Suvestinė redakcija nuo 2018-01-19 iki 2021-03-01

 

Įsakymas paskelbtas: Žin. 2012, Nr. 82-4316, i. k. 11223IRISAK0005V-57

 

Nauja redakcija nuo 2018-01-19:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

 

INFORMATIKOS IR RYŠIŲ DEPARTAMENTO

PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL ĮTARIAMŲJŲ, KALTINAMŲJŲ IR NUTEISTŲJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2012 m. liepos 4 d. Nr. 5V-57

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 7 punktu:

1.    Tvirtinu Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatus (pridedama).

2.    Skiriu:

2.1. Įtariamųjų, kaltinamųjų ir nuteistųjų registro saugos įgaliotiniu Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Informacijos saugos skyriaus vyriausiąją specialistę Violetą Križanauskienę;

2.2. Įtariamųjų, kaltinamųjų ir nuteistųjų registro tarnybinių stočių administratoriumi Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Sistemų infrastruktūros administravimo skyriaus patarėją Saulių Matelionį;

2.3. Įtariamųjų, kaltinamųjų ir nuteistųjų registro kompiuterių tinklo administratoriumi Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Telekomunikacijų administravimo skyriaus patarėją Joną Vaitkevičių;

2.4. Įtariamųjų, kaltinamųjų ir nuteistųjų registro naudotojų administratoriumi Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Informacinių technologijų paslaugų skyriaus vyriausiąją specialistę Kristiną Kniūraitę;

2.5. Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų bazės administratoriumi Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Sistemų infrastruktūros administravimo skyriaus vyriausiąjį specialistą Vaidą Jasonį.

3.    Pavedu Įtariamųjų, kaltinamųjų ir nuteistųjų registro saugos įgaliotiniui per 5 mėnesius nuo šio įsakymo įsigaliojimo dienos teisės aktų nustatyta tvarka parengti ir pateikti Informatikos ir ryšių departamento direktoriui tvirtinti saugos politiką įgyvendinančius dokumentus.

 

 

 

Direktorius                                                                              Gintaras Čiurlionis

 

 

 

PATVIRTINTA

Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2012 m. liepos 4 d. įsakymu Nr. 5V-57

(Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus

2015 m. rugsėjo 24 d. įsakymo

Nr. 5V-49 redakcija)

 

ĮTARIAMŲJŲ, KALTINAMŲJŲ IR NUTEISTŲJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. SKYRIUS

BENDROSIOS NUOSTATOS

Pakeistas skyriaus pavadinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

1. Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Įtariamųjų, kaltinamųjų ir nuteistųjų registro (toliau – Registras) duomenų saugos politiką ir kibernetinio saugumo politiką (toliau – Registro duomenų saugos politika), kurios tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti Registro duomenis, Registro informaciją, Registrui pateiktus dokumentus ir (arba) jų kopijas (toliau – Registro duomenys) ir užtikrinti, kad Registro duomenys būtų patikimi ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ar neteisėto jų tvarkymo.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Įtariamųjų, kaltinamųjų ir nuteistųjų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2012 m. balandžio 18 d. nutarimu Nr. 435 „Dėl Įtariamųjų, kaltinamųjų ir nuteistųjų registro nuostatų patvirtinimo ir veiklos pradžios nustatymo“ (toliau – Registro nuostatai) vartojamas sąvokas.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

3. Registro duomenų saugos ir kibernetinio saugumo (toliau – Registro duomenų sauga) tikslas – užtikrinti Registro duomenų konfidencialumą, prieinamumą ir vientisumą ir sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro duomenis.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

4.  Registro duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Registro duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2.  Registro veiklos tęstinumo užtikrinimas;

4.3.  Registre tvarkomų asmens duomenų apsauga.

5. Registro duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

6.  Saugos nuostatai taikomi:

6.1.  Registro valdytojui – Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas) (Šventaragio g. 2, Vilnius);

6.2.  Registro tvarkytojams:

6.2.1.  Informatikos ir ryšių departamentui;

6.2.2.  Lietuvos Respublikos Prezidento kanceliarijai (S. Daukanto a. 3, Vilnius), ikiteisminio tyrimo įstaigoms ir bausmių vykdymo institucijoms – laisvės atėmimo vietoms ir probacijos tarnyboms (toliau – kiti Registro tvarkytojai).

7.  Registro valdytojo funkcijos ir atsakomybė:

7.1. rengia ir priima teisės aktus, susijusius su Registro duomenų tvarkymu ir sauga, kontroliuoja, kaip jų laikomasi;

7.2. priima sprendimus dėl Registrui taikomų informacinių technologijų saugos atitikties vertinimo atlikimo; 

7.3. atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, prireikus tvirtina trūkumų šalinimo planą;

7.4.  užtikrina Registro funkcijų pokyčių valdymo planavimą;

7.5. atsako už Registro saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą;

7.6. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, (toliau − Kibernetinio saugumo reikalavimų aprašas), Registro nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro duomenų sauga.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

8.  Informatikos ir ryšių departamento, kaip Registro tvarkytojo, funkcijos ir atsakomybė:

8.1. užtikrina ir atsako už Registro duomenų tvarkymo teisėtumą ir saugų Registro duomenų perdavimą kompiuterių tinklais (automatiniu būdu);

8.2. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, Registro nuostatų, ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro duomenų sauga.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

9.  Kitų Registro tvarkytojų funkcijos ir atsakomybė:

9.1.  atsako už tvarkomų pagal kompetenciją Registro duomenų saugą;

9.2.  teikia pasiūlymus Registro valdytojui, kaip tobulinti Registro duomenų saugą;

9.3. užtikrina tinkamą Registro valdytojo priimtų teisės aktų ir rekomendacijų, susijusių su Registro duomenų sauga, tinkamą įgyvendinimą;

9.4. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, Registro nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro duomenų sauga.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

10.  Registro saugos įgaliotinio (toliau – Saugos įgaliotinis) funkcijos ir atsakomybė:

10.1.  teikia Registro valdytojo vadovui pasiūlymus dėl:

10.1.1. Registro administratorių paskyrimo ir reikalavimų Registro administratoriams nustatymo;

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

10.1.2. Registro informacinių technologijų saugos atitikties vertinimo atlikimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;

10.1.3.  Registro saugos dokumentų priėmimo, keitimo ar panaikinimo;

10.2. koordinuoja Registro duomenų saugos ir kibernetinių incidentų (toliau – saugos incidentai) tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų incidentus, saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga;

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

10.3. teikia Registro administratoriams ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus dėl Registro saugos politikos įgyvendinimo;

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

10.4.  organizuoja Registro saugos rizikos vertinimą;

10.5. periodiškai organizuoja Registro naudotojų mokymą Registro duomenų saugos klausimais, įvairiais būdais informuoja juos apie Registro duomenų saugos problemas;

10.6.  įgyvendindamas Registro duomenų saugą, yra atsakingas už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą;

10.7.  atlieka kitas Registro valdytojo vadovo pavestas, Saugos nuostatų, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir kitų teisės aktų nustatytas funkcijas.

11. Registro administratoriai pagal kompetenciją atlieka funkcijas, susijusias su Registro naudotojų teisių valdymu, Registro komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazės valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, duomenų perdavimu tinklu, bylų serveriais ir kitais), šių Registro komponentų sąranka, Registro pažeidžiamų vietų nustatymu, saugos reikalavimų atitikties nustatymu ir stebėsena, reagavimu į Registro duomenų saugos incidentus, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę:

11.1. Registro naudotojų administratorius atlieka šias funkcijas:

11.1.1. suteikia, keičia ir panaikina Registro naudotojams prieigos prie Registro duomenų teises;

11.1.2. administruoja Registro naudotojų duomenis;

11.1.3. atlieka kitas Registro valdytojo vadovo pavestas, Saugos reikalavimų, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro naudotojų teisių valdymu.

11.2. Registro kompiuterių tinklo administratorius atlieka šias funkcijas:

11.2.1. užtikrina kompiuterių tinklo veikimą;

11.2.2. projektuoja kompiuterių tinklą;

11.2.3. diegia, konfigūruoja ir prižiūri kompiuterių tinklo aktyviąją įrangą;

11.2.4. konfigūruoja tarnybinių stočių tinklo prieigą;

11.2.5. administruoja ugniasienes;

11.2.6. administruoja maršrutizatorius ir komutatorius;

11.2.7. užtikrina kompiuterių tinklo saugumą (nustato pažeidžiamas vietas);

11.2.8. atlieka kitas Registro valdytojo vadovo pavestas, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, Registro nuostatų, Registro saugos dokumentų ir kitų teisės aktų nustatytas funkcijas, siekiant užtikrinti tinkamą kompiuterių tinklo veikimą.

11.3. Registro tarnybinių stočių administratorius atlieka šias funkcijas:

11.3.1. užtikrina tarnybinių stočių veikimą;

11.3.2. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

11.3.3. stebi ir analizuoja tarnybinių stočių veiklą;

11.3.4. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

11.3.5. diegia tarnybinių stočių programinės įrangos atnaujinimus laikydamasis Registro pokyčių valdymo tvarkos, nustatytos Registro valdytojo tvirtinamose Registro saugaus elektroninės informacijos tvarkymo taisyklėse;

11.3.6. užtikrina tarnybinių stočių saugą;

11.3.7. atlieka kitas Registro valdytojo vadovo pavestas, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, Registro nuostatų, Registro saugos dokumentų ir kitų teisės aktų nustatytas funkcijas.

11.4. Registro duomenų bazės administratorius atlieka šias funkcijas:

11.4.1. užtikrina Registro duomenų bazės ir duomenų bazės archyvo, Registro duomenų atsarginio kopijavimo įrangos veikimą;

11.4.2. tvarko Registro programinę įrangą ir Registro duomenų bazės valdymo sistemos programinę įrangą;

11.4.3. diegia Registro programinės įrangos ir Registro duomenų bazės valdymo sistemos programinės įrangos atnaujinimus laikydamasis Registro pokyčių valdymo tvarkos, nustatytos Registro valdytojo tvirtinamose Registro saugaus elektroninės informacijos tvarkymo taisyklėse;

11.4.4. atsako už Registro duomenų atsarginių kopijų darymą, saugojimą ir Registro duomenų iš atsarginių kopijų atkūrimą;

11.4.5. užtikrina Registro duomenų bazės ir duomenų bazės archyvo, Registro duomenų atsarginių kopijų saugą;

11.4.6. atlieka kitas Registro valdytojo vadovo pavestas, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, Registro nuostatų, Registro saugos dokumentų ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro duomenų bazės ir duomenų bazės archyvo, Registro duomenų atsarginių kopijų  administravimu ir priežiūra.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

12Teisės aktai, kuriais vadovaujantis tvarkomi Registro duomenys ir užtikrinama jų sauga:

12.1.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

12.2.  Valstybės informacinių išteklių valdymo įstatymas;

12.3.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

12.4.  Lietuvos Respublikos Įtariamųjų, kaltinamųjų ir nuteistųjų registro įstatymas;

12.5.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

12.6. Kibernetinio saugumo reikalavimų aprašas;

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

12.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

12.8. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

12.9. Informatikos ir ryšių departamento direktoriaus įsakymu patvirtintu Kibernetinių incidentų valdymo planu;

Papildyta papunkčiu:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

12.10.  Registro nuostatai;

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

12.11.  aktualūs Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

12.12. kiti teisės aktai, reglamentuojantys Registro duomenų tvarkymo teisėtumą, Registro valdytojo ir Registro tvarkytojų veiklą ir Registro duomenų saugos valdymą.

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

II. SKYRIUS

 REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

Pakeistas skyriaus pavadinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

13. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas), 7.2 ir 7.5 papunkčiais, Registre tvarkoma elektroninė informacija priskiriama ypatingos svarbos informacijos kategorijai.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

14. Registras priskiriamas pirmajai kategorijai vadovaujantis Klasifikavimo gairių aprašo 12.1 papunkčio nuostatomis, atsižvelgiant į Registre apdorojamos elektroninės informacijos svarbos kategoriją.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

15. Registro asmens duomenų tvarkymas automatiniu būdu priskirtinas trečiajam saugumo lygiui vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms 11.3 papunkčio nuostatomis.

16. Saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja Registro rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį Registro rizikos vertinimą. Registro valdytojo rašytiniu pavedimu Registro rizikos vertinimą gali atlikti pats Saugos įgaliotinis arba Registro rizikos veiksnių vertinimui atlikti gali būti perkamos rizikos vertinimo paslaugos.

17.  Registro rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.

18. Registro rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Registro duomenų saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

18.1. subjektyvūs netyčiniai (Registro duomenų tvarkymo klaidos ir apsirikimai, Registro duomenų ištrynimas, klaidingas Registro duomenų teikimas, fiziniai informacijos technologijų sutrikimai, Registro duomenų perdavimo tinklais sutrikimai, Registro programinės įrangos klaidos, netinkamas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru duomenims gauti, Registro duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. Registro valdytojas, atsižvelgdamas į rizikos vertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui, konfidencialumui ir prieinamumui.

21.  Pagrindiniai Registro duomenų saugos priemonių parinkimo principai yra šie:

21.1.  likutinė rizika turi būti sumažinta iki priimtino lygio;

21.2.  Registro duomenų saugos priemonės diegimo kainos atitiktis saugomos informacijos vertei;

21.3.  esant galimybei, turi būti įdiegtos prevencinės, detekcinės ir korekcinės Registro duomenų saugos priemonės.

22. Siekiant užtikrinti Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro patvirtinta metodika, kasmet organizuojamas Registro informacinių technologijų saugos atitikties vertinimas, kurio metu:

22.1. įvertinama Saugos nuostatų ir Registro saugos politiką įgyvendinančių dokumentų atitiktis realiai Registro duomenų saugos situacijai;

22.2.  inventorizuojama Registro techninė ir programinė įranga;

22.3.  patikrinama ne mažiau kaip 10 procentų Registro naudotojų kompiuterizuotų darbo vietų ir Registro tarnybinėse stotyse įdiegtos programos ir jų sąranka (konfigūracija);

22.4. patikrinama (įvertinama) Registro naudotojams ir administratoriams suteiktų teisių ir vykdomų funkcijų atitiktis

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

22.5. įvertinamas pasiruošimas atkurti Registro veiklą įvykus Registro duomenų saugos incidentui.

23. Registro informacinių technologijų saugos atitikties vertinimą ne rečiau kaip kartą per trejus metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

24. Atlikus Registro informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojas.

25. Registro rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, Registro informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas Registro valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

III. SKYRIUS

 SKYRIUS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

Pakeistas skyriaus pavadinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

26. Programinės įrangos, skirtos Registrui apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

26.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuterinėse darbo vietose privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos;

26.2. Registro tarnybinėse stotyse ir Registro naudotojų kompiuterinėse darbo vietose neturi veikti programinė įranga, nesusijusi su Registro duomenų tvarkymu;

26.3. Registro naudotojų kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;

26.4.  programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

27.  Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

27.1. Registro darbui turi būti naudojama tik legali programinė įranga;

27.2. programinė įranga prižiūrima ir nuolat atnaujinama laikantis gamintojo rekomendacijų;

27.3. programinės įrangos diegimą, šalinimą ir konfigūravimą pagal kompetenciją atlieka tik Registro duomenų bazės arba Registro tarnybinių stočių administratorius

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

28.  Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kita) pagrindinės naudojimo nuostatos:

28.1. Registrui naudojamas Vidaus reikalų telekomunikacinis tinklas (toliau – VRTT), už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas, turi būti atskirtas nuo kitų tinklų tinklo užkarda;

28.2.  naudojamos turinio filtravimo sistemos;

28.3.  naudojamos taikomųjų programų kontrolės sistemos.

29. Leistinos kompiuterių naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų Registro duomenų teikimą ir (ar) gavimą:

29.1. tiesioginė prieiga prie Registro duomenų suteikiama įgyvendinus Registro naudotojų autentifikavimo priemones – Registro naudotojai tapatybę patvirtina slaptažodžiu. Registro naudotojų slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis Registro valdytojo tvirtinamomis Įtariamųjų, kaltinamųjų ir nuteistųjų registro naudotojų administravimo taisyklėmis. Tiesioginė prieiga prie Registro duomenų užtikrinama automatiniu būdu visą parą, darbo ir poilsio dienomis.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

29.2. Registro duomenys perduodami automatiniu būdu naudojant TCP/IP, HTTP, HTTPS, FTP protokolus realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, duomenų perdavimo sąlygos ir tvarka;

29.3. Registro naudotojams, tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius Registro duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas Registro naudotojo tapatybės patvirtinimas ir Registro duomenų šifravimas;

29.4. Registro naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie Registro galimybė:

29.4.1. Techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir Registro duomenų šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

29.4.2. prie Registro prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą);

29.5. užtikrinant saugų Registro duomenų teikimą ir (ar) gavimą, naudojami saugūs ryšio kanalai.

30. Registro atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai nustatyti Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos administruojamų informacinių sistemų ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos apraše, patvirtintame Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2017 m. sausio 9 d. įsakymu Nr. 5V-6 „Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos administruojamų informacinių sistemų ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos aprašo patvirtinimo“.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

31. Registro duomenys, kurių saugojimo terminas yra pasibaigęs, arba klaidingi Registro duomenys, dėl kurių priimtas teismo sprendimas Registro duomenis sunaikinti, sunaikinami pašalinant įrašą iš Registro duomenų bazės ir (ar) duomenų bazės archyvo. Sunaikinimas įforminamas duomenų sunaikinimo aktu, kuriame nurodoma:

31.1.  naikinimo procedūrą atliekantis (atliekantys) asmuo (asmenys);

31.2.  sunaikinamų duomenų apimtis;

31.3.  duomenų sunaikinimo teisinis pagrindas.

32. Perkant paslaugas, darbus ar įrangą, susijusius su Registru, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis Registro saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.

Papildyta punktu:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

33. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant Registre tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

Papildyta punktu:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

IV. SKYRIUS

REIKALAVIMAI PERSONALUI

Pakeistas skyriaus pavadinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

34. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą, kibernetinę saugą, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

35. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

36. Registro administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti Registro ir Registro duomenų saugą, darbo su duomenų perdavimo tinklais principus, užtikrinti jų saugą, administruoti ir prižiūrėti Registro duomenų bazę, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties. Registro administratoriai turi būti susipažinę su Registro saugos dokumentais.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

37. Visi Registro naudotojai privalo:

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

37.1. turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.);

37.2. turi būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir Registro duomenų saugą;

37.3.  pasirašę pasižadėjimą saugoti asmens duomenų paslaptį;

37.4. nuolat kelti kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose.

38. Registro naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiomis priemonėmis (elektroniniu paštu, pateikdamas atmintines naujai priimtiems darbuotojams, organizuodamas teminius seminarus) primenama apie saugos problematiką.

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

V. SKYRIUS

 REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

Pakeistas skyriaus pavadinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

39. Tvarkyti Registro elektroninę informaciją gali tik Registro naudotojai, susipažinę su Registro saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant Registro duomenis, užtikrinant jų saugumą, atsakomybe už saugos dokumentų nuostatų pažeidimus, ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

40. Saugos nuostatai ir Registro saugos politiką įgyvendinantys dokumentai skelbiami Registro valdytojo interneto svetainėje.

Punkto numeracijos pakeitimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

41. Registro naudotojų supažindinimą su Registro saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja Saugos įgaliotinis.

Punkto pakeitimai:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

6 skyrius. Neteko galios nuo 2018-01-19

Skyriaus naikinimas:

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

 

__________________

 

 

Pakeitimai:

 

1.

Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas

Nr. 5V-49, 2015-09-24, paskelbta TAR 2015-09-24, i. k. 2015-14176

Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2012 m. liepos 4 d. įsakymo Nr. 5V-57 „Dėl Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo

 

2.

Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas

Nr. 5V-1, 2016-01-05, paskelbta TAR 2016-01-05, i. k. 2016-00079

Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2012 m. liepos 4 d. įsakymo Nr. 5V-57 „Dėl Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo

 

3.

Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas

Nr. 5V-8, 2018-01-18, paskelbta TAR 2018-01-18, i. k. 2018-00805

Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2012 m. liepos 4 d. įsakymo Nr. 5V-57 „Dėl Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo