Policijos informacinių išteklių valdymas

Parengtas ir 2016 m. vasario 22 d. Lietuvos policijos generalinio komisaro įsakymu Nr. 5-V-152 patvirtintas Policijos sistemos darbuotojų kvalifikacijos tobulinimo Lietuvos policijos mokykloje 2016 m. planas. Į planą įtraukti mokymai „Policijos įstaigų darbuotojų duomenų tvarkymo teisėtumas ir informacijos sauga“.

Lietuvos policijos generalinio komisaro 2016 m. balandžio 7 d. įsakymu Nr. 5-V-308 patvirtino Policijos elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos aprašą, kurį suderino su Informatikos ir ryšių departamentu prie Vidaus reikalų ministerijos 2016 m. kovo 17 d. raštu Nr. 9R-667.

2016 m. sausio 11 d. Informacinių technologijų koordinavimo grupės posėdyje apsvarstyta 2015 m. rizikos vertinimo ataskaita. 2016 m. balandžio 6 d. Lietuvos policijos generalinio komisaro įsakymu Nr. 5-V-302 „Dėl informacinių išteklių saugos rizikų ir grėsmių mažinimo“ patvirtintas Informacinių išteklių saugos rizikų ir grėsmių mažinimo planas.

2016 m. balandžio 15 d. raštu Nr. 5-S-3405 pranešta Valstybinei duomenų apsaugos inspekcijai apie Policijos departamento valdomose informacinėse sistemose ir registruose tvarkomus asmens duomenis.

Policijos departamentas išbandė informacinių sistemų ir registrų veiklos tęstinumo valdymo planą ir pateikė 2016-07-04 tarnybinį pranešimą Nr. 5-PR2-1507 su veiklos tęstinumo valdymo plano išbandymo ataskaita. Išbandant planą esminių trūkumų nerasta, išskyrus tai, kad veiklos atkūrimo detaliajame plane (Plano 2 priedas), trūksta galimų situacijų. Tačiau plano keitimas įmanomas tik po to, kai bus pasirašytas paslaugų lygio susitarimas (angl. Service Level Agreement) tarp Policijos departamento ir Informatikos ir ryšių departamento, kuriame bus aiškiai aprašytos Informatikos ir ryšių departamento pareigos ir atsakomybės.

Lietuvos policijos generalinio komisaro 2015 m. lapkričio 18 d. įsakymu Nr. 5-V-1028 atnaujintos Saugaus policijos informacinių sistemų ir registrų elektroninės informacijos tvarkymo taisyklės. Asmens duomenų teisinės apsaugos įstatymo 30 straipsniu yra patvirtintos Asmens duomenų tvarkymo policijos įstaigose taisyklės, Policijos generalinio komisaro 2015 m. spalio 28 d. įsakymu Nr. 5-V-964 „Dėl asmens duomenų tvarkymo taisyklių policijos įstaigose patvirtinimo“.

2017-01-16 raštu pateikta informacija apie rekomendacijos „Periodiškai stebėti ir vertinti informacinių sistemų ir registrų vidaus kontrolės būklę“ įgyvendinimą. Vadovaudamiesi 2016 m. vasario 15 d. su policijos generaliniu komisaru suderintu 2016 m. Policijos departamento prie VRM Centralizuoto vidaus audito skyriaus veiklos planu Nr. 5-IL-588 ir Policijos departamento prie VRM Centralizuoto vidaus audito skyriaus vedėjos 2016 m. rugpjūčio 24 d. pavedimu Nr. VAD-47 skyriaus vidaus auditoriai nuo 2016 m. rugsėjo 1 d. iki 2016 m. lapkričio 21 d. atliko Policijos informacinių išteklių integralumo ir efektyvaus jų panaudojimo teisės pažeidimų nagrinėjimo procese vidaus auditą ir parengė vidaus audito ataskaitos projektą. Vidaus audito metu, vadovaujantis Rekomendacinėse vidaus kontrolės sukūrimo, veikimo, tobulinimo ir jos vertinimo gairėse viešojo sektoriaus subjektams pateiktu Informacinių sistemų bendrosios kontrolės vertinimo klausimynu, buvo vertinama Policijos departamento prie VRM valdomų informacinių sistemų ir registrų vidaus kontrolė. Nustatyta, kad Policijos departamento prie VRM valdomų informacinių sistemų ir registrų vidaus kontrolė yra gera, rizikos laipsnis vidutinis. 2017 m. sausio 11 d. policijos generalinis komisaro pasirašė Policijos informacinių išteklių integralumo ir efektyvaus jų panaudojimo teisės pažeidimų nagrinėjimo procese vidaus audito ataskaitą Nr. 5-4-AA-4 ir pavedė atsakingiems darbuotojams parengti vidaus audito ataskaitoje pateiktų rekomendacijų įgyvendinimo priemonių planą. Taip pat 2017-01-17 el. laišku pateikta PD Centralizuoto vidaus audito skyriaus atlikto audito ataskaita. Rekomendacija laikoma įgyvendinta.

2017-01-13 el. laišku pateikta Policijos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Policijos informacinių technologijų koordinavimo grupės veiklos ataskaita už 2016 m. vasario 1 d. – 2016 m. gruodžio 5 d. laikotarpį. Ataskaitoje pateikta informacija apie vykusius ITKG posėdžius ir svarstytus klausimus, susijusius su IT. Rekomendacija laikoma įgyvendinta.

Policijos departamento atstovas 2017-05-02 el. laišku pateikė informaciją apie rekomendacijos įgyvendinimą: 2017-04-25 policijos generalinio komisaro įsakymą Nr. 5-V-378 dėl informacinių sistemų ir registrų duomenų valdymo įgaliotinio, savininkų ir veiklos ekspertų skyrimo. Įsakymo 1.2 p. numatyta, kad Projektavimo ir plėtros skyriaus vedėjas užtikrina policijos IT pokyčių valdymo tvarkos laikymąsi. Rekomendacija laikoma įgyvendinta.

Policijos departamentas atliko 2016 m. visų Policijos departamento valdomų informacinių išteklių saugos atitikties vertinimą ir parengė nustatytų trūkumų šalinimo planą, vertinimai ir neatitikčių valdymas sukelti į ARSIS, būsenos – vykdoma. Taip pat nustatyta saugos įgaliotinio pareiga kasmet organizuoti POLIS rizikos vertinimą, rengti POLIS rizikos vertinimo ataskaitą ir aprašyti POLIS rizikos vertinimo rezultatus. Pagal dabartinį reglamentavimą LR vidaus reikalų ministerija turėtų atlikti ARSIS pateiktų vertinimo ataskaitų ir pastebėtų trūkumų šalinimo planų peržiūras, vykdyti stebėseną. LR vidaus reikalų ministerijos peržiūros neatliktos ir būsenos nepakeistos. Pokalbio su LR vidaus reikalų ministerijos atstovu metu buvo paaiškinta, kad šiuo metu vykdoma saugos politikos pertvarka. LR vidaus reikalų ministerija ir LR krašto apsaugos ministerija analizuoja teisės aktus ir funkcijas, kad galėtų elektroninė sauga būti perduota į LR krašto apsaugos ministeriją. Kada bus galutinai perduotos elektroninės saugos funkcijos, įskaitant ARSIS pateiktų vertinimo ataskaitų ir pastebėtų trūkumų šalinimo planų peržiūras, nėra žinoma, todėl nuspręsta, atsižvelgiant į susidariusią situaciją, rekomendacijos stebėseną baigti ir laikyti kaip įgyvendintą. Atsižvelgiama ir į tai, kad Policijos departamentas kasmet organizuos POLIS rizikos vertinimus, vertinimai atlikti už 2016 m., tačiau jau maždaug po pusmečio bus organizuojami nauji 2017 m. POLIS rizikos vertinimai. Tikėtina, kad kol elektroninės saugos funkcijos bus perduotos, bus aktualūs jau 2017 m. vertinimai. Rizikos dėl ARSIS pateiktų vertinimo ataskaitų ir pastebėtų trūkumų šalinimo planų peržiūrų stebėjimas perkeliamas į strateginį tyrimą.

2017-08-17 el. paštu Policijos departamentas informavo, kad policijos generalinio komisaro 2017-08-17 įsakymo Nr. 5-V-708, yra patvirtintas policijos informacinių technologijų projektų valdymo tvarkos aprašas. Rekomendacijos būklė - Įgyvendinta.

2017-08-11 el. paštu Policijos departamentas informavo, kad Policijos generalinio komisaro 2017-08-11 įsakymu Nr. 5-V-706 yra patvirtintas policijos informacijos architektūros modelio aprašas bei nustatytos jo atnaujinimo procedūros. Rekomendacijos būklė - Įgyvendinta.

Vidaus reikalų ministerija (2019-12-18 įsakymas Nr. 1V-1009) patvirtino strateginius dokumentus dėl informacinių technologijų plėtros krypčių: - vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių aprašą; - vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių įgyvendinimo veiksmų planą. Siekiant nuoseklaus ir kryptingo informacinių sistemų ir registrų tobulinimo, Policijos departamentas patvirtino 2018 m. informacinių technologijų plėtros planą (2018-03-20 generalinio komisaro įsakymas Nr. 5-V-284). Šie planai tvirtinami kasmet. Policijos departamentas tiesiogiai dalyvauja įgyvendinant Strateginių IT plėtros krypčių 1 tikslo “Moderniomis ir saugiomis IRT priemonėmis pagrįstas visuomenės saugumas ir viešasis administravimas” pirmo “Užtikrinti vidaus reikalų srities viešojo administravimo kokybę ir elektroninių paslaugų plėtrą” ir antro “Efektyvinti visuomenės saugumą užtikrinančių informacinių sistemų ir registrų plėtrą” uždavinių įgyvendinime bei netiesiogiai prisideda prie kitų tikslų uždavinių įgyvendinimo. Atsižvelgiant į tai, kad minėti dokumentai apima visų Lietuvos Respublikos vidaus reikalų ministrui pavestų valdymo sričių IT plėtrą, o stebimi rodikliai dengia visas policijos informacinių ir ryšių technologijų sritis, rekomendaciją laikome įgyvendinta.

Siekiant užtikrinti IT projektų kokybę ir projektų rizikos valdymą įteisinti visi Policijos departamento valdomi informaciniai ištekliai (patvirtinti 6 sistemų ir 7 registrų nuostatai, specifikacijos, priėmimo eksploatavimo aktai).