EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32010D0261

2010/261/: 2010 m. gegužės 4 d. Komisijos sprendimas dėl Centrinės SIS II ir Ryšių infrastruktūros saugumo plano

OJ L 112, 5.5.2010, p. 31–37 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 006 P. 264 - 270

No longer in force, Date of end of validity: 06/03/2023; panaikino 32018R1862

ELI: http://data.europa.eu/eli/dec/2010/261/oj

5.5.2010   

LT

Europos Sąjungos oficialusis leidinys

L 112/31


KOMISIJOS SPRENDIMAS

2010 m. gegužės 4 d.

dėl Centrinės SIS II ir Ryšių infrastruktūros saugumo plano

(2010/261/ES)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2006 m. gruodžio 20 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 1987/2006 dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (1), ypač į jo 16 straipsnį,

atsižvelgdama į 2007 m. birželio 12 d. Tarybos sprendimą 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (2), ypač į jo 16 straipsnį,

kadangi:

(1)

Reglamento (EB) Nr. 1987/2006 16 straipsnyje ir Sprendimo 2007/533/TVR 16 straipsnyje numatyta, kad Valdymo institucija Centrinės SIS II atžvilgiu ir Komisija Ryšių infrastruktūros atžvilgiu turėtų imtis reikiamų priemonių, įskaitant saugumo planą.

(2)

Reglamento (EB) Nr. 1987/2006 15 straipsnio 4 dalyje ir Sprendimo 2007/533/TVR 15 straipsnio 4 dalyje numatyta, kad pereinamuoju laikotarpiu, kol Valdymo institucija pradės vykdyti savo įsipareigojimus, už Centrinės SIS II operacijų valdymą turėtų būti atsakinga Komisija.

(3)

Kadangi Valdymo institucija dar neįsteigta, saugumo planas, kurį turi priimti Komisija, pereinamuoju laikotarpiu taip pat turėtų būti taikomas Centrinei SIS II.

(4)

Komisijos tvarkomiems asmens duomenims, kai ji atlieka SIS II operacijų valdymo užduotis, taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 (3).

(5)

Reglamento (EB) Nr. 1987/2006 15 straipsnio 7 dalyje ir Sprendimo 2007/533/TVR 15 straipsnio 7 dalyje numatyta, kad tais atvejais, kai Komisija pereinamuoju laikotarpiu, kol Valdymo institucija pradės vykdyti savo įsipareigojimus, perduoda savo pareigas, ji užtikrina, kad šis perdavimas neturėtų neigiamos įtakos jokiam pagal Sąjungos teisę Teisingumo Teismo, Audito Rūmų ar Europos duomenų apsaugos priežiūros pareigūno vykdomos veiksmingos kontrolės mechanizmui.

(6)

Pradėjusi vykdyti savo įsipareigojimus, Valdymo institucija Centrinės SIS II atžvilgiu turėtų priimti savo saugumo planą. Todėl šis saugumo planas Centrinės SIS II atžvilgiu galios tol, kol Valdymo institucija pradės vykdyti savo įsipareigojimus.

(7)

Reglamento (EB) Nr. 1987/2006 4 straipsnio 3 dalyje ir Sprendimo 2007/533/TVR 4 straipsnio 3 dalyje numatyta, kad CS-SIS, kuri atlieka techninės priežiūros ir administravimo funkcijas, yra Strasbūre (Prancūzija), o atsarginė CS-SIS, sugedus pagrindinei CS-SIS galinti užtikrinti visų jos funkcijų vykdymą, yra Sankt Johann im Pongau (Austrija).

(8)

Pagal saugumo planą turėtų būti numatyta įsteigti vieną sistemos saugumo pareigūno, atliekančio tiek Centrinės SIS II, tiek Ryšių infrastruktūros saugumo užtikrinimo užduotis, pareigybę ir dvi vietos saugumo pareigūnų, atitinkamai atliekančių Centrinės SIS II ir Ryšių infrastruktūros saugumo užtikrinimo užduotis, pareigybes. Saugumo pareigūnų užduotys turėtų būti apibrėžtos, siekiant užtikrinti, kad bus veiksmingai ir nedelsiant reaguojama į saugumo incidentus ir apie juos pranešta.

(9)

Saugumo politika turėtų būti apibrėžta išsamiai nurodant visus techninius ir organizacinius duomenis, kaip numatyta šio sprendimo nuostatose.

(10)

Turėtų būti apibrėžtos priemonės, užtikrinančios tinkamą Centrinės SIS II ir Ryšių infrastruktūros veikimo saugumą,

PRIĖMĖ ŠĮ SPRENDIMĄ:

I.   SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas

1.   Šiuo sprendimu nustatoma saugumo organizavimo tvarka ir priemonės (saugumo planas), kuriomis pereinamuoju laikotarpiu, kol Valdymo institucija pradės vykdyti savo įsipareigojimus, siekiama Centrinę SIS II ir joje tvarkomus duomenis apsaugoti nuo grėsmės jų prieinamumui, vientisumui ir konfidencialumui, kaip apibrėžta Reglamento (EB) Nr. 1987/2006 16 straipsnio 1 dalyje ir Sprendimo 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 16 straipsnio 1 dalyje.

2.   Šiuo sprendimu nustatoma saugumo organizavimo tvarka ir priemonės (saugumo planas), kuriomis siekiama Ryšių infrastruktūrą apsaugoti nuo grėsmės jos prieinamumui, vientisumui ir konfidencialumui, kaip apibrėžta Reglamento (EB) Nr. 1987/2006 16 straipsnyje ir Sprendimo 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 16 straipsnyje.

II.   SKYRIUS

ORGANIZAVIMAS, ĮSIPAREIGOJIMAI IR INCIDENTŲ VALDYMAS

2 straipsnis

Komisijos užduotys

1.   Komisija įgyvendina šiame sprendime nurodytas Centrinės SIS II saugumo priemones ir stebi jų veiksmingumą.

2.   Komisija įgyvendina šiame sprendime nurodytas Ryšių infrastruktūros saugumo priemones ir stebi jų veiksmingumą.

3.   Komisija iš savo tarnautojų paskiria sistemos saugumo pareigūną. Sistemos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius. Sistemos saugumo pareigūno užduotys visų pirma:

a)

rengti saugumo politiką, kaip aprašyta šio sprendimo 7 straipsnyje;

b)

stebėti, kaip veiksmingai taikomos Centrinės SIS II saugumo procedūros;

c)

stebėti, kaip veiksmingai taikomos Ryšių infrastruktūros saugumo procedūros;

d)

padėti rengti ataskaitas saugumo klausimais, kaip nurodyta Reglamento (EB) Nr. 1987/2006 50 straipsnyje ir Sprendimo 2007/533/TVR 66 straipsnyje;

e)

koordinuoti ir padėti Europos duomenų apsaugos priežiūros pareigūnui atlikti tikrinimus ir auditą, nurodytus Reglamento (EB) Nr. 1987/2006 45 straipsnyje ir Sprendimo 2007/533/TVR 61 straipsnyje, ir pranešti Komisijos duomenų apsaugos pareigūnui apie incidentus, kaip nurodyta šio sprendimo 5 straipsnio 2 dalyje;

f)

stebėti, kad visi rangovai, įskaitant subrangovus, kokiu nors būdu įtraukti į Centrinės SIS II valdymą, tinkamai ir visapusiškai vadovautųsi šiuo sprendimu ir saugumo politika;

g)

stebėti, kad visi rangovai, įskaitant subrangovus, kokiu nors būdu įtraukti į Ryšių infrastruktūros valdymą, tinkamai ir visapusiškai vadovautųsi šiuo sprendimu ir saugumo politika;

h)

tvarkyti nacionalinių ryšių palaikymo institucijų SIS II saugumo klausimais sąrašą ir perduoti jį Ryšių infrastruktūros vietos saugumo pareigūnui;

i)

perduoti h punkte nurodytą sąrašą Centrinės SIS II vietos saugumo pareigūnui.

3 straipsnis

Centrinės SIS II vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria Centrinės SIS II vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Centrinės SIS II vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Centrinės SIS II vietos saugumo pareigūnas užtikrina, kad pagrindinėje CS-SIS būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės ir būtų laikomasi saugumo procedūrų. Kiek tai susiję su atsargine CS-SIS, Centrinės SIS II vietos saugumo pareigūnas taip pat užtikrina, kad būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės, išskyrus nurodytas 9 straipsnyje, ir būtų laikomasi su jomis susijusių saugumo procedūrų.

3.   Centrinės SIS II vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Centrinės SIS II vietos saugumo pareigūnas, laikydamasis 1 dalies nuostatų, atlieka užduotis, susijusias su saugumo priemonėmis, kurios turi būti taikomos pagrindinės CS-SIS ir atsarginės CS-SIS patalpose, visų pirma:

a)

atlieka vietos operacijų saugumo užtikrinimo užduotis, įskaitant užkardų patikrą, reguliarų saugumo tikrinimą, auditą ir ataskaitų teikimą;

b)

stebi, kaip veiksmingai taikomas veiklos tęstinumo planas, ir užtikrina, kad reguliariai vyktų mokymai;

c)

užtikrina bet kokio Centrinės SIS II incidento, galinčio paveikti Centrinės SIS II arba Ryšių infrastruktūros saugumą, įrodymus ir apie tai praneša sistemos saugumo pareigūnui;

d)

informuoja sistemos saugumo pareigūną apie būtinybę keisti saugumo politiką;

e)

stebi, kad visi rangovai, įskaitant subrangovus, kokiu nors būdu įtraukti į Centrinės SIS II operacijų valdymą, vadovautųsi šiuo sprendimu ir saugumo politika;

f)

užtikrina, kad darbuotojai būtų supažindinti su savo pareigomis ir stebi, kaip vadovaujamasi saugumo politika;

g)

stebi IT saugumo naujoves ir užtikrina, kad darbuotojai būtų tinkamai parengti;

h)

rengia informaciją apie saugumo politikos kūrimą, atnaujinimą ir peržiūrą ir teikia atitinkamus pasiūlymo variantus, kaip numatyta 7 straipsnyje.

4 straipsnis

Ryšių infrastruktūros vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria Ryšių infrastruktūros vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Ryšių infrastruktūros vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Ryšių infrastruktūros vietos saugumo pareigūnas stebi, kaip veikia Ryšių infrastruktūra, ir užtikrina, kad būtų įgyvendintos saugumo priemonės ir laikomasi saugumo procedūrų.

3.   Ryšių infrastruktūros vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Ryšių infrastruktūros vietos saugumo pareigūnas atlieka užduotis, susijusias su saugumo priemonėmis, kurios turi būti taikomos Ryšių infrastruktūrai, visų pirma:

a)

atlieka visas su Ryšių infrastruktūra susijusių operacijų saugumo užtikrinimo užduotis, įskaitant užkardų patikrą, reguliarų saugumo tikrinimą, auditą ir ataskaitų teikimą;

b)

stebi, kaip veiksmingai taikomas veiklos tęstinumo planas, ir užtikrina, kad reguliariai vyktų mokymai;

c)

užtikrina bet kokio Ryšių infrastruktūros incidento, galinčio paveikti Centrinės SIS II arba Ryšių infrastruktūros saugumą, įrodymus ir apie tai praneša sistemos saugumo pareigūnui;

d)

informuoja sistemos saugumo pareigūną apie būtinybę keisti saugumo politiką;

e)

stebi, kad visi rangovai, įskaitant subrangovus, kokiu nors būdu įtraukti į Ryšių infrastruktūros valdymą, vadovautųsi šiuo sprendimu ir saugumo politika;

f)

užtikrina, kad darbuotojai būti supažindinti su savo pareigomis ir stebi, kaip vadovaujamasi saugumo politika;

g)

stebi IT saugumo naujoves ir užtikrina, kad darbuotojai būti tinkamai parengti;

h)

rengia informaciją apie saugumo politikos kūrimą, atnaujinimą ir peržiūrą ir teikia atitinkamus pasiūlymo variantus, kaip numatyta 7 straipsnyje.

5 straipsnis

Saugumo incidentai

1.   Bet koks įvykis, kuris paveikė arba galėjo paveikti SIS II saugumą ir gali padaryti SIS II žalos arba sukelti nuostolių, laikomas saugumo incidentu, ypač jei buvo pasinaudota prieiga prie duomenų arba kilo ar galėjo kilti pavojus duomenų prieinamumui, vientisumui ir konfidencialumui.

2.   Saugumo incidentai valdomi taip, kad būtų greitai, veiksmingai ir tinkamai reaguojama laikantis saugumo politikos nuostatų. Turi būti nustatomos saugumo atkūrimo įvykus incidentui procedūros.

3.   Valstybė narė informuojama apie saugumo incidentą, kuris paveikė arba galėjo paveikti SIS II veikimą toje valstybėje narėje ar jos įrašytų arba išsiųstų duomenų prieinamumą, vientisumą ir konfidencialumą. Apie saugumo incidentus pranešama Komisijos duomenų apsaugos pareigūnui.

6 straipsnis

Incidentų valdymas

1.   Visi darbuotojai ir rangovai, dalyvaujantys tobulinant, valdant arba naudojant SIS II, privalo užfiksuoti bet kokias pastebėtas arba įtariamas Ryšių infrastruktūros saugumo spragas ir apie jas pranešti Ryšių infrastruktūros sistemos saugumo pareigūnui arba vietos saugumo pareigūnui.

2.   Pastebėjęs bet kokį incidentą, kuris paveikė arba galėjo paveikti SIS II saugumą, Ryšių infrastruktūros vietos saugumo pareigūnas kuo skubiau apie tai raštu informuoja sistemos saugumo pareigūną ir prireikus nacionalinę ryšių palaikymo instituciją SIS II saugumo klausimais, jei konkrečioje valstybėje narėje tokia institucija yra, arba – ypatingos skubos atveju – kitomis ryšio priemonėmis. Pranešime aprašomas saugumo incidentas, pavojaus laipsnis, galimos pasekmės ir priemonės, kurių imtasi arba reikėtų imtis pavojui sumažinti.

3.   Ryšių infrastruktūros vietos saugumo pareigūnas nedelsiant užtikrina visus su saugumo incidentu susijusius įrodymus. Kiek įmanoma pagal galiojančias duomenų apsaugos nuostatas, sistemos saugumo pareigūno prašymu jam pateikiami tokie įrodymai.

4.   Saugumo politikos nuostatose apibrėžiamos grįžtamosios informacijos procedūros, suvaldžius ir pašalinus incidentą, siekiant užtikrinti, kad informacija apie saugumo incidento rūšį, valdymą ir baigtį būtų pranešama Ryšių infrastruktūros sistemos saugumo pareigūnui ir vietos saugumo pareigūnui.

5.   Šio straipsnio 1–4 dalys mutatis mutandis taikomos Centrinės SIS II incidentams. Šiuo atžvilgiu visos 1–4 dalių nuorodos į Ryšių infrastruktūros vietos saugumo pareigūną reiškia nuorodą į Centrinės SIS II vietos saugumo pareigūną.

III.   SKYRIUS

SAUGUMO PRIEMONĖS

7 straipsnis

Saugumo politika

1.   Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius formuoja, atnaujina ir reguliariai peržiūri privalomą laikytis saugumo politiką, kaip numatyta šiame sprendime. Saugumo politikos nuostatose numatomos išsamios apsaugos nuo grėsmės Ryšių infrastruktūros prieinamumui, vientisumui ir konfidencialumui procedūros ir priemonės, įskaitant nepaprastosios padėties planą, kad būtų užtikrintas tinkamas šiuo sprendimu reikalaujamas saugumo lygis. Saugumo politika atitinka šio sprendimo nuostatas.

2.   Saugumo politika grindžiama rizikos įvertinimu. Saugumo politikos priemonės turi būti proporcingos nustatytai rizikai.

3.   Rizikos įvertinimas ir saugumo politika atnaujinama, jei tai būtina dėl technologinių pokyčių, nustačius naują grėsmę arba susiklosčius kitoms aplinkybėms. Saugumo politika bent kuriuo atveju peržiūrima kasmet, siekiant užtikrinti, kad ja vis dar tinkamai atsižvelgiama į naujausią rizikos įvertinimą arba bet kokius neseniai nustatytus technologinius pokyčius, grėsmę ar kitas reikšmingas aplinkybes.

4.   Saugumo politiką rengia sistemos saugumo pareigūnas derindamas su Centrinės SIS II vietos saugumo pareigūnu ir Ryšių infrastruktūros vietos saugumo pareigūnu.

5.   Šio straipsnio 1–4 dalys mutatis mutandis taikomos Centrinės SIS II saugumo politikai. Šiuo atžvilgiu visos 1–4 dalių nuorodos į Ryšių infrastruktūros vietos saugumo pareigūną reiškia nuorodą į Centrinės SIS II vietos saugumo pareigūną.

8 straipsnis

Saugumo priemonių įgyvendinimas

1.   Šiame sprendime ir saugumo politikoje nustatytoms užduotims ir reikalavimams įgyvendinti, įskaitant vietos saugumo pareigūno paskyrimą, gali būti sudaromos rangos sutartys su privačiomis arba valstybinėmis įstaigomis arba šios užduotys gali būti joms pavedamos.

2.   Tokiu atveju Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad būtų visapusiškai laikomasi šiame sprendime ir saugumo politikos nuostatose numatytų reikalavimų. Jei pavedama paskirti vietos saugumo pareigūną arba dėl jo paskyrimo sudaroma rangos sutartis, Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad su ja bus konsultuojamasi dėl vietos saugumo pareigūnu skiriamo asmens.

9 straipsnis

Patekimo į patalpas kontrolė

1.   Teritorijų, kuriose yra duomenų tvarkymo patalpos, apsauga užtikrinama įrengiant saugumo zoną su tinkamomis užkardomis ir patekimo kontrole.

2.   Saugumo zonoje nustatomos saugios patalpos fiziniams objektams (inventoriui), įskaitant aparatinę įrangą, duomenų laikmenas ir pultus, planus ir kitus SIS II dokumentus, taip pat kabinetams ir kitoms darbuotojų, eksploatuojančių SIS II, darbo vietoms apsaugoti. Šios saugios patalpos apsaugomos įvedant tinkamą patekimo kontrolę, kad patekti galėtų tik leidimus turintys darbuotojai. Darbas saugiose patalpose reglamentuojamas išsamiomis saugumo politikos nuostatose įtvirtintomis saugumo taisyklėmis.

3.   Kabinetams, patalpoms ir įrangai numatomos ir instaliuojamos fizinės saugumo priemonės. Prieigos vietos, kaip antai tiekimo bei iškrovimo zonos, ir kitos vietos, kur į patalpas gali patekti leidimų neturintys asmenys, kontroliuojamos ir, jei įmanoma, izoliuojamos nuo duomenų tvarkymo patalpų, kad į jas nepatektų pašaliniai.

4.   Fizinė saugumo zonos apsauga nuo gaivalinės arba žmogaus sukeltos nelaimės padarytos žalos numatoma ir taikoma proporcingai rizikos laipsniui.

5.   Įranga apsaugoma nuo fizinių ir aplinkos pavojų ir nuo galimybių ja pasinaudoti pašaliniams.

6.   Jei Komisijai tokia informacija žinoma, ji į 2 straipsnio 3 dalies h punkte nurodytą sąrašą įtraukia ryšių palaikymo instituciją, atsakingą už šio straipsnio nuostatų įgyvendinimo patalpose, kuriose yra atsarginė CS-SIS, stebėseną.

10 straipsnis

Duomenų laikmenų ir inventoriaus kontrolė

1.   Keičiamosios laikmenos su duomenimis apsaugomos nuo neteisėtos prieigos, piktnaudžiavimo arba sugadinimo, o jų skaitomumas užtikrinamas visą duomenų gyvavimo laiką.

2.   Nebereikalingos laikmenos šalinamos patikimai ir saugiai laikantis išsamių procedūrų, kurios turi būti apibrėžtos saugumo politikos nuostatose.

3.   Sudarant inventoriaus aprašą, užtikrinama informacija apie laikymo vietą, numatytą saugojimo trukmę ir prieigos leidimus.

4.   Visas svarbus Ryšių infrastruktūros inventorius identifikuojamas, kad jį būtų galima apsaugoti atsižvelgiant į jo svarbą. Vedamas nuolat atnaujinamas svarbios IT įrangos registras.

5.   Ryšių infrastruktūros dokumentai nuolat atnaujinami. Šie dokumentai apsaugomi nuo galimybės neteisėtai su jais susipažinti.

6.   Šio straipsnio 1–5 dalys mutatis mutandis taikomos Centrinei SIS II. Šiuo atžvilgiu visos nuorodos į Ryšių infrastruktūrą reiškia nuorodą į Centrinę SIS II.

11 straipsnis

Laikymo kontrolė

1.   Tinkamų priemonių imamasi siekiant užtikrinti deramą duomenų laikymą ir užkirsti kelią neteisėtai prieigai prie jų.

2.   Visi įrangos komponentai, kuriuose yra atminties laikmena, prieš juos šalinant patikrinami, siekiant užtikrinti, kad neskelbtini duomenys buvo ištrinti arba visiškai pakeisti, arba saugiai sunaikinami.

12 straipsnis

Slaptažodžio patikra

1.   Visi slaptažodžiai laikomi saugiai ir naudojami konfidencialiai. Slaptažodis nedelsiant keičiamas arba atitinkama paskyra išjungiama įtarus, kad slaptažodis buvo atskleistas. Naudojama unikali ir individuali naudotojų tapatybė.

2.   Siekiant užkirsti kelią neteisėtai prieigai, saugumo politikos nuostatose apibrėžiamos registravimosi ir išsiregistravimo procedūros.

13 straipsnis

Prieigos kontrolė

1.   Saugumo politikoje nustatomos formalios darbuotojų registravimosi ir išsiregistravimo procedūros, kuriomis operacijų valdymo tikslais suteikiama arba panaikinama prieiga prie SIS II aparatinės ir programinės įrangos. Atitinkamų prieigos duomenų (slaptažodžių arba kitų tinkamų priemonių) suteikimas ir naudojimas kontroliuojamas pasitelkiant saugumo politikoje apibrėžtą formalią valdymo procedūrą.

2.   Prieiga prie SIS II aparatinės ir programinės įrangos Centrinėje SIS:

i)

suteikiama tik leidimus turintiems asmenims;

ii)

suteikiama tik tais atvejais, kai siekiama teisėto tikslo pagal Reglamento (EB) Nr. 1987/2006 45 straipsnį ir Tarybos sprendimo 2007/533/TVR 61 straipsnį arba Reglamento (EB) Nr. 1987/2006 50 straipsnio 2 dalį ir Tarybos sprendimo 2007/533/TVR 66 straipsnio 2 dalį;

iii)

neviršija trukmės ir apimties, reikalingos prieigos tikslui pasiekti ir

iv)

ja naudojamasi tik laikantis saugumo politikoje apibrėžtinos prieigos kontrolės tvarkos.

3.   Centrinėje CS-SIS naudojami tik Centrinės SIS II vietos saugumo pareigūno leisti pultai ir programinė įranga. Ribojamas ir kontroliuojamas sisteminių programų, kuriomis gali būti keičiama sistemų ir programų kontrolė, naudojimas. Numatomos programinės įrangos diegimo kontrolės procedūros.

14 straipsnis

Ryšių kontrolė

Ryšių infrastruktūra stebima siekiant užtikrinti informacijos mainų prieinamumą, vientisumą ir konfidencialumą. Per ryšių infrastruktūrą perduodamiems duomenims apsaugoti naudojamos kriptografinės priemonės.

15 straipsnis

Įvedinių kontrolė

Centrinės SIS II vietos saugumo pareigūnas stebi asmenų, turinčių teisę iš CS-SIS prieiti prie SIS II programinės įrangos, paskyras. Šių paskyrų naudojimas, taip pat trukmė ir naudotojo tapatybė registruojama.

16 straipsnis

Transporto kontrolė

1.   Saugumo politikoje apibrėžiamos tinkamos priemonės, kuriomis užkertamas kelias neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba trynimui juos perduodant į SIS II ar iš jos arba transportuojant duomenų laikmenas. Saugumo politikoje įtvirtinamos nuostatos, kuriomis numatoma, kokios siuntimo arba transportavimo rūšys tinkamos, ir nustatomos atskaitomybės už objektų transportavimą ir jų pristatymą į paskirties vietą procedūros. Duomenų laikmenose neturi būti jokių kitų duomenų, išskyrus siųstinus.

2.   Trečiųjų asmenų teikiamoms paslaugoms, apimančioms duomenų prieigą, tvarkymą, perdavimą ar duomenų tvarkymo įrangos valdymą arba teikiančioms papildomus produktus ar paslaugas duomenų tvarkymo įrangai, taikoma tinkamai integruota saugumo kontrolė.

17 straipsnis

Ryšių infrastruktūros saugumas

1.   Ryšių infrastruktūra tinkamai valdoma ir kontroliuojama siekiant ją apsaugoti nuo grėsmių ir užtikrinti jos pačios bei Centrinės SIS II, įskaitant per ją vykdomus duomenų mainus, saugumą.

2.   Visų tinklo paslaugų saugumo savybės, teikiamos paslaugos ir valdymo reikalavimai nustatomi su paslaugų teikėju sudaromame tinklo aptarnavimo susitarime.

3.   Apsaugomi ne tik SIS II prieigos taškai, bet ir visos galimos papildomos Ryšių infrastruktūros naudojamos paslaugos. Tinkamos priemonės apibrėžiamos saugumo politikos nuostatose.

18 straipsnis

Stebėsena

1.   Prisijungimo įrašų duomenys, nurodyti Reglamento (EB) Nr. 1987/2006 18 straipsnio 1 dalyje ir Sprendimo 2007/533/TVR 18 straipsnio 1 dalyje, apie kiekvieną prieigą prie CS-SIS laikomų asmens duomenų ir visą keitimąsi jais saugiai laikomi ir turi būti prieinami iš pagrindinės CS–SIS ir atsarginės CS-SIS patalpų ne ilgesnį kaip Reglamento (EB) Nr. 1987/2006 18 straipsnio 3 dalyje ir Sprendimo 2007/533/TVR 18 straipsnio 3 dalyje nurodytą laikotarpį.

2.   Saugumo politikos nuostatose apibrėžiamos duomenų tvarkymo įrangos stebėsenos ir galimų jos klaidų fiksavimo procedūros, o stebėsenos rezultatai reguliariai peržiūrimi. Prireikus imamasi tinkamų veiksmų.

3.   Prisijungimo įrašymo įranga ir prisijungimo įrašai apsaugomi nuo klastojimo ir neteisėtos prieigos, siekiant atitikti duomenų rinkimo reikalavimus ir saugoti įrodymus duomenų laikymo laikotarpiu.

19 straipsnis

Kriptografinės priemonės

Kriptografinės priemonės naudojamos prireikus apsaugoti informaciją. Jų naudojimui, įskaitant tikslą ir sąlygas, turi iš anksto pritarti sistemos saugumo pareigūnas.

IV.   SKYRIUS

ŽMOGIŠKŲJŲ IŠTEKLIŲ SAUGUMAS

20 straipsnis

Personalo aprašai

1.   Saugumo politikos nuostatose apibrėžiamos asmenų, turinčių prieigos prie Centrinės SIS II teisę, funkcijos ir atsakomybė.

2.   Saugumo politikos nuostatose apibrėžiamos asmenų, turinčių prieigos prie Ryšių infrastruktūros teisę, funkcijos ir atsakomybė.

3.   Komisijos darbuotojų, rangovų ir darbuotojų, įtrauktų į operacijų valdymą, saugumo užduotys ir atsakomybė apibrėžiamos, įtvirtinamos dokumentuose ir pranešamos atitinkamiems asmenims. Komisijos darbuotojų užduotys ir atsakomybė nurodomos pareigybių aprašuose ir tiksluose, rangovų – sutartyse arba paslaugų teikimo susitarimuose.

4.   Su visais asmenimis, kuriems netaikomos Europos Sąjungos ar valstybių narių valstybės tarnybos nuostatos, sudaromi konfidencialumo ir paslapčių neatskleidimo susitarimai. Darbuotojai, turintys dirbti su SIS II duomenimis, turi būti patikrinami saugumo požiūriu arba gauti pažymėjimą pagal išsamias saugumo politikos nuostatose įtvirtintas procedūras.

21 straipsnis

Personalo duomenys

1.   Visi darbuotojai ir rangovai dalyvauja jų pareigas atitinkančiuose mokymuose saugumo sampratos, teisės reikalavimų, politikos gairių ir procedūrų klausimais.

2.   Saugumo politikos nuostatose nustatomos darbuotojų ir rangovų pareigos, susijusios su darbo keitimu arba darbo santykių pasibaigimu, kai baigiasi darbo santykiai arba sutartis, ir inventoriaus grąžinimo bei prieigos teisių atšaukimo tvarka.

V.   SKYRIUS

BAIGIAMOJI NUOSTATA

22 straipsnis

Taikymas

1.   Šis sprendimas pradedamas taikyti nuo Tarybos, vadovaujantis Reglamento (EB) Nr. 1987/2006 55 straipsnio 2 dalimi ir Sprendimo 2007/533/TVR 71 straipsnio 2 dalimi nustatytos datos.

2.   1 straipsnio 1 dalis, 2 straipsnio 1 dalis, 2 straipsnio 3 dalies b, d, f ir i punktai, 3 straipsnis, 6 straipsnio 5 dalis, 7 straipsnio 5 dalis, 9 straipsnio 6 dalis, 10 straipsnio 6 dalis, 13 straipsnio 2 ir 3 dalys, 15 straipsnis, 18 straipsnis ir 20 straipsnio 1 dalis galioja tol, kol Valdymo institucija pradės vykdyti savo įsipareigojimus.

Priimta Briuselyje 2010 m. gegužės 4 d.

Komisijos vardu

Pirmininkas

José Manuel BARROSO


(1)  OL L 381, 2006 12 28, p. 4.

(2)  OL L 205, 2007 8 7, p. 63.

(3)  OL L 8, 2001 1 12, p. 1.


Top