KOMISIJOS SPRENDIMAS

2010 m. gegužės 4 d.

dėl Vizų informacinės sistemos veikimo saugumo plano

(2010/260/ES)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 767/2008 dėl Vizų informacinės sistemos (VIS) ir apsikeitimo duomenimis apie trumpalaikes vizas tarp valstybių narių (VIS reglamentas) (1), ypač į jo 32 straipsnį,

kadangi:

PRIĖMĖ ŠĮ SPRENDIMĄ:

I   SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas

Šiuo sprendimu nustatoma saugumo organizavimo tvarka ir priemonės (saugumo planas), kaip numatyta Reglamento (EB) Nr. 767/32 straipsnio 3 dalyje.

II   SKYRIUS

ORGANIZAVIMAS, ĮSIPAREIGOJIMAI IR INCIDENTŲ VALDYMAS

2 straipsnis

Komisijos užduotys

1.   Komisija įgyvendina šiame sprendime nurodytas centrinės VIS ir ryšių infrastruktūros saugumo priemones ir stebi jų veiksmingumą.

2.   Komisija iš savo tarnautojų paskiria sistemos saugumo pareigūną. Sistemos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius. Sistemos saugumo pareigūno užduotys visų pirma:

3 straipsnis

Centrinės VIS vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria centrinės VIS vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Centrinės VIS vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Centrinės VIS vietos saugumo pareigūnas užtikrina, kad pagrindinėje centrinėje VIS būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės ir būtų laikomasi saugumo procedūrų. Kiek tai susiję su atsargine centrine VIS, centrinės VIS vietos saugumo pareigūnas taip pat užtikrina, kad būtų įgyvendintos šiame sprendime nurodytos saugumo priemonės, išskyrus nurodytas 10 straipsnyje, ir būtų laikomasi su jomis susijusių saugumo procedūrų.

3.   Centrinės VIS vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Centrinės VIS vietos saugumo pareigūnas, laikydamasis 1 dalies nuostatų, atlieka užduotis, susijusias su saugumo priemonėmis, kurios turi būti taikomos pagrindinės ir atsarginės VIS vietose, visų pirma:

4 straipsnis

Ryšių infrastruktūros vietos saugumo pareigūnas

1.   Nepažeisdama 8 straipsnio nuostatų, Komisija iš savo tarnautojų paskiria ryšių infrastruktūros vietos saugumo pareigūną. Turi būti vengiama interesų konfliktų einant vietos saugumo pareigūno ir kitas oficialias pareigas. Ryšių infrastruktūros vietos saugumo pareigūną skiria Komisijos Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius.

2.   Ryšių infrastruktūros vietos saugumo pareigūnas stebi, kaip veikia ryšių infrastruktūra, ir užtikrina, kad būtų įgyvendintos saugumo priemonės ir laikomasi saugumo procedūrų.

3.   Ryšių infrastruktūros vietos saugumo pareigūnas gali pavesti savo užduotis pavaldiems darbuotojams. Turi būti vengiama interesų konfliktų atliekant šias užduotis ir einant kitas oficialias pareigas. Nurodomas telefono numeris ir adresas, kad bet kuriuo metu būtų galima susisiekti su vietos saugumo pareigūnu arba jį pavaduojančiu darbuotoju.

4.   Ryšių infrastruktūros vietos saugumo pareigūnas atlieka užduotis, susijusias su ryšių infrastruktūros saugumo priemonėmis, visų pirma:

5 straipsnis

Saugumo incidentai

1.   Bet koks įvykis, kuris paveikė arba galėjo paveikti VIS veikimo saugumą ir gali padaryti VIS žalos arba sukelti nuostolių, laikomas saugumo incidentu, ypač jei buvo pasinaudota prieiga prie duomenų arba kilo ar galėjo kilti pavojus duomenų prieinamumui, vientisumui ir konfidencialumui.

2.   Saugumo politikos nuostatose nustatomos saugumo atkūrimo įvykus incidentui procedūros. Saugumo incidentai valdomi taip, kad būtų greitai, veiksmingai ir tinkamai reaguojama laikantis saugumo politikos nuostatų.

3.   Valstybė narė informuojama apie saugumo incidentą, kuris paveikė arba galėjo paveikti VIS veikimą toje valstybėje narėje ar jos įrašytų VIS duomenų prieinamumą, vientisumą ir konfidencialumą. Apie saugumo incidentus pranešama Komisijos duomenų apsaugos pareigūnui.

6 straipsnis

Incidentų valdymas

1.   Visi darbuotojai ir rangovai, dalyvaujantys tobulinant, valdant arba eksploatuojant VIS, privalo užfiksuoti bet kokias pastebėtas arba įtariamas VIS veikimo saugumo spragas ir apie jas pranešti atitinkamai sistemos saugumo pareigūnui, centrinės VIS vietos saugumo pareigūnui arba ryšių infrastruktūros vietos saugumo pareigūnui.

2.   Pastebėjęs bet kokį incidentą, kuris paveikė arba galėjo paveikti VIS veikimo saugumą, centrinės VIS vietos saugumo pareigūnas arba ryšių infrastruktūros vietos saugumo pareigūnas kuo skubiau apie tai raštu informuoja sistemos saugumo pareigūną ir prireikus nacionalinę ryšių palaikymo instituciją VIS saugumo klausimais, jei konkrečioje valstybėje narėje tokia institucija yra, arba – ypatingos skubos atveju – kitomis ryšio priemonėmis. Pranešime aprašomas saugumo incidentas, pavojaus laipsnis, galimos pasekmės ir priemonės, kurių imtasi arba reikėtų imtis pavojui sumažinti.

3.   Atitinkamai centrinės VIS vietos saugumo pareigūnas arba ryšių infrastruktūros vietos saugumo pareigūnas nedelsiant užtikrina visus su saugumo incidentu susijusius įrodymus. Kiek įmanoma pagal galiojančias duomenų apsaugos nuostatas, sistemos saugumo pareigūno prašymu jam pateikiami tokie įrodymai.

4.   Numatomos grįžtamosios informacijos procedūros, siekiant užtikrinti, kad suvaldžius ir pašalinus incidentą, būtų pranešta informacija apie pasiektus rezultatus.

III   SKYRIUS

SAUGUMO PRIEMONĖS

7 straipsnis

Saugumo politika

1.   Teisingumo, laisvės ir saugumo generalinio direktorato generalinis direktorius formuoja, atnaujina ir reguliariai peržiūri privalomą laikytis saugumo politiką, kaip numatyta šiame sprendime. Saugumo politikos nuostatose numatomos išsamios apsaugos nuo grėsmės VIS prieinamumui, vientisumui ir konfidencialumui procedūros ir priemonės, įskaitant nepaprastosios padėties planą, kad būtų užtikrintas tinkamas šiuo sprendimu reikalaujamas saugumo lygis. Saugumo politika atitinka šio sprendimo nuostatas.

2.   Saugumo politika grindžiama rizikos įvertinimu. Saugumo politikos priemonės turi būti proporcingos nustatytai rizikai.

3.   Rizikos įvertinimas ir saugumo politika atnaujinama, jei tai būtina dėl technologinių pokyčių, nustačius naują grėsmę arba susiklosčius kitoms aplinkybėms. Saugumo politika bent kuriuo atveju peržiūrima kasmet, siekiant užtikrinti, kad ja vis dar tinkamai atsižvelgiama į naujausią rizikos įvertinimą arba bet kokius neseniai nustatytus technologinius pokyčius, grėsmę ar kitas reikšmingas aplinkybes.

4.   Saugumo politiką rengia sistemos saugumo pareigūnas derindamas su VIS vietos saugumo pareigūnu ir ryšių infrastruktūros vietos saugumo pareigūnu.

8 straipsnis

Saugumo priemonių įgyvendinimas

1.   Šiame sprendime ir saugumo politikoje nustatytoms užduotims ir reikalavimams įgyvendinti, įskaitant vietos saugumo pareigūno paskyrimą, gali būti sudaromos rangos sutartys su privačiomis arba valstybinėmis įstaigomis arba šios užduotys gali būti joms pavedamos.

2.   Tokiu atveju Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad būtų visapusiškai laikomasi šiame sprendime ir saugumo politikos nuostatose numatytų reikalavimų. Jei pavedama paskirti vietos saugumo pareigūną arba dėl jo paskyrimo sudaroma rangos sutartis, Komisija, sudarydama teisiškai privalomą susitarimą, užtikrina, kad su ja bus konsultuojamasi dėl vietos saugumo pareigūnu skiriamo asmens.

9 straipsnis

Patekimo į patalpas kontrolė

1.   Teritorijų, kuriose yra duomenų tvarkymo patalpos, apsauga užtikrinama įrengiant saugumo zoną su tinkamomis užkardomis ir patekimo kontrole.

2.   Saugumo zonoje nustatomos saugios patalpos fiziniams objektams (inventoriui), įskaitant aparatinę įrangą, duomenų laikmenas ir pultus, planus ir kitus VIS dokumentus, taip pat kabinetams ir kitoms darbuotojų, eksploatuojančių VIS, darbo vietoms apsaugoti. Šios saugios patalpos apsaugomos įvedant tinkamą patekimo kontrolę, kad patekti galėtų tik leidimus turintys darbuotojai. Darbas saugiose patalpose reglamentuojamas išsamiomis saugumo politikos nuostatose įtvirtintomis saugumo taisyklėmis.

3.   Kabinetams, patalpoms ir įrangai numatomos ir instaliuojamos fizinės saugumo priemonės. Prieigos vietos, kaip antai tiekimo bei iškrovimo zonos, ir kitos vietos, kur į patalpas gali patekti leidimų neturintys asmenys, kontroliuojamos ir, jei įmanoma, izoliuojamos nuo duomenų tvarkymo patalpų, kad į jas nepatektų pašaliniai.

4.   Fizinė saugumo zonos apsauga nuo gaivalinės arba žmogaus sukeltos nelaimės padarytos žalos numatoma ir taikoma proporcingai rizikos laipsniui.

5.   Įranga apsaugoma nuo fizinių ir aplinkos pavojų ir nuo galimybių ja pasinaudoti pašaliniams.

6.   Jei Komisijai tokia informacija žinoma, ji į 2 straipsnio 2 dalies f punkte nurodytą sąrašą įtraukia ryšių palaikymo instituciją, atsakingą už šio straipsnio nuostatų įgyvendinimo patalpose, kuriose yra atsarginė centrinė VIS, stebėseną.

10 straipsnis

Duomenų laikmenų ir inventoriaus kontrolė

1.   Keičiamosios laikmenos su duomenimis apsaugomos nuo neteisėtos prieigos, piktnaudžiavimo arba sugadinimo, o jų skaitomumas užtikrinamas visą duomenų gyvavimo laiką.

2.   Nebereikalingos laikmenos šalinamos patikimai ir saugiai laikantis išsamių procedūrų, kurios turi būti apibrėžtos saugumo politikos nuostatose.

3.   Sudarant inventoriaus aprašą, užtikrinama informacija apie laikymo vietą, numatytą saugojimo trukmę ir prieigos leidimus.

4.   Visas svarbus centrinės VIS ir ryšių infrastruktūros inventorius identifikuojamas, kad jį būtų galima apsaugoti atsižvelgiant į jo svarbą. Vedamas nuolat atnaujinamas svarbios IT įrangos registras.

5.   Centrinės VIS ir ryšių infrastruktūros dokumentai nuolat atnaujinami. Šie dokumentai apsaugomi nuo galimybės neteisėtai su jais susipažinti.

11 straipsnis

Laikymo kontrolė

1.   Tinkamų priemonių imamasi siekiant užtikrinti deramą informacijos laikymą ir užkirsti kelią neteisėtai prieigai prie jos.

2.   Visi įrangos komponentai, kuriuose yra atminties laikmena, prieš juos šalinant patikrinami, siekiant užtikrinti, kad neskelbtini duomenys buvo ištrinti arba visiškai pakeisti, arba saugiai sunaikinami.

12 straipsnis

Slaptažodžio patikra

1.   Visi slaptažodžiai laikomi saugiai ir naudojami konfidencialiai. Slaptažodis nedelsiant keičiamas arba naudotojo paskyra išjungiama įtarus, kad slaptažodis buvo atskleistas. Naudojama unikali ir individuali naudotojų tapatybė.

2.   Siekiant užkirsti kelią neteisėtai prieigai, saugumo politikos nuostatose apibrėžiamos registravimosi ir išsiregistravimo procedūros.

13 straipsnis

Prieigos kontrolė

1.   Saugumo politikoje nustatomos formalios darbuotojų registravimosi ir išsiregistravimo procedūros, kuriomis centrinėje VIS operacijų valdymo tikslais suteikiama arba panaikinama prieiga prie VIS aparatinės ir programinės įrangos. Atitinkamų prieigos duomenų (slaptažodžių arba kitų tinkamų priemonių) suteikimas ir naudojimas kontroliuojamas pasitelkiant saugumo politikoje apibrėžtą formalią valdymo procedūrą.

2.   Prieiga prie VIS aparatinės ir programinės įrangos centrinėje VIS:

3.   Centrinėje VIS naudojami tik centrinės VIS vietos saugumo pareigūno leisti pultai ir programinė įranga. Ribojamas ir kontroliuojamas sisteminių programų, kuriomis gali būti keičiama sistemų ir programų kontrolė, naudojimas. Numatomos programinės įrangos diegimo kontrolės procedūros.

14 straipsnis

Ryšių kontrolė

Ryšių infrastruktūra stebima siekiant užtikrinti informacijos mainų prieinamumą, vientisumą ir konfidencialumą. Per ryšių infrastruktūrą perduodamiems duomenims apsaugoti naudojamos kriptografinės priemonės.

15 straipsnis

Duomenų įrašymo kontrolė

Centrinės VIS vietos saugumo pareigūnas stebi asmenų, turinčių teisę iš centrinės VIS prieiti prie VIS programinės įrangos, paskyras. Šių paskyrų naudojimas, taip pat trukmė ir naudotojo tapatybė registruojama.

16 straipsnis

Transporto kontrolė

1.   Saugumo politikoje apibrėžiamos tinkamos priemonės, kuriomis užkertamas kelias neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba trynimui juos perduodant į VIS ar iš jos arba transportuojant duomenų laikmenas. Saugumo politikoje įtvirtinamos nuostatos, kuriomis numatoma, kokios siuntimo arba transportavimo rūšys tinkamos, ir nustatomos atskaitomybės už objektų transportavimą ir jų pristatymą į paskirties vietą procedūros. Duomenų laikmenose neturi būti jokių kitų duomenų, išskyrus siųstinus.

2.   Trečiųjų asmenų teikiamoms paslaugoms, apimančioms duomenų prieigą, tvarkymą, perdavimą ar duomenų tvarkymo įrangos valdymą arba teikiančioms papildomus produktus ar paslaugas duomenų tvarkymo įrangai, taikoma tinkamai integruota saugumo kontrolė.

17 straipsnis

Ryšių infrastruktūros saugumas

1.   Ryšių infrastruktūra tinkamai valdoma ir kontroliuojama siekiant ją apsaugoti nuo grėsmių ir užtikrinti jos pačios bei centrinės VIS, įskaitant per ją vykdomus duomenų mainus, saugumą.

2.   Visų tinklo paslaugų saugumo savybės, teikiamos paslaugos ir valdymo reikalavimai nustatomi su paslaugų teikėju sudaromame tinklo aptarnavimo susitarime.

3.   Apsaugomi ne tik VIS prieigos taškai, bet ir visos galimos papildomos ryšių infrastruktūros naudojamos paslaugos. Tinkamos priemonės apibrėžiamos saugumo politikos nuostatose.

18 straipsnis

Stebėsena

1.   Prisijungimo įrašų duomenys, nurodyti Reglamento (EB) Nr. 767/2008 34 straipsnio 1 dalyje, apie kiekvieną prieigą prie centrinės VIS ir joje atliekamas visas duomenų tvarkymo operacijas saugiai laikomi ir turi būti prieinami iš pagrindinės ir atsarginės centrinės VIS vietos Reglamento (EB) Nr. 767/2008 34 straipsnio 2 dalyje nurodytą laikotarpį.

2.   Saugumo politikos nuostatose apibrėžiamos informacijos tvarkymo įrangos stebėsenos ir galimų jos klaidų fiksavimo procedūros, o stebėsenos rezultatai reguliariai peržiūrimi. Prireikus imamasi tinkamų veiksmų.

3.   Prisijungimo įrašymo įranga ir prisijungimo įrašai apsaugomi nuo klastojimo ir neteisėtos prieigos, siekiant atitikti duomenų rinkimo reikalavimus ir saugoti įrodymus duomenų laikymo laikotarpiu.

19 straipsnis

Kriptografinės priemonės

Kriptografinės priemonės naudojamos prireikus apsaugoti informaciją. Jų naudojimui, įskaitant tikslą ir sąlygas, turi iš anksto pritarti sistemos saugumo pareigūnas.

IV   SKYRIUS

ŽMOGIŠKŲJŲ IŠTEKLIŲ SAUGUMAS

20 straipsnis

Personalo aprašai

1.   Saugumo politikos nuostatose apibrėžiamos asmenų, turinčių prieigos prie VIS, įskaitant ryšių infrastruktūrą, teisę, funkcijos ir atsakomybė.

2.   Komisijos darbuotojų, rangovų ir darbuotojų, įtrauktų į operacijų valdymą, saugumo užduotys ir atsakomybė apibrėžiamos, įtvirtinamos dokumentuose ir pranešamos atitinkamiems asmenims. Komisijos darbuotojų užduotys ir atsakomybė nurodomos pareigybių aprašuose ir tiksluose, rangovų – sutartyse arba paslaugų teikimo susitarimuose.

3.   Su visais asmenimis, kuriems netaikomos Europos Sąjungos ar valstybių narių valstybės tarnybos nuostatos, sudaromi konfidencialumo ir paslapčių neatskleidimo susitarimai. Darbuotojai, turintys dirbti su VIS duomenimis, turi būti patikrinami saugumo požiūriu arba gauti pažymėjimą pagal išsamias saugumo politikos nuostatose įtvirtintinas procedūras.

21 straipsnis

Personalo duomenys

1.   Visi darbuotojai ir prireikus rangovai dalyvauja jų pareigas atitinkančiuose mokymuose saugumo sampratos, teisės reikalavimų, politikos gairių ir procedūrų klausimais.

2.   Saugumo politikos nuostatose nustatomos darbuotojų ir rangovų pareigos, susijusios su darbo keitimu arba darbo santykių pasibaigimu, kai baigiasi darbo santykiai arba sutartis, ir inventoriaus grąžinimo bei prieigos teisių atšaukimo tvarka.

V   SKYRIUS

BAIGIAMOJI NUOSTATA

22 straipsnis

Taikymas

1.   Šis sprendimas pradedamas taikyti nuo Komisijos vadovaujantis Reglamento (EB) Nr. 767/2008 48 straipsnio 1 dalimi nustatytos datos.

2.   Šis sprendimas galioja tol, kol valdymo institucija pradės vykdyti savo įsipareigojimus.

(1)  OL L 218, 2008 8 13, p. 60.

(2)  OL L 8, 2001 1 12, p. 1.

(3)  OL L 194, 2008 7 23, p. 3.