|
5.5.2010 |
FI |
Euroopan unionin virallinen lehti |
L 112/25 |
KOMISSION PÄÄTÖS,
annettu 4 päivänä toukokuuta 2010,
viisumitietojärjestelmän toimintaan liittyvästä turvasuunnitelmasta
(2010/260/EU)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta 9 päivänä heinäkuuta 2008 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 767/2008 (1) (VIS-asetus) ja erityisesti sen 32 artiklan,
sekä katsoo seuraavaa:
|
(1) |
Asetuksen (EY) N:o 767/2008 32 artiklan 3 kohdan mukaan tietokantaa hallinnoivan viranomaisen on toteutettava tarvittavat toimenpiteet asetuksen 32 artiklan 2 kohdassa säädettyjen, viisumitietojärjestelmän toiminnan turvallisuutta koskevien tavoitteiden saavuttamiseksi, mukaan lukien tietoturvasuunnitelman hyväksyminen. |
|
(2) |
Asetuksen (EY) N:o 767/2008 26 artiklan 4 kohdan mukaan komissio vastaa viisumitietojärjestelmän operatiivisesta hallinnosta siirtymäkautena ennen kuin tietokantaa hallinnoiva viranomainen ottaa tehtävänsä vastaan. |
|
(3) |
Komission suorittamaan henkilötietojen käsittelyyn, joka liittyy sen velvollisuuteen huolehtia viisumitietojärjestelmän operatiivisesta hallinnosta, sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (2). |
|
(4) |
Asetuksen (EY) N:o 767/2008 26 artiklan 7 kohdassa säädetään, että mikäli komissio siirtää vastuualaansa kuuluvia tehtäviä siirtymäkautena ennen kuin tietokantaa hallinnoiva viranomainen ottaa tehtävänsä vastaan, sen on varmistettava, ettei tehtävien siirto vaikuta haitallisesti unionin lainsäädännön nojalla toimivien valvontajärjestelmien tehokkuuteen unionin tuomioistuimen, tilintarkastustuomioistuimen tai Euroopan tietosuojavaltuutetun osalta. |
|
(5) |
Tietokantaa hallinnoivan viranomaisen olisi luotava oma viisumitietojärjestelmää koskeva turvasuunnitelmansa heti kun se on ottanut tehtävänsä vastaan. |
|
(6) |
Kansallisten liittymien sekä keskusviisumitietojärjestelmän ja kansallisten liittymien välisen viestintäinfrastruktuurin fyysisestä arkkitehtuurista ja vaatimuksista kehittämisvaiheessa 17 päivänä kesäkuuta 2008 tehdyssä komission päätöksessä 2008/602/EY (3) kuvataan viisumitietojärjestelmän yhteydessä verkossa tarvittavat tietoturvapalvelut. |
|
(7) |
Asetuksen (EY) N:o 767/2008 27 artiklan mukaan keskusviisumitietojärjestelmän pääkeskus, joka huolehtii teknisestä valvonnasta ja hallinnosta, sijaitsee Strasbourgissa (Ranska), ja keskusviisumitietojärjestelmän varakeskus, joka voi huolehtia kaikista keskusviisumitietojärjestelmän pääkeskuksen toiminnoista, jos järjestelmään tulee vika, sijaitsee Sankt Johann im Pongaussa (Itävalta). |
|
(8) |
Jotta voidaan varmistaa tietoturvaloukkausten tehokas ja ripeä käsittely ja niistä raportointi, olisi määritettävä turvallisuusvastaavien tehtävät. |
|
(9) |
Olisi laadittava turvapolitiikka, jossa kuvataan yksityiskohtaisesti kaikki tekniikkaa ja organisaatiota koskevat tiedot tämän päätöksen säännösten mukaisesti. |
|
(10) |
Olisi määritettävä toimenpiteet, joilla voidaan varmistaa viisumitietojärjestelmän toiminnan riittävä turvallisuus, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
I LUKU
YLEISET SÄÄNNÖKSET
1 artikla
Kohde
Tässä päätöksessä vahvistetaan asetuksen (EY) N:o 767/2008 32 artiklan 3 kohdassa tarkoitetut järjestelmän turvallisuutta koskevat järjestelyt ja toimenpiteet (turvasuunnitelma).
II LUKU
ORGANISAATIO, VASTUUALUEET JA TIETOTURVALOUKKAUSTEN HALLINTA
2 artikla
Komission tehtävät
1. Komissio huolehtii tässä päätöksessä tarkoitettujen, keskusviisumitietojärjestelmää ja tiedonsiirtoinfrastruktuuria koskevien turvatoimien tehokkaasta täytäntöönpanosta ja seurannasta.
2. Komissio nimeää yhden virkamiehistään järjestelmän turvallisuusvastaavaksi. Järjestelmän turvallisuusvastaavan nimittää komission oikeus-, vapaus- ja turvallisuusasioiden pääosaston pääjohtaja. Järjestelmän turvallisuusvastaavan tehtävänä on erityisesti
|
a) |
huolehtia turvapolitiikan laatimisesta, päivittämisestä ja tarkistamisesta tämän päätöksen 7 artiklan mukaisesti; |
|
b) |
valvoa keskusviisumitietojärjestelmän ja tiedonsiirtoinfrastruktuurin turvamenettelyjen tehokasta täytäntöönpanoa; |
|
c) |
osallistua asetuksen (EY) N:o 767/2008 50 artiklan 3 ja 4 kohdassa tarkoitettujen turvallisuutta koskevien kertomusten valmisteluun; |
|
d) |
antaa koordinointitukea ja muuta apua Euroopan tietosuojavaltuutetulle asetuksen (EY) N:o 767/2008 42 artiklassa tarkoitettujen tarkastusten ja valvonnan suorittamisessa; |
|
e) |
valvoa, että kaikki viisumitietojärjestelmän hallinnointiin ja toimintaan osallistuvat hankkijat ja alihankkijat noudattavat tätä päätöstä ja turvapolitiikkaa asianmukaisesti ja kokonaisuudessaan; |
|
f) |
pitää yllä luetteloa viisumitietojärjestelmän turvallisuudesta vastaavista kansallisista yhteyspisteistä ja toimittaa luettelo keskusviisumitietojärjestelmän ja tiedonsiirtoinfrastruktuurin paikallisille turvallisuusvastaaville. |
3 artikla
Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava
1. Komissio nimeää yhden virkamiehistään keskusviisumitietojärjestelmän paikalliseksi turvallisuusvastaavaksi, sanotun kuitenkaan rajoittamatta 8 artiklan soveltamista. On huolehdittava siitä, että paikallisen turvallisuusvastaavan tehtävä ei ole ristiriidassa henkilön muiden tehtävien kanssa. Keskusviisumitietojärjestelmän paikallisen turvallisuusvastaavan nimittää komission oikeus-, vapaus- ja turvallisuusasioiden pääosaston pääjohtaja.
2. Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava huolehtii siitä, että tässä päätöksessä tarkoitetut turvatoimet pannaan täytäntöön ja että keskusviisumitietojärjestelmän pääkeskuksessa noudatetaan turvamenettelyjä. Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava huolehtii myös keskusviisumitietojärjestelmän varakeskuksen osalta siitä, että tässä päätöksessä tarkoitetut turvatoimet, lukuun ottamatta 10 artiklassa tarkoitettuja toimenpiteitä, pannaan täytäntöön ja että turvamenettelyjä noudatetaan.
3. Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava voi siirtää osan tehtävistään alaisilleen. On huolehdittava siitä, että näiden tehtävien suorittaminen ei ole ristiriidassa muiden tehtävien kanssa. Paikallinen turvallisuusvastaava tai hänen kulloinkin työvuorossa oleva alaisensa on milloin tahansa tavoitettavissa yhdestä puhelinnumerosta ja osoitteesta.
4. Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava suorittaa keskusviisumitietojärjestelmän pääkeskuksessa ja varakeskuksessa toteutettaviin turvatoimiin liittyvät tehtävät 1 kohdassa asetetut rajoitukset huomioon ottaen ja erityisesti
|
a) |
huolehtii paikallisten toimintojen turvallisuuteen liittyvistä tehtävistä, kuten palomuurien testauksesta, säännöllisestä turvatestauksesta, tarkastuksista ja turva-asioista raportoinnista; |
|
b) |
valvoo toiminnan jatkuvuussuunnitelman tehokkuutta ja huolehtii säännöllisten harjoitusten toteuttamisesta; |
|
c) |
turvaa kaikkia keskusviisumitietojärjestelmän tai tiedonsiirtoinfrastruktuurin turvallisuuteen mahdollisesti vaikuttavia tapahtumia koskevan todistusaineiston ja raportoi tapahtumista järjestelmän turvallisuusvastaavalle; |
|
d) |
ilmoittaa järjestelmän turvallisuusvastaavalle, jos turvapolitiikkaa on muutettava; |
|
e) |
valvoo, että kaikki keskusviisumitietojärjestelmän hallinnointiin ja toimintaan osallistuvat hankkijat ja alihankkijat noudattavat tätä päätöstä ja turvapolitiikkaa; |
|
f) |
varmistaa, että henkilöstö on tietoinen velvollisuuksistaan, ja valvoo turvapolitiikan noudattamista; |
|
g) |
valvoo tietoturvan kehitystä ja varmistaa, että henkilöstö saa asianmukaista koulutusta; |
|
h) |
hankkii turvapolitiikan laatimisessa, päivittämisessä ja tarkistamisessa tarvittavat tiedot ja valmistelee eri toimintavaihtoehdot 7 artiklan mukaisesti. |
4 artikla
Tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava
1. Komissio nimeää yhden virkamiehistään tiedonsiirtoinfrastruktuurin paikalliseksi turvallisuusvastaavaksi, sanotun kuitenkaan rajoittamatta 8 artiklan soveltamista. On huolehdittava siitä, että paikallisen turvallisuusvastaavan tehtävä ei ole ristiriidassa henkilön muiden tehtävien kanssa. Tiedonsiirtoinfrastruktuurin paikallisen turvallisuusvastaavan nimittää komission oikeus-, vapaus- ja turvallisuusasioiden pääosaston pääjohtaja.
2. Tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava valvoo tiedonsiirtoinfrastruktuurin toimintaa ja varmistaa, että turvatoimet pannaan täytäntöön ja turvamenettelyjä noudatetaan.
3. Tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava voi siirtää osan tehtävistään alaisilleen. On huolehdittava siitä, että näiden tehtävien suorittaminen ei ole ristiriidassa muiden tehtävien kanssa. Paikallinen turvallisuusvastaava tai hänen kulloinkin työvuorossa oleva alaisensa on milloin tahansa tavoitettavissa yhdestä puhelinnumerosta ja osoitteesta.
4. Tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava toteuttaa tiedonsiirtoinfrastruktuuria koskeviin turvatoimiin liittyvät tehtävät ja erityisesti
|
a) |
huolehtii kaikista tiedonsiirtoinfrastruktuurin toiminnan turvallisuuteen liittyvistä toimista, kuten palomuurien testauksesta, säännöllisestä turvatestauksesta, tarkastuksista ja turva-asioista raportoinnista; |
|
b) |
valvoo toiminnan jatkuvuussuunnitelman tehokuutta ja huolehtii säännöllisten harjoitusten toteuttamisesta; |
|
c) |
turvaa kaikkia tiedonsiirtoinfrastruktuurin, keskusviisumitietojärjestelmän tai kansallisten järjestelmien turvallisuuteen mahdollisesti vaikuttavia tapahtumia koskevan todistusaineiston ja raportoi tapahtumista järjestelmän turvallisuusvastaavalle; |
|
d) |
ilmoittaa järjestelmän turvallisuusvastaavalle, jos turvapolitiikkaa on muutettava; |
|
e) |
valvoo, että kaikki tiedonsiirtoinfrastruktuurin hallinnointiin osallistuvat hankkijat ja alihankkijat noudattavat tätä päätöstä ja turvapolitiikkaa; |
|
f) |
varmistaa, että henkilöstö on tietoinen velvollisuuksistaan, ja valvoo turvapolitiikan noudattamista; |
|
g) |
valvoo tietoturvan kehitystä ja varmistaa, että henkilöstö saa asianmukaista koulutusta; |
|
h) |
hankkii turvapolitiikan laatimisessa, päivittämisessä ja tarkistamisessa tarvittavat tiedot ja valmistelee eri toimintavaihtoehdot 7 artiklan mukaisesti. |
5 artikla
Tietoturvaloukkaukset
1. Kaikki tapahtumat, joilla on tai saattaa olla vaikutusta viisumitietojärjestelmän toiminnan turvallisuuteen ja jotka voivat aiheuttaa vahinkoa viisumitietojärjestelmälle tai johtaa tietojen häviämiseen, katsotaan tietoturvaloukkauksiksi, erityisesti jos tietoihin on mahdollisesti päästy käsiksi tai jos tietojen saatavuus, eheys tai luottamuksellisuus on vaarantunut tai saattanut vaarantua.
2. Turvapolitiikassa määrätään, miten tietoturvaloukkauksen jälkeen on toimittava. Tietoturvaloukkauksiin vastataan nopeasti, tehokkaasti ja asianmukaisesti turvapolitiikkaa noudattaen.
3. Tietoturvaloukkauksesta, jolla on tai saattaa olla vaikutusta viisumitietojärjestelmän toimintaan jäsenvaltiossa tai jäsenvaltion viisumitietojärjestelmään syöttämien tietojen saatavuuteen, eheyteen tai luottamuksellisuuteen, ilmoitetaan kyseiselle jäsenvaltiolle. Lisäksi tietoturvaloukkauksista ilmoitetaan komission tietosuojavastaavalle.
6 artikla
Tietoturvaloukkausten hallinta
1. Kaikki viisumitietojärjestelmän kehittämiseen, hallinnointiin ja toimintaan osallistuvat henkilöstön jäsenet sekä hankkijat velvoitetaan kirjaamaan muistiin viisumitietojärjestelmän toiminnan turvallisuudessa havaitsemansa tai epäilemänsä puutteet ja ilmoittamaan niistä järjestelmän turvallisuusvastaavalle, keskusviisumitietojärjestelmän paikalliselle turvallisuusvastaavalle tai tiedonsiirtoinfrastruktuurin paikalliselle turvallisuusvastaavalle.
2. Kun havaitaan mikä tahansa tapahtuma, jolla on tai saattaa olla vaikutusta viisumitietojärjestelmän toiminnan turvallisuuteen, keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava tai tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava ilmoittaa asiasta mahdollisimman nopeasti järjestelmän turvallisuusvastaavalle ja tarvittaessa viisumitietojärjestelmän turvallisuudesta vastaavalle kansalliselle yhteyspisteelle, jos kyseisessä jäsenvaltiossa on tällainen yhteyspiste, kirjallisesti tai jos asia on erityisen kiireellinen, muita viestintäkanavia käyttäen. Raportissa kuvaillaan kyseinen tietoturvaloukkaus, riskin suuruus, mahdolliset seuraukset ja toimenpiteet, jotka on toteutettu tai olisi toteutettava riskin pienentämiseksi.
3. Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava tai tiedonsiirtoinfrastruktuurin paikallinen turvallisuusvastaava turvaa välittömästi kaiken tietoturvaloukkaukseen liittyvän todistusaineiston. Todistusaineisto toimitetaan järjestelmän turvallisuusvastaavalle tämän pyynnöstä, jos se on sovellettavien tietoturvasäännösten puitteissa mahdollista.
4. Lisäksi käynnistetään palauteprosessi, jonka avulla varmistetaan, että tieto lopputuloksesta välittyy eteenpäin heti kun tietoturvaloukkaus on käsitelty loppuun.
III LUKU
TURVATOIMET
7 artikla
Turvapolitiikka
1. Oikeus-, vapaus- ja turvallisuusasioiden pääosaston pääjohtaja laatii sitovan turvapolitiikan ja päivittää ja tarkistaa sitä säännöllisesti tämän päätöksen mukaisesti. Turvapolitiikassa kuvataan yksityiskohtaisesti menettelyt ja toimet, joilla suojaudutaan viisumitietojärjestelmän saatavuuteen, eheyteen ja luottamuksellisuuteen kohdistuvilta uhkilta, sekä varasuunnitelmat, jotta voidaan varmistaa riittävä turvallisuuden taso tässä päätöksessä kuvatulla tavalla. Turvapolitiikan on oltava tämän päätöksen mukainen.
2. Turvapolitiikka perustuu riskinarviointiin. Turvapolitiikassa kuvattujen toimien on oltava oikeassa suhteessa havaittuihin riskeihin.
3. Riskinarviointia ja turvapolitiikkaa päivitetään, jos se on tarpeen teknisen kehityksen, havaittujen uusien uhkien tai muiden seikkojen johdosta. Turvapolitiikkaa tarkistetaan joka tapauksessa vuosittain sen varmistamiseksi, että se vastaa edelleen asianmukaisesti viimeisintä riskinarviointia tai mitä tahansa uutta teknistä kehitysaskelta, uhkaa tai muuta keskeistä seikkaa.
4. Turvapolitiikan laatii järjestelmän turvallisuusvastaava yhteistyössä viisumitietojärjestelmän paikallisen turvallisuusvastaavan ja tiedonsiirtoinfrastruktuurin paikallisen turvallisuusvastaavan kanssa.
8 artikla
Turvatoimien täytäntöönpano
1. Tässä päätöksessä ja turvapolitiikassa tarkoitettujen tehtävien ja vaatimusten toteuttaminen, paikallisen turvallisuusvastaavan nimeäminen mukaan luettuna, voidaan ulkoistaa tai antaa tehtäväksi yksityiselle tai julkiselle elimelle.
2. Siinä tapauksessa komissio varmistaa oikeudellisesti sitovan sopimuksen avulla, että kaikkia tässä päätöksessä ja turvapolitiikassa asetettuja vaatimuksia noudatetaan. Jos paikallisen turvallisuusvastaavan nimeäminen annetaan tehtäväksi jollekin muulle taholle tai ulkoistetaan, komissio varmistaa oikeudellisesti sitovan sopimuksen avulla, että sitä kuullaan paikallisen turvallisuusvastaavan tehtävään nimettävän henkilön valinnasta.
9 artikla
Laitteisiin pääsyn valvonta
1. Alueet, joilla tietojenkäsittelylaitteet sijaitsevat, suojataan asianmukaisilla esteillä ja pääsynvalvontajärjestelyillä, ja niiden ympärille rajataan turva-alueet.
2. Turva-alueen sisälle luodaan suojattuja alueita, joiden tarkoituksena on suojella viisumijärjestelmän fyysisiä komponentteja, esimerkiksi laitteistoja, tietovälineitä ja konsoleja, suunnitelmia ja muita asiakirjoja sekä viisumitietojärjestelmän toimintaan osallistuvan henkilöstön toimistoja ja työpisteitä. Suojatut alueet varustetaan asianmukaisilla pääsynvalvontajärjestelyillä, jotta vain valtuutetut henkilöt pääsevät alueelle. Suojatuilla alueilla työskentelyyn sovelletaan turvapolitiikassa yksityiskohtaisesti määritettyjä turvallisuussääntöjä.
3. Toimistojen, huoneiden ja laitteiden fyysisestä turvallisuudesta huolehditaan. Esimerkiksi toimitus- ja lastausalueita ja muita alueita, joiden kautta sivulliset voivat päästä tiloihin, valvotaan, ja jos mahdollista, ne eristetään tietojenkäsittelylaitteista luvattoman käytön estämiseksi.
4. Laaditaan suunnitelma turva-alueiden suojaamiseksi fyysisesti luonnonkatastrofeilta ja ihmisen aiheuttamilta katastrofeilta, ja sovelletaan sitä oikeassa suhteessa riskeihin.
5. Laitteet suojataan fyysisiltä ja ympäristöuhkilta sekä luvattomalta käytöltä.
6. Komissio lisää 2 artiklan 2 kohdan f alakohdassa tarkoitettuun luetteloon sen yhteyspisteen, joka vastaa tämän artiklan säännösten täytäntöönpanon valvonnasta keskusviisumitietojärjestelmän varakeskuksen sijaintipaikassa, edellyttäen että sillä on tämä tieto.
10 artikla
Tietovälineiden ja laitteiden valvonta
1. Tietoja sisältävät erilliset tallennusvälineet suojataan luvattomalta käytöltä, väärinkäytöltä tai tietojen tuhoamiselta, ja välineiden luettavuudesta huolehditaan tietojen koko säilytysajan.
2. Tietovälineet poistetaan käytöstä turvallisesti sen jälkeen kun niitä ei enää tarvita, noudattaen turvapolitiikassa yksityiskohtaisesti kuvattavia menettelyjä.
3. Inventaarien avulla varmistetaan, että tiedot tallennettujen tietojen sijainnista, tietojen säilyttämisajasta ja tietoihin pääsyä koskevista valtuutuksista ovat saatavilla.
4. Kaikki keskusviisumitietojärjestelmän ja tiedonsiirtoinfrastruktuurin tärkeimmät osat luetteloidaan, jotta niitä voidaan suojella niiden tärkeysasteen mukaan. Keskeisistä tietoteknisistä laitteista pidetään ajantasaista rekisteriä.
5. Keskusviisumitietojärjestelmää ja tiedonsiirtoinfrastruktuuria koskevat ajantasaiset asiakirjat pidetään saatavilla. Asiakirjat on suojattava luvattomalta käytöltä.
11 artikla
Tietojen säilyttämisen valvonta
1. Tietojen asianmukainen säilyttäminen ja luvattoman käytön ehkäiseminen varmistetaan asianmukaisilla toimenpiteillä.
2. Kaikki tallennusvälineitä sisältävät laitteet tarkistetaan kokonaisuudessaan, jotta voidaan varmistaa, että arkaluonteiset tiedot on poistettu tai niiden päälle on kirjoitettu ennen välineiden käytöstä poistamista, tai laitteet hävitetään turvallisesti.
12 artikla
Salasanojen valvonta
1. Kaikki salasanat säilytetään turvallisesti ja niitä käsitellään luottamuksellisesti. Jos epäillään, että salasana on joutunut ulkopuolisten tietoon, se on vaihdettava välittömästi tai kyseinen käyttäjätili on poistettava käytöstä. Käyttäjätunnukset ovat yksilöllisiä ja ainutkertaisia.
2. Turvapolitiikassa määritellään luvattoman käytön estämiseksi menettelyt, joita noudattaen järjestelmään kirjaudutaan ja sieltä kirjaudutaan ulos.
13 artikla
Pääsyn valvonta
1. Turvapolitiikassa kuvataan henkilöstön rekisteriin ottamista ja rekisteristä poistamista varten virallinen menettely, jota noudattaen keskusviisumitietojärjestelmässä myönnetään tai kumotaan pääsy viisumitietojärjestelmän laitteisiin ja ohjelmistoihin toiminnan hallinnointia varten. Riittävien käyttöoikeuksien (salasanat tai muut asianmukaiset keinot) myöntämistä ja käyttöä valvotaan turvapolitiikkaan sisältyvällä virallisella hallinnointimenettelyllä.
2. Pääsy viisumitietojärjestelmän laitteisiin ja ohjelmistoihin keskusviisumitietojärjestelmässä
|
i) |
rajataan valtuutettuihin henkilöihin; |
|
ii) |
rajataan tapauksiin, joissa voidaan todeta asetuksen (EY) N:o 767/2008 42 artiklan ja 50 artiklan 2 kohdan mukainen perusteltu tarkoitus; |
|
iii) |
ei ylitä pääsyn tarkoituksen kannalta tarpeellista kestoa ja laajuutta; sekä |
|
iv) |
tapahtuu ainoastaan turvapolitiikassa määriteltävän pääsynvalvontamenettelyn mukaisesti. |
3. Keskusviisumitietojärjestelmässä käytetään ainoastaan niitä konsoleja ja ohjelmistoja, jotka keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava on hyväksynyt. Sellaisten järjestelmän apuohjelmien käyttöä, joiden avulla on mahdollista ohittaa järjestelmän ja sen sovellusten valvonta, rajoitetaan ja valvotaan. Ohjelmien asennuksen valvontaa varten otetaan käyttöön erityiset menettelyt.
14 artikla
Tiedonsiirron valvonta
Tiedonsiirtoinfrastruktuuria valvotaan tiedonvaihdon käytettävyyden, eheyden ja luottamuksellisuuden varmistamiseksi. Tiedonsiirtoinfrastruktuurissa siirrettävät tiedot suojataan salausmenetelmillä.
15 artikla
Tietojen tallentamisen valvonta
Keskusviisumitietojärjestelmän paikallinen turvallisuusvastaava seuraa niiden henkilöiden käyttäjätilejä, joilla on oikeus käsitellä viisumitietojärjestelmän ohjelmia keskusviisumitietojärjestelmän kautta. Käyttäjätilien käyttö, myös käyttöaika ja käyttäjän henkilöllisyys, kirjataan muistiin.
16 artikla
Kuljetuksen valvonta
1. Turvapolitiikassa vahvistetaan asianmukaiset toimenpiteet, joilla estetään henkilötietojen luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen siirrettäessä tietoja viisumitietojärjestelmään tai viisumitietojärjestelmästä tai tietovälineiden kuljetuksen aikana. Turvapolitiikassa määrätään hyväksyttävistä lähetys- tai kuljetustavoista sekä vastuumenettelyistä tietovälineiden kuljetusta ja niiden määränpäähän saapumista varten. Tietovälineellä ei saa olla muita tietoja kuin ne, jotka on tarkoitus siirtää järjestelmään.
2. Kolmansien osapuolten tarjoamiin palveluihin, jotka liittyvät tietojenkäsittelylaitteiden käyttämiseen, käsittelyyn, välittämiseen tai hallinnointiin tai tuotteiden tai palvelujen lisäämiseen tietojenkäsittelylaitteisiin, sovelletaan asianmukaisia yhdennettyjä turvatarkastuksia.
17 artikla
Tiedonsiirtoinfrastruktuurin turvallisuus
1. Tiedonsiirtoinfrastruktuurin asianmukaisesta hallinnosta ja valvonnasta huolehditaan, jotta sitä voidaan suojella uhkilta ja varmistaa tiedonsiirtoinfrastruktuurin ja keskusviisumitietojärjestelmän sekä sen kautta vaihdettavien tietojen turvallisuus.
2. Kaikkien verkkopalvelujen turvaominaisuudet, palvelutasot ja hallinnolliset vaatimukset määritetään palveluntarjoajan kanssa tehtävässä verkkopalvelusopimuksessa.
3. Sen lisäksi, että suojellaan viisumitietojärjestelmän liityntäpisteitä, suojataan myös kaikki muut palvelut, joita tiedonsiirtoinfrastruktuuri hyödyntää. Asianmukaiset menetelmät määritetään turvapolitiikassa.
18 artikla
Seuranta
1. Lokitiedostot, joissa on asetuksen (EY) N:o 767/2008 34 artiklan 1 kohdassa tarkoitetut tiedot kaikesta keskusviisumitietojärjestelmän käytöstä ja kaikista keskusviisumitietojärjestelmässä toteutetuista tietojenkäsittelytapahtumista, säilytetään luotettavasti keskusviisumitietojärjestelmän pääkeskuksen ja varakeskuksen tiloissa, joista on pääsy lokitiedostoihin asetuksen (EY) N:o 767/2008 34 artiklan 2 kohdassa tarkoitettu aika.
2. Tietojenkäsittelylaitteiden käytön tai laitteissa esiintyvien vikojen seurantamenettelyt esitetään turvapolitiikassa, ja seurannan tuloksia tarkastellaan säännöllisesti. Tarvittaessa ryhdytään asianmukaisiin toimiin.
3. Tietojen kirjaamisvälineet ja lokitiedostot suojataan väärinkäytöltä ja luvattomalta käytöltä, jotta ne täyttäisivät todisteiden keräämiselle ja säilyttämiselle asetetut vaatimukset.
19 artikla
Salausmenetelmät
Tarvittaessa käytetään salausmenetelmiä tietojen suojaamiseksi. Järjestelmän turvallisuusvastaavan on etukäteen hyväksyttävä salausmenetelmien käyttö sekä käytön perusteet ja edellytykset.
IV LUKU
HENKILÖSTÖTURVALLISUUS
20 artikla
Henkilöstöprofiilit
1. Turvapolitiikassa määritellään niiden henkilöiden tehtävät ja vastuualueet, joilla on oikeus käyttää viisumitietojärjestelmää ja tiedonsiirtoinfrastruktuuria.
2. Operatiiviseen hallintoon osallistuvien komission henkilöstön, hankkijoiden ja niiden työntekijöiden turvallisuuteen liittyvät tehtävät ja velvollisuudet määritellään ja dokumentoidaan ja niistä ilmoitetaan henkilöille itselleen. Komission henkilöstön osalta nämä tehtävät ja velvollisuudet mainitaan työnkuvauksessa ja tavoitteissa, ja hankkijoiden osalta ne mainitaan sopimuksissa tai palvelutasosopimuksissa.
3. Kaikkien niiden henkilöiden kanssa, joihin ei sovelleta Euroopan unionin tai jonkin jäsenvaltion julkista hallintoa koskevia sääntöjä, tehdään salassapitosopimus. Viisumitietojärjestelmään sisältyvien tietojen parissa työskentelevillä henkilöillä on oltava tarvittava turvallisuusselvitys tai vastaava todistus turvapolitiikassa määriteltävien yksityiskohtaisten menettelyjen mukaisesti.
21 artikla
Henkilöstölle tarkoitettu tiedotus
1. Koko henkilöstölle ja tarvittaessa hankkijoille annetaan heidän työtehtäviensä edellyttämä koulutus turvallisuuskysymyksissä, lakisääteisissä vaatimuksissa, toimintaperiaatteissa ja menettelyissä.
2. Työsuhteen tai sopimuksen päättymisen varalta turvapolitiikassa määritellään sekä henkilöstön että hankkijoiden osalta työtehtävän muuttumiseen tai työsuhteen päättymiseen liittyvät velvoitteet ja menettelyt, joita sovelletaan omaisuuden palauttamiseen ja käyttöoikeuksien poistamiseen.
V LUKU
LOPPUSÄÄNNÖS
22 artikla
Soveltaminen
1. Tätä päätöstä aletaan soveltaa päivänä, jonka komissio määrää asetuksen (EY) N:o 767/2008 48 artiklan 1 kohdan mukaisesti.
2. Tämän päätöksen voimassaolo päättyy, kun tietokantaa hallinnoiva viranomainen ottaa tehtävänsä vastaan.
Tehty Brysselissä 4 päivänä toukokuuta 2010.
Komission puolesta
José Manuel BARROSO
Puheenjohtaja
(1) EUVL L 218, 13.8.2008, s. 60.
(2) EYVL L 8, 12.1.2001, s. 1.
(3) EUVL L 194, 23.7.2008, s. 3.