS tvarkomi juridinius asmenis identifikuojantys, taip pat agreguoti ir juridinių asmenų tiesiogiai neidentifikuojantys duomenys.

18. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), TDS priskiriama antrajai informacinių sistemų kategorijai.

19. Pagrindiniai rizikos veiksniai, kurie gali pažeisti teikiamų į TDS duomenų, TDS duomenų ir informacijos iš TDS saugą, yra:

20. TDS valdytojas registruoja visus TDS naudotojo darbuotojų atliktus veiksmus naudojantis TDS ir naudoja šią informaciją išaiškinant įvykusius arba galėjusius įvykti TDS saugos nuostatų pažeidimus.

21. Siekdamas kontroliuoti TDS saugos nuostatų įgyvendinimą ir TDS duomenų tvarkymą bei saugą reglamentuojančių kitų teisės aktų įgyvendinimą TDS valdytojas kartu su duomenų valdytojais ir TDS naudotojais kasmet atlieka duomenų valdytojų, TDS valdytojo ir TDS naudotojų susijusios su TDS veiklos inventorizaciją, kurios metu:

22. Atlikus inventorizaciją administratorius parengia pastebėtų trūkumų šalinimo planą, suderina jį su TDS Veiklos koordinavimo grupe (toliau vadinama – VKG) ir pateikia TDS valdytojui bei įtrauktiems į planą duomenų valdytojams ir TDS naudotojams. Šį planą, suderinęs su duomenų valdytojais ir TDS naudotojais, tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato TDS valdytojo vadovas.

23. Saugos įgaliotinis bent vieną kartą į metus organizuoja TDS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį TDS rizikos įvertinimą.

24. Esant TDS valdytojo vadovo rašytiniam pavedimui, TDS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

25. TDS rizikos įvertinimas išdėstomas TDS rizikos įvertinimo ataskaitoje. TDS rizikos ataskaita rengiama atsižvelgiant į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo metodai“ grupės standartus bei kitas, visuotinai pripažintas ir naudojamas, rizikos įvertinimo metodikas.

26. TDS rizikos ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos teikiamų į TDS duomenų, TDS duomenų ir informacijos iš TDS saugai. Svarbiausi rizikos veiksniai yra šie:

27. TDS naudojama programinė įranga, skirta apsaugoti TDS nuo kenksmingos programinės įrangos – antivirusinė programinė įranga.

28. Antivirusinėje programinėje įrangoje nuolat privalo būti įjungtas kenksmingos programinės įrangos analizatorius, veikiantis realiu laiku. Jis gali būti išjungiamas tik administratoriaus grupei priklausantiems vartotojams.

29. Antivirusinė programinė įranga privalo būti:

30. Aptarnaujančių TDS darbuotojų darbo vietose taikomąją programinę įrangą, reikalingą darbui su TDS ir jos palaikymui, diegia ir šalina administratorius.

31. Aptarnaujantys TDS darbuotojai atsako už tai, kad jų darbo vietose įdiegta programinė įranga būtų naudojama tik su Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos (toliau vadinama – IVPK) ar su TDS veikla susijusioms funkcijoms vykdyti.

Punkto pakeitimai:

Nr. T-112, 2010-07-02, Žin., 2010, Nr. 81-4275 (2010-07-10), i. k. 11022VPISAK000T-112

32. Aptarnaujančių TDS darbuotojų naudojami nešiojami kompiuteriai gali prisijungti prie TDS tik iš tam specialiai skirtos darbo vietos ir tik naudojantis vidiniu IVPK kompiuterių tinklu.

33. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie TDS, nurodant leistiną šios prieigos laiką ir būdą, ir saugos reikalavimai TDS naudotojų darbo vietų sukūrimui yra aprašyti TDS valdytojo sutartyse su TDS naudotojais dėl TDS naudojimo.

34. TDS naudoja vidinio IVPK kompiuterinio tinklo infrastruktūrą.

35. Vidinio IVPK kompiuterinio tinklo priežiūrą ir administravimą atlieka IVPK Bendrojo skyriaus specialistas.

36. TDS naudotojų darbuotojai jungiasi prie TDS per TDS naudotojų aptarnavimo sritį ir tiktai iš kiekvienam jų atskirai sukurtų TDS darbo vietų, naudodamiesi Saugiu valstybinių duomenų perdavimo tinklu (toliau vadinama – SVDPT) srityje R arba kitu šifruotu duomenų perdavimo kanalu, užtikrinančiu saugų informacijos perdavimą.

37. TDS valdytojo naudojamą SVDPT bei jo įrangą prižiūri ir administruoja SVDPT operatorius.

38. TDS valdytojas užtikrina TDS nuostatų skyriuje „Funkcinė TDS struktūra“ detalizuotos TDS kompiuterinės ir programinės įrangos, išskyrus TDS darbo vietose naudojamą kompiuterinę ir sisteminę programinę įrangą, saugų eksploatavimą.

39. Duomenų valdytojai užtikrina teikiamų į TDS duomenų saugą iki šių duomenų perdavimo TDS valdytojui momento.

40. TDS valdytojas užtikrina:

41. TDS naudotojai užtikrina gautų iš TDS valdytojo TDS duomenų saugą ir teisėtą jų tvarkymą.

42. TDS valdytojas savo vadovo įsakymu nustato ir tvirtina kvalifikacinius reikalavimus, kuriuos turi atitikti aptarnaujantys TDS darbuotojai.

43. TDS valdytojas užtikrina, kad aptarnaujantys TDS darbuotojai būtų tinkamai parengti, apmokyti ir informuoti, ir reguliariai organizuoja būtinus jų mokymus bei kitas jų kvalifikacijos kėlimo priemones.

44. Saugos įgaliotinis mažiausiai kartą per metus inicijuoja TDS naudotojų darbuotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems TDS naudotojo darbuotojams ir panašiai).

45. TDS valdytojas užtikrina, kad TDS naudotojų atstovai būtų elektroniniu paštu supažindinti su TDS saugos nuostatų 6 punkte nurodytais TDS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių teisės aktų nuostatų pažeidimus.

46. Už TDS naudotojų atstovų supažindinimą su TDS saugą reglamentuojančiais teisės aktais ir atsakomybe, kylančia dėl jų pažeidimo, atsakingas saugos įgaliotinis.

47. TDS naudotojų atstovus su teisės aktais, reglamentuojančiais TDS saugą, arba jų pakeitimais saugos įgaliotinis elektroniniu paštu supažindina ne vėliau kaip kitą darbo dieną po jų įsigaliojimo.

48. TDS valdytojas susijusią su TDS duomenų sauga informaciją skelbia TDS interneto svetainėje.

49. TDS valdytojas sudaro sutartis su duomenų valdytojais dėl duomenų teikimo į TDS, o duomenų valdytojai teikia duomenis į TDS ir užtikrina teikiamų į TDS duomenų saugą iki perdavimo TDS valdytojui vadovaudamiesi tokį teikimą reglamentuojančiais teisės aktais ir savo informacinių sistemų duomenų saugos nuostatais.

50. Reikalavimai TDS valdytojo sutartims su duomenų valdytojais dėl duomenų teikimo į TDS yra nustatyti TDS nuostatuose.

51. Į TDS keliami ir TDS naudotojų darbuotojams eksponuojami tik aktualūs duomenys. Anksčiau sukelti į TDS nebeaktualūs duomenys yra sunaikinami Saugaus TDS elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

52. Sukelti į TDS duomenys yra kopijuojami ir saugomi taip, kad jie nebūtų prieinami tretiesiems asmenims, kurie neturi teisės su jais dirbti ir avarijos atveju visiškas TDS funkcionalumas ir veikla būtų atkurti per 24 valandas.

53. TDS valdytojas, eksponuodamas duomenų vitrinas TDS darbo vietose ir teikdamas TDS naudotojams tipinius dokumentus, vadovaujasi TDS nuostatais, TDS valdytojo sutartimis su TDS naudotojais dėl TDS naudojimo, taip pat įstatymais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymą.

54. TDS naudotojas savo vadovo įsakymu nustato, kokios teisės suteikiamos konkrečiam TDS naudotojo darbuotojui, kokios duomenų vitrinos ir kokie jų objektai yra eksponuojami jo darbo vietoje ir kokie tipiniai dokumentai yra jam teikiami.

55. Kiekvienas TDS naudotojas supažindina savo įgaliotus naudotis TDS darbuotojus su TDS saugos nuostatų 6 punkte nurodytais TDS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybe už šių teisės aktų nuostatų pažeidimus ir papildomais reikalavimais, kuriuos TDS naudotojas kelia minėtiems darbuotojams naudojantis TDS. TDS naudotojo darbuotojai prieš pradėdami naudotis TDS privalo pasirašyti įgalioto naudotis Tarpžinybine mokestinių duomenų saugykla darbuotojo įsipareigojimą, kurios pavyzdinę formą tvirtina TDS valdytojas.

56. Kiekvienas TDS naudotojas kontroliuoja savo įgaliotus naudotis TDS darbuotojus, kaip yra laikomasi TDS saugos nuostatų ir reglamentuojančių TDS duomenų tvarkymą bei saugą teisės aktų.

57. Kiekvienas TDS naudotojas organizuoja būtinus savo įgaliotų naudotis TDS darbuotojų mokymus TDS duomenų saugos srityje.

58. Kiekvienas TDS naudotojas užtikrina TDS darbo vietoms įrengti būtiną kompiuterinę ir sisteminę bei standartinę programinę įrangą ir saugų jos eksploatavimą.

59. Duomenys apie TDS naudotojų darbuotojus ir jų atliktus veiksmus, naudojantis TDS, saugomi neterminuotai. Šiuos duomenis tvarko tik šiam darbui specialiai įgalioti TDS valdytojo darbuotojai, vadovaudamiesi įstatymais ir kitais teisės aktais.

60. Duomenų valdytojai, TDS valdytojas ir TDS naudotojai privalo įgyvendinti TDS saugos nuostatuose ir duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti TDS duomenų saugą, tame TDS saugos nuostatų 2 punkte nurodytame TDS duomenų tvarkymo etape, kuriame jie veikia.

61. TDS saugos nuostatuose aprašytos duomenų valdytojų, TDS valdytojo ir TDS naudotojų funkcijos vykdomos ir teisės realizuojamos nepažeidžiant Lietuvos Respublikos įstatymų ir kitų teisės aktų, reglamentuojančių duomenų teikimą ir jų saugų tvarkymą.

62. Duomenų valdytojų, TDS valdytojo, TDS naudotojų darbuotojai ir kiti asmenys, pažeidę TDS saugos nuostatus arba duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.