LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO
Į S A K Y M A S
DĖL VIDAUS REIKALŲ PAREIGŪNŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2005 m. gruodžio 1 d. Nr. 1V-402
Vilnius
Įgyvendindamas Vidaus reikalų pareigūnų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2003 m. lapkričio 18 d. nutarimu Nr. 1426 (Žin., 2003, Nr. 109-4883), 35 punktą ir vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:
2. Pavedu Informatikos ir ryšių departamentui prie Vidaus reikalų ministerijos teisės aktų nustatyta tvarka parengti ir iki 2006 m. gegužės 1 d. pateikti tvirtinti vidaus reikalų ministrui:
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2005 m. gruodžio 1 d. įsakymu Nr. 1V-402
VIDAUS REIKALŲ PAREIGŪNŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Vidaus reikalų pareigūnų registro duomenų saugos nuostatų (toliau – saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Vidaus reikalų pareigūnų registro (toliau – registras) duomenis.
2. Saugos nuostatai reglamentuoja automatizuotą duomenų tvarkymą registre ir yra privalomi visiems registrą tvarkantiems registro tvarkymo įstaigų valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – registro vartotojams).
3. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą bei duomenų saugos valdymą.
II. REGISTRO APIBŪDINIMAS
5. Registro paskirtis – rinkti, kaupti, apdoroti, sisteminti, saugoti, naudoti Vidaus reikalų pareigūnų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2003 m. lapkričio 18 d. nutarimu Nr. 1426 (Žin., 2003, Nr. 109-4883), (toliau – registro nuostatai) nurodytus registro duomenis, teikti juos registro duomenų gavėjams įstatymų ir kitų teisės aktų nustatyta tvarka.
6. Registro objektas – vidaus reikalų įstaigų struktūros, vidaus tarnybos sistemos pareigūnų pareigybės, išskyrus įslaptintas, vidaus tarnybos sistemos pareigūnai, išskyrus įslaptintus.
7. Registre tvarkomi šie duomenys:
7.1. vidaus reikalų įstaigų struktūrų, vidaus tarnybos sistemos pareigūnų pareigybių ir vidaus tarnybos sistemos pareigūnų identifikavimo kodai;
7.2. vidaus reikalų įstaigų struktūrų duomenys:
8. Registro duomenų bazę sudaro šie posistemiai:
8.1. vidaus reikalų įstaigų struktūrų, vidaus reikalų įstaigų struktūrinių padalinių, pareigybių ir duomenų apie vidaus tarnybos sistemos pareigūnus tvarkymo posistemis;
8.2. vidaus tarnybos sistemos pareigūnų tarnybinių pažymėjimų išrašymo posistemis, skirtas išrašyti, spausdinti ir anuliuoti pareigūnų tarnybinius pažymėjimus;
8.4. sąsajų posistemis, užtikrinantis registro duomenų bazės sąsajas su Juridinių asmenų registru, Lietuvos Respublikos gyventojų registru ir Valstybės tarnautojų registru;
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
9. Už duomenų tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą atsako registro tvarkymo įstaigos.
10. Registro duomenų saugos įgaliotinis (toliau – saugos įgaliotinis) yra Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos.
11. Policijos departamento prie Vidaus reikalų ministerijos, Valstybės sienos apsaugos tarnybos prie Vidaus reikalų ministerijos, Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos, Finansinių nusikaltimų tyrimo tarnybos prie Vidaus reikalų ministerijos, Vadovybės apsaugos departamento prie Vidaus reikalų ministerijos, Bendrojo pagalbos centro prie Vidaus reikalų ministerijos, Vidaus reikalų ministerijos Klaipėdos policijos mokyklos, Vidaus reikalų ministerijos Vidaus tarnybos 1-ojo pulko ir Vidaus reikalų ministerijos Vidaus tarnybos 2-ojo pulko vadovai skiria registro administratorius (toliau – administratoriai), kurie už atliekamas saugumo politikos įgyvendinimo ir kontrolės funkcijas atsiskaito tiesiogiai saugos įgaliotiniui.
12. Registro vartotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kėlimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.) ir patirties (dirbant su tinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.). Administratoriai privalo išmanyti informacijos saugos principus, darbą su kompiuteriniais tinklais, turėti sisteminių programinių priemonių Windows, Unix, Oracle administravimo bei priežiūros patirties ir sugebėti prižiūrėti saugumo politikos vykdymą.
13. Registro vartotojai, pastebėję saugumo politikos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamam administratoriui, o jo nesant – saugos įgaliotiniui.
14. Registro vartotojų veiksmus esant nenumatytai situacijai reglamentuoja nenumatytų situacijų valdymo planas, kurį vidaus reikalų ministrui teikia tvirtinti saugos įgaliotinis. Plano pagrindinės nuostatos yra šios: registro vartotojų gyvybės ir sveikatos apsauga, registro veiklos atkūrimas, registro vartotojų mokymas.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
15. Pagrindinės registro rizikos mažinimo priemonės išdėstomos vidaus reikalų ministro patvirtintoje rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs nustatytus rizikos veiksnius, t. y. subjektyvius netyčinius (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, programinės įrangos klaidos ir kt.), subjektyvius tyčinius (nesankcionuotas naudojimasis registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų vagystė ir kt.) bei nenugalimos jėgos (įvykiai, nustatyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte).
16. Tvarkant registro duomenis ir užtikrinant jų saugumą, vadovaujamasi šiais teisės aktais:
16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
16.2. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
16.5. Lietuvos standartu LST ISO/IEC 17799:2004, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;
V. REGISTRO VARTOTOJŲ ATSAKOMYBĖ
19. Tvarkyti registro duomenis gali tik registro vartotojai, susipažinę su saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei pasirašytinai sutikę laikytis šių teisės aktų reikalavimų.
20. Registro vartotojų supažindinimą su saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei atsakomybe už jų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.
21. Registro vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VI. NUOSTATŲ ATNAUJINIMO TVARKA
23. Saugos įgaliotinis, siekdamas užtikrinti registre tvarkomų duomenų saugumą, teikia siūlymus vidaus reikalų ministrui dėl saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
VII. BAIGIAMOSIOS NUOSTATOS
25. Siekdamas užtikrinti saugos nuostatuose ir kituose saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų reikalavimų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą, kurio metu:
25.1. įvertinama saugos nuostatų, kitų saugumo politiką reglamentuojančių teisės aktų bei realios duomenų saugos situacijos atitiktis;
25.3. tikrinama ne mažiau kaip 10 procentų registro vartotojų kompiuterizuotų darbo vietų ir visose tarnybinėse stotyse įdiegtos programos bei jų sąranka (konfigūracija), peržiūrima registro vartotojams suteiktų teisių ir atliekamų funkcijų atitiktis;