KOMISIJOS SPRENDIMAS

2010 m. gegužės 4 d.

dėl Centrinės SIS II ir Ryšių infrastruktūros saugumo plano

(2010/261/ES)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2006 m. gruodžio 20 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 1987/2006 dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (1), ypač į jo 16 straipsnį,

atsižvelgdama į 2007 m. birželio 12 d. Tarybos sprendimą 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (2), ypač į jo 16 straipsnį,

kadangi:

PRIĖMĖ ŠĮ SPRENDIMĄ:

I.   SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas

1.   Šiuo sprendimu nustatoma saugumo organizavimo tvarka ir priemonės (saugumo planas), kuriomis pereinamuoju laikotarpiu, kol Valdymo institucija pradės vykdyti savo įsipareigojimus, siekiama Centrinę SIS II ir joje tvarkomus duomenis apsaugoti nuo grėsmės jų prieinamumui, vientisumui ir konfidencialumui, kaip apibrėžta Reglamento (EB) Nr. 1987/2006 16 straipsnio 1 dalyje ir Sprendimo 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 16 straipsnio 1 dalyje.

2.   Šiuo sprendimu nustatoma saugumo organizavimo tvarka ir priemonės (saugumo planas), kuriomis siekiama Ryšių infrastruktūrą apsaugoti nuo grėsmės jos prieinamumui, vientisumui ir konfidencialumui, kaip apibrėžta Reglamento (EB) Nr. 1987/2006 16 straipsnyje ir Sprendimo 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 16 straipsnyje.

II.   SKYRIUS

ORGANIZAVIMAS, ĮSIPAREIGOJIMAI IR INCIDENTŲ VALDYMAS

2 straipsnis

Komisijos užduotys

1.   Komisija įgyvendina šiame sprendime nurodytas Centrinės SIS II saugumo priemones ir stebi jų veiksmingumą.

2.   Komisija įgyvendina šiame sprendime nurodytas Ryšių infrastruktūros saugumo priemones ir stebi jų veiksmingumą.

3.   Komisija iš savo tarnautojų paskiria sistemos saugumo pareigūną. Sistemos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius. Sistemos saugumo pareigūno užduotys visų pirma:

3 straipsnis

Centrinės SIS II vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria Centrinės SIS II vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Centrinės SIS II vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Centrinės SIS II vietos saugumo pareigūnas užtikrina, kad pagrindinėje CS-SIS būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės ir būtų laikomasi saugumo procedūrų. Kiek tai susiję su atsargine CS-SIS, Centrinės SIS II vietos saugumo pareigūnas taip pat užtikrina, kad būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės, išskyrus nurodytas 9 straipsnyje, ir būtų laikomasi su jomis susijusių saugumo procedūrų.

3.   Centrinės SIS II vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Centrinės SIS II vietos saugumo pareigūnas, laikydamasis 1 dalies nuostatų, atlieka užduotis, susijusias su saugumo priemonėmis, kurios turi būti taikomos pagrindinės CS-SIS ir atsarginės CS-SIS patalpose, visų pirma:

4 straipsnis

Ryšių infrastruktūros vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria Ryšių infrastruktūros vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Ryšių infrastruktūros vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Ryšių infrastruktūros vietos saugumo pareigūnas stebi, kaip veikia Ryšių infrastruktūra, ir užtikrina, kad būtų įgyvendintos saugumo priemonės ir laikomasi saugumo procedūrų.

3.   Ryšių infrastruktūros vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Ryšių infrastruktūros vietos saugumo pareigūnas atlieka užduotis, susijusias su saugumo priemonėmis, kurios turi būti taikomos Ryšių infrastruktūrai, visų pirma:

5 straipsnis

Saugumo incidentai

1.   Bet koks įvykis, kuris paveikė arba galėjo paveikti SIS II saugumą ir gali padaryti SIS II žalos arba sukelti nuostolių, laikomas saugumo incidentu, ypač jei buvo pasinaudota prieiga prie duomenų arba kilo ar galėjo kilti pavojus duomenų prieinamumui, vientisumui ir konfidencialumui.

2.   Saugumo incidentai valdomi taip, kad būtų greitai, veiksmingai ir tinkamai reaguojama laikantis saugumo politikos nuostatų. Turi būti nustatomos saugumo atkūrimo įvykus incidentui procedūros.

3.   Valstybė narė informuojama apie saugumo incidentą, kuris paveikė arba galėjo paveikti SIS II veikimą toje valstybėje narėje ar jos įrašytų arba išsiųstų duomenų prieinamumą, vientisumą ir konfidencialumą. Apie saugumo incidentus pranešama Komisijos duomenų apsaugos pareigūnui.

6 straipsnis

Incidentų valdymas

1.   Visi darbuotojai ir rangovai, dalyvaujantys tobulinant, valdant arba naudojant SIS II, privalo užfiksuoti bet kokias pastebėtas arba įtariamas Ryšių infrastruktūros saugumo spragas ir apie jas pranešti Ryšių infrastruktūros sistemos saugumo pareigūnui arba vietos saugumo pareigūnui.

2.   Pastebėjęs bet kokį incidentą, kuris paveikė arba galėjo paveikti SIS II saugumą, Ryšių infrastruktūros vietos saugumo pareigūnas kuo skubiau apie tai raštu informuoja sistemos saugumo pareigūną ir prireikus nacionalinę ryšių palaikymo instituciją SIS II saugumo klausimais, jei konkrečioje valstybėje narėje tokia institucija yra, arba – ypatingos skubos atveju – kitomis ryšio priemonėmis. Pranešime aprašomas saugumo incidentas, pavojaus laipsnis, galimos pasekmės ir priemonės, kurių imtasi arba reikėtų imtis pavojui sumažinti.

3.   Ryšių infrastruktūros vietos saugumo pareigūnas nedelsiant užtikrina visus su saugumo incidentu susijusius įrodymus. Kiek įmanoma pagal galiojančias duomenų apsaugos nuostatas, sistemos saugumo pareigūno prašymu jam pateikiami tokie įrodymai.

4.   Saugumo politikos nuostatose apibrėžiamos grįžtamosios informacijos procedūros, suvaldžius ir pašalinus incidentą, siekiant užtikrinti, kad informacija apie saugumo incidento rūšį, valdymą ir baigtį būtų pranešama Ryšių infrastruktūros sistemos saugumo pareigūnui ir vietos saugumo pareigūnui.

5.   Šio straipsnio 1–4 dalys mutatis mutandis taikomos Centrinės SIS II incidentams. Šiuo atžvilgiu visos 1–4 dalių nuorodos į Ryšių infrastruktūros vietos saugumo pareigūną reiškia nuorodą į Centrinės SIS II vietos saugumo pareigūną.

III.   SKYRIUS

SAUGUMO PRIEMONĖS

7 straipsnis

Saugumo politika

1.   Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius formuoja, atnaujina ir reguliariai peržiūri privalomą laikytis saugumo politiką, kaip numatyta šiame sprendime. Saugumo politikos nuostatose numatomos išsamios apsaugos nuo grėsmės Ryšių infrastruktūros prieinamumui, vientisumui ir konfidencialumui procedūros ir priemonės, įskaitant nepaprastosios padėties planą, kad būtų užtikrintas tinkamas šiuo sprendimu reikalaujamas saugumo lygis. Saugumo politika atitinka šio sprendimo nuostatas.

2.   Saugumo politika grindžiama rizikos įvertinimu. Saugumo politikos priemonės turi būti proporcingos nustatytai rizikai.

3.   Rizikos įvertinimas ir saugumo politika atnaujinama, jei tai būtina dėl technologinių pokyčių, nustačius naują grėsmę arba susiklosčius kitoms aplinkybėms. Saugumo politika bent kuriuo atveju peržiūrima kasmet, siekiant užtikrinti, kad ja vis dar tinkamai atsižvelgiama į naujausią rizikos įvertinimą arba bet kokius neseniai nustatytus technologinius pokyčius, grėsmę ar kitas reikšmingas aplinkybes.

4.   Saugumo politiką rengia sistemos saugumo pareigūnas derindamas su Centrinės SIS II vietos saugumo pareigūnu ir Ryšių infrastruktūros vietos saugumo pareigūnu.

5.   Šio straipsnio 1–4 dalys mutatis mutandis taikomos Centrinės SIS II saugumo politikai. Šiuo atžvilgiu visos 1–4 dalių nuorodos į Ryšių infrastruktūros vietos saugumo pareigūną reiškia nuorodą į Centrinės SIS II vietos saugumo pareigūną.

8 straipsnis

Saugumo priemonių įgyvendinimas

1.   Šiame sprendime ir saugumo politikoje nustatytoms užduotims ir reikalavimams įgyvendinti, įskaitant vietos saugumo pareigūno paskyrimą, gali būti sudaromos rangos sutartys su privačiomis arba valstybinėmis įstaigomis arba šios užduotys gali būti joms pavedamos.

2.   Tokiu atveju Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad būtų visapusiškai laikomasi šiame sprendime ir saugumo politikos nuostatose numatytų reikalavimų. Jei pavedama paskirti vietos saugumo pareigūną arba dėl jo paskyrimo sudaroma rangos sutartis, Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad su ja bus konsultuojamasi dėl vietos saugumo pareigūnu skiriamo asmens.

9 straipsnis

Patekimo į patalpas kontrolė

1.   Teritorijų, kuriose yra duomenų tvarkymo patalpos, apsauga užtikrinama įrengiant saugumo zoną su tinkamomis užkardomis ir patekimo kontrole.

2.   Saugumo zonoje nustatomos saugios patalpos fiziniams objektams (inventoriui), įskaitant aparatinę įrangą, duomenų laikmenas ir pultus, planus ir kitus SIS II dokumentus, taip pat kabinetams ir kitoms darbuotojų, eksploatuojančių SIS II, darbo vietoms apsaugoti. Šios saugios patalpos apsaugomos įvedant tinkamą patekimo kontrolę, kad patekti galėtų tik leidimus turintys darbuotojai. Darbas saugiose patalpose reglamentuojamas išsamiomis saugumo politikos nuostatose įtvirtintomis saugumo taisyklėmis.

3.   Kabinetams, patalpoms ir įrangai numatomos ir instaliuojamos fizinės saugumo priemonės. Prieigos vietos, kaip antai tiekimo bei iškrovimo zonos, ir kitos vietos, kur į patalpas gali patekti leidimų neturintys asmenys, kontroliuojamos ir, jei įmanoma, izoliuojamos nuo duomenų tvarkymo patalpų, kad į jas nepatektų pašaliniai.

4.   Fizinė saugumo zonos apsauga nuo gaivalinės arba žmogaus sukeltos nelaimės padarytos žalos numatoma ir taikoma proporcingai rizikos laipsniui.

5.   Įranga apsaugoma nuo fizinių ir aplinkos pavojų ir nuo galimybių ja pasinaudoti pašaliniams.

6.   Jei Komisijai tokia informacija žinoma, ji į 2 straipsnio 3 dalies h punkte nurodytą sąrašą įtraukia ryšių palaikymo instituciją, atsakingą už šio straipsnio nuostatų įgyvendinimo patalpose, kuriose yra atsarginė CS-SIS, stebėseną.

10 straipsnis

Duomenų laikmenų ir inventoriaus kontrolė

1.   Keičiamosios laikmenos su duomenimis apsaugomos nuo neteisėtos prieigos, piktnaudžiavimo arba sugadinimo, o jų skaitomumas užtikrinamas visą duomenų gyvavimo laiką.

2.   Nebereikalingos laikmenos šalinamos patikimai ir saugiai laikantis išsamių procedūrų, kurios turi būti apibrėžtos saugumo politikos nuostatose.

3.   Sudarant inventoriaus aprašą, užtikrinama informacija apie laikymo vietą, numatytą saugojimo trukmę ir prieigos leidimus.

4.   Visas svarbus Ryšių infrastruktūros inventorius identifikuojamas, kad jį būtų galima apsaugoti atsižvelgiant į jo svarbą. Vedamas nuolat atnaujinamas svarbios IT įrangos registras.

5.   Ryšių infrastruktūros dokumentai nuolat atnaujinami. Šie dokumentai apsaugomi nuo galimybės neteisėtai su jais susipažinti.

6.   Šio straipsnio 1–5 dalys mutatis mutandis taikomos Centrinei SIS II. Šiuo atžvilgiu visos nuorodos į Ryšių infrastruktūrą reiškia nuorodą į Centrinę SIS II.

11 straipsnis

Laikymo kontrolė

1.   Tinkamų priemonių imamasi siekiant užtikrinti deramą duomenų laikymą ir užkirsti kelią neteisėtai prieigai prie jų.

2.   Visi įrangos komponentai, kuriuose yra atminties laikmena, prieš juos šalinant patikrinami, siekiant užtikrinti, kad neskelbtini duomenys buvo ištrinti arba visiškai pakeisti, arba saugiai sunaikinami.

12 straipsnis

Slaptažodžio patikra

1.   Visi slaptažodžiai laikomi saugiai ir naudojami konfidencialiai. Slaptažodis nedelsiant keičiamas arba atitinkama paskyra išjungiama įtarus, kad slaptažodis buvo atskleistas. Naudojama unikali ir individuali naudotojų tapatybė.

2.   Siekiant užkirsti kelią neteisėtai prieigai, saugumo politikos nuostatose apibrėžiamos registravimosi ir išsiregistravimo procedūros.

13 straipsnis

Prieigos kontrolė

1.   Saugumo politikoje nustatomos formalios darbuotojų registravimosi ir išsiregistravimo procedūros, kuriomis operacijų valdymo tikslais suteikiama arba panaikinama prieiga prie SIS II aparatinės ir programinės įrangos. Atitinkamų prieigos duomenų (slaptažodžių arba kitų tinkamų priemonių) suteikimas ir naudojimas kontroliuojamas pasitelkiant saugumo politikoje apibrėžtą formalią valdymo procedūrą.

2.   Prieiga prie SIS II aparatinės ir programinės įrangos Centrinėje SIS:

3.   Centrinėje CS-SIS naudojami tik Centrinės SIS II vietos saugumo pareigūno leisti pultai ir programinė įranga. Ribojamas ir kontroliuojamas sisteminių programų, kuriomis gali būti keičiama sistemų ir programų kontrolė, naudojimas. Numatomos programinės įrangos diegimo kontrolės procedūros.

14 straipsnis

Ryšių kontrolė

Ryšių infrastruktūra stebima siekiant užtikrinti informacijos mainų prieinamumą, vientisumą ir konfidencialumą. Per ryšių infrastruktūrą perduodamiems duomenims apsaugoti naudojamos kriptografinės priemonės.

15 straipsnis

Įvedinių kontrolė

Centrinės SIS II vietos saugumo pareigūnas stebi asmenų, turinčių teisę iš CS-SIS prieiti prie SIS II programinės įrangos, paskyras. Šių paskyrų naudojimas, taip pat trukmė ir naudotojo tapatybė registruojama.

16 straipsnis

Transporto kontrolė

1.   Saugumo politikoje apibrėžiamos tinkamos priemonės, kuriomis užkertamas kelias neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba trynimui juos perduodant į SIS II ar iš jos arba transportuojant duomenų laikmenas. Saugumo politikoje įtvirtinamos nuostatos, kuriomis numatoma, kokios siuntimo arba transportavimo rūšys tinkamos, ir nustatomos atskaitomybės už objektų transportavimą ir jų pristatymą į paskirties vietą procedūros. Duomenų laikmenose neturi būti jokių kitų duomenų, išskyrus siųstinus.

2.   Trečiųjų asmenų teikiamoms paslaugoms, apimančioms duomenų prieigą, tvarkymą, perdavimą ar duomenų tvarkymo įrangos valdymą arba teikiančioms papildomus produktus ar paslaugas duomenų tvarkymo įrangai, taikoma tinkamai integruota saugumo kontrolė.

17 straipsnis

Ryšių infrastruktūros saugumas

1.   Ryšių infrastruktūra tinkamai valdoma ir kontroliuojama siekiant ją apsaugoti nuo grėsmių ir užtikrinti jos pačios bei Centrinės SIS II, įskaitant per ją vykdomus duomenų mainus, saugumą.

2.   Visų tinklo paslaugų saugumo savybės, teikiamos paslaugos ir valdymo reikalavimai nustatomi su paslaugų teikėju sudaromame tinklo aptarnavimo susitarime.

3.   Apsaugomi ne tik SIS II prieigos taškai, bet ir visos galimos papildomos Ryšių infrastruktūros naudojamos paslaugos. Tinkamos priemonės apibrėžiamos saugumo politikos nuostatose.

18 straipsnis

Stebėsena

1.   Prisijungimo įrašų duomenys, nurodyti Reglamento (EB) Nr. 1987/2006 18 straipsnio 1 dalyje ir Sprendimo 2007/533/TVR 18 straipsnio 1 dalyje, apie kiekvieną prieigą prie CS-SIS laikomų asmens duomenų ir visą keitimąsi jais saugiai laikomi ir turi būti prieinami iš pagrindinės CS–SIS ir atsarginės CS-SIS patalpų ne ilgesnį kaip Reglamento (EB) Nr. 1987/2006 18 straipsnio 3 dalyje ir Sprendimo 2007/533/TVR 18 straipsnio 3 dalyje nurodytą laikotarpį.

2.   Saugumo politikos nuostatose apibrėžiamos duomenų tvarkymo įrangos stebėsenos ir galimų jos klaidų fiksavimo procedūros, o stebėsenos rezultatai reguliariai peržiūrimi. Prireikus imamasi tinkamų veiksmų.

3.   Prisijungimo įrašymo įranga ir prisijungimo įrašai apsaugomi nuo klastojimo ir neteisėtos prieigos, siekiant atitikti duomenų rinkimo reikalavimus ir saugoti įrodymus duomenų laikymo laikotarpiu.

19 straipsnis

Kriptografinės priemonės

Kriptografinės priemonės naudojamos prireikus apsaugoti informaciją. Jų naudojimui, įskaitant tikslą ir sąlygas, turi iš anksto pritarti sistemos saugumo pareigūnas.

IV.   SKYRIUS

ŽMOGIŠKŲJŲ IŠTEKLIŲ SAUGUMAS

20 straipsnis

Personalo aprašai

1.   Saugumo politikos nuostatose apibrėžiamos asmenų, turinčių prieigos prie Centrinės SIS II teisę, funkcijos ir atsakomybė.

2.   Saugumo politikos nuostatose apibrėžiamos asmenų, turinčių prieigos prie Ryšių infrastruktūros teisę, funkcijos ir atsakomybė.

3.   Komisijos darbuotojų, rangovų ir darbuotojų, įtrauktų į operacijų valdymą, saugumo užduotys ir atsakomybė apibrėžiamos, įtvirtinamos dokumentuose ir pranešamos atitinkamiems asmenims. Komisijos darbuotojų užduotys ir atsakomybė nurodomos pareigybių aprašuose ir tiksluose, rangovų – sutartyse arba paslaugų teikimo susitarimuose.

4.   Su visais asmenimis, kuriems netaikomos Europos Sąjungos ar valstybių narių valstybės tarnybos nuostatos, sudaromi konfidencialumo ir paslapčių neatskleidimo susitarimai. Darbuotojai, turintys dirbti su SIS II duomenimis, turi būti patikrinami saugumo požiūriu arba gauti pažymėjimą pagal išsamias saugumo politikos nuostatose įtvirtintas procedūras.

21 straipsnis

Personalo duomenys

1.   Visi darbuotojai ir rangovai dalyvauja jų pareigas atitinkančiuose mokymuose saugumo sampratos, teisės reikalavimų, politikos gairių ir procedūrų klausimais.

2.   Saugumo politikos nuostatose nustatomos darbuotojų ir rangovų pareigos, susijusios su darbo keitimu arba darbo santykių pasibaigimu, kai baigiasi darbo santykiai arba sutartis, ir inventoriaus grąžinimo bei prieigos teisių atšaukimo tvarka.

V.   SKYRIUS

BAIGIAMOJI NUOSTATA

22 straipsnis

Taikymas

1.   Šis sprendimas pradedamas taikyti nuo Tarybos, vadovaujantis Reglamento (EB) Nr. 1987/2006 55 straipsnio 2 dalimi ir Sprendimo 2007/533/TVR 71 straipsnio 2 dalimi nustatytos datos.

2.   1 straipsnio 1 dalis, 2 straipsnio 1 dalis, 2 straipsnio 3 dalies b, d, f ir i punktai, 3 straipsnis, 6 straipsnio 5 dalis, 7 straipsnio 5 dalis, 9 straipsnio 6 dalis, 10 straipsnio 6 dalis, 13 straipsnio 2 ir 3 dalys, 15 straipsnis, 18 straipsnis ir 20 straipsnio 1 dalis galioja tol, kol Valdymo institucija pradės vykdyti savo įsipareigojimus.

(1)  OL L 381, 2006 12 28, p. 4.

(2)  OL L 205, 2007 8 7, p. 63.

(3)  OL L 8, 2001 1 12, p. 1.