INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS

 

Į S A K Y M A S

DĖL REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2007 m. rugpjūčio 22 d. Nr. T-111

Vilnius

 

Įgyvendindamas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktą ir vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

1. Tvirtinu Registrų sąrašo duomenų saugos nuostatus (pridedama).

2. Skiriu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės Elektroninio parašo priežiūros skyriaus vyriausiąjį specialistą Vaidotą Ramoną Registrų sąrašo duomenų saugos įgaliotiniu.

3. Pavedu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės Elektroninio parašo priežiūros skyriaus vyriausiajam specialistui Vaidotui Ramonui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus Registrų sąrašo duomenų tvarkymo taisykles, Registrų sąrašo veiklos tęstinumo valdymo planą ir Registrų sąrašo naudotojų administravimo taisykles.

4. Pripažįstu netekusiu galios Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 10 d. įsakymą Nr. T-60 „Dėl Registrų sąrašo duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 78-3093).

 

 

 

DIREKTORIUS                                                                                               AURIMAS MATULIS

 

SUDERINTA

Vidaus reikalų ministerijos

2007-08-09 raštu Nr. 1D-6298(13)


PATVIRTINTA

Informacinės visuomenės plėtros komiteto

prie Lietuvos Respublikos Vyriausybės

direktoriaus

2007 m. rugpjūčio 22 d. įsakymu Nr. T-111

 

REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Registrų sąrašo duomenų saugos nuostatų (toliau vadinama – Saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Registrų sąrašo (toliau vadinama – Sąrašas) duomenų tvarkymą.

2. Sąrašo duomenų saugumo tikslai yra šie:

2.1. Sąrašo duomenų vientisumo užtikrinimas;

2.2. Sąrašo duomenų prieinamumo užtikrinimas;

2.3. Sąrašo vartotojų duomenų konfidencialumo užtikrinimas.

3. Sąrašo duomenų saugos prioritetinės kryptys – saugus duomenų teikimas Sąrašui, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus naudojimas.

4. Sąrašo valdytojas ir tvarkytojas -Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės (toliau vadinama – Komitetas), esantis Vilniaus g. 18, LT-01119 Vilniuje.

5. Sąrašo techninės įrangos administratorius – valstybės įmonė „Infostruktūra“, esanti Pilies g. 23/15, LT-01123 Vilniuje, kurios tarnybinėje stotyje duomenų bazių serveriuose patalpintos Sąrašo duomenų bazė ir jos valdymo programinės priemonės ir kuri užtikrina Sąrašo duomenų saugą pagal Valstybės institucijų kompiuterių tinklo paslaugų teikimo sutartį (2002 m. Nr. 02/10-10) su Sąrašo valdytoju ir valdo visą ryšio bei duomenų saugos užtikrinimo įrangą.

6. Saugos nuostatuose naudojamos sąvokos ir sutrumpinimai apibrėžti Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Registrų sąrašo nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2005 m. kovo 21 d. nutarimu Nr. 299 (Žin., 2005, Nr. 38-1232).

7. Sąrašui duomenis teikia valstybės ir žinybinių registrų (toliau vadinama – registrai) vadovaujančiosios tvarkymo įstaigos arba jų įgaliotos registrų tvarkymo įstaigos (toliau vadinama – Sąrašo duomenų teikėjai) Registrų sąrašo nuostatų nustatyta tvarka.

8. Sąrašo duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš šių etapų:

8.1. Sąrašo duomenų teikėjai teikia duomenis Sąrašui, užpildydami Komiteto nustatytą elektroninę duomenų teikimo formą, Registrų sąrašo nuostatuose nustatytais apimtimi, reguliarumu ir terminais;

8.2. Komitetas gautus duomenis priima, tikrina jų kokybę ir įrašo į Sąrašo duomenų bazę arba grąžina Sąrašo duomenų teikėjui patikslinti.

9. Komitetas nustato Sąrašo tikslus ir valdo Sąrašą.

10. Komiteto direktorius tvirtina šiuos saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai):

10.1. Saugaus Registrų sąrašo duomenų tvarkymo taisykles;

10.2. Registrų sąrašo veiklos tęstinumo valdymo planą;

10.3. Registrų sąrašo naudotojų administravimo taisykles.

11. Komitetas pagal Registrų sąrašo nuostatus įgaliotas tvarkyti Sąrašą ir duomenis, teikti informaciją ir paslaugas.

12. Komiteto direktorius skiria saugos įgaliotinį ir administratorių.

13. Saugos įgaliotinis organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:

13.1. teikia Komiteto direktoriui pasiūlymus dėl:

13.1.1. administratoriaus skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

13.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.1.3. saugos reikalavimų atitikties vertinimo atlikimo;

13.2. koordinuoja Sąrašo duomenų saugos incidentų tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

13.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

13.4. atlieka kitas saugos dokumentais pavestas ir šiais Saugos nuostatais jam priskirtas funkcijas.

14. Administratorius atlieka šias funkcijas:

14.1. priima teikiamus Sąrašui duomenis, kontroliuoja jų kokybę ir įrašo į Sąrašo duomenų bazę;

14.2. administruoja aptarnaujančių Sąrašą Komiteto valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau vadinama – aptarnaujantys Sąrašą darbuotojai), teises tvarkant Sąrašą;

14.3. rengia, derina ir tvarko Sąrašo dokumentaciją ir kitus, susijusius su Sąrašu, dokumentus.

15. Administratorius atsako už tai, kad tvarkant Sąrašą nebūtų pažeisti Saugos nuostatai ir kiti Sąrašo duomenų saugą reglamentuojantys teisės aktai.

16. Saugų Sąrašo duomenų tvarkymą reglamentuoja:

16.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

16.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

16.3. Lietuvos standartai LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai;

16.4. Saugos nuostatai ir kiti teisės aktai, reglamentuojantys Sąrašo duomenų tvarkymo teisėtumą bei duomenų saugos valdymą.

 

II. SĄRAŠO DUOMENŲ SAUGOS VALDYMAS

 

17. Sąrašas priskirtinas trečiajai kategorijai, suteikiamai informacinei sistemai, kurioje nors vienos tvarkomos duomenų grupės vienos ar daugiau savybių praradimas gali turėti neigiamą įtaką valstybės institucijos ar įstaigos veiklai, kaip nustatyta Informacijos klasifikavimo pagal duomenų grupes rekomendacijose, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2003 m. sausio 27 d. įsakymu Nr. 1V-33 (Žin., 2003, Nr. 77-3541).

18. Sąrašo duomenų saugą užtikrina valstybės įmonė „Infostruktūra“.

19. Pagrindiniai rizikos veiksniai, kurie gali pažeisti duomenų ir parengtos pagal juos informacijos saugą, yra:

19.1. atsitiktinis arba neteisėtas paskelbimas;

19.2. atsitiktinis arba neteisėtas perdavimas konkrečiam informacijos gavėjui;

19.3. nepakankama pateiktų į duomenų arba parengtos pagal juos informacijos kokybė, dėl kurios jais visai negalima naudotis arba galima tiktai iš dalies;

19.4. netyčinis duomenų sugadinimas;

19.5. sąmoningas duomenų sugadinimas;

19.6. sąmoningas informacijos iškreipimas prieš pateikiant ją naudotojams.

20. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per metus organizuoja Sąrašo saugumo auditą, kurio metu:

20.1. įvertinama realios duomenų saugos situacijos atitiktis saugos dokumentams;

20.2. inventorizuojama Sąrašo techninė ir programinė įranga;

20.3. patikrinama Sąrašo tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;

20.4. patikrinama Sąrašo duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;

20.5. įvertinamas Sąrašo administratoriaus pasiruošimas atkurti Sąrašo veikimą įvykus nenumatytoms situacijoms;

20.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir parengiama Rizikos veiksnių ataskaita.

21. Remdamasis atlikto Sąrašo saugumo audito rezultatais, saugos įgaliotinis parengia ir Komiteto direktoriui pateikia tvirtinti Rizikos veiksnių ataskaitą bei Pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Prieigai prie Sąrašo duomenų bazės suteikiami aptarnaujančių Sąrašą darbuotojų ir Sąrašo administratoriaus registracijos vardai ir slaptažodžiai.

23. Komitetas užtikrina gautų iš Sąrašo duomenų teikėjų duomenų tvarkymo kokybę bei duomenų saugą.

24. Aptarnaujantys Sąrašą darbuotojai vadovaujasi Registrų sąrašo nuostatais, Saugos nuostatais ir saugos dokumentais.

25. Sąrašo duomenų bazė yra kopijuojama ir saugoma taip, kad avarijos atveju visiškas Sąrašo funkcionalumas ir veikla būtų atstatyti per 24 valandas.

 

IV. REIKALAVIMAI PERSONALUI

 

26. Komiteto direktoriaus įsakymu nustatomi ir tvirtinami kvalifikaciniai reikalavimai, kuriuos turi atitikti aptarnaujantys Sąrašą darbuotojai.

27. Komitetas užtikrina, kad aptarnaujantys Sąrašą darbuotojai būtų tinkamai parengti, apmokyti bei informuoti, ir reguliariai organizuoja būtinus jų mokymus ir kitas jų kvalifikacijos kėlimo priemones.

28. Saugos įgaliotinis mažiausiai kartą per metus inicijuoja aptarnaujančių Sąrašą darbuotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

 

V. SĄRAŠO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

29. Visi Sąrašo duomenys yra vieši ir skelbiami Komiteto interneto svetainėje.

30. Sąrašo naudotojai, gaunantys Sąrašo duomenis internetu, su saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, gali susipažinti Komiteto interneto svetainėje.

 

VI. NUOSTATŲ ATNAUJINIMO TVARKA

 

31. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių nuostatų II skirsnyje nurodytą auditą.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

32. Aptarnaujantys Sąrašą darbuotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja Sąrašo duomenų tvarkymą ir saugą.

33. Duomenys apie aptarnaujančius Sąrašą darbuotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko Sąrašo administratorius, vadovaudamasis įstatymais ir kitais teisės aktais.

34. Komitetas privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti Sąrašo duomenų saugą.

35. Saugos nuostatuose aprašytos Komiteto funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.

36. Aptarnaujantys Sąrašą darbuotojai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

______________