LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
N U T A R I M A S
DĖL DUOMENŲ APSAUGOS VALSTYBĖS IR VIETOS SAVIVALDOS INFORMACINĖSE SISTEMOSE
1997 m. rugsėjo 4 d. Nr. 952
Vilnius
Siekdama užtikrinti duomenų patikimumą bei apsaugą nuo neteisėto panaudojimo, vadovaudamasi Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479) ir atsižvelgdama į tai, kad informacinės sistemos nuolat tobulinamos, Lietuvos Respublikos Vyriausybė nutaria:
2. Pavesti Ryšių ir informatikos ministerijai:
2.1. kasmet iki sausio 20 d. paskelbti leidinio „Valstybės žinios“ informaciniame priede:
2.1.1. Valstybės registrų tarnybos įregistruotų valstybės registrų, kitų valstybės informacinių sistemų bei jų duomenų valdytojų sąrašą;
2.2. kartu su Teisingumo ministerija parengti Lietuvos Respublikos administracinių teisės pažeidimų kodekso ir Baudžiamojo kodekso papildymų, susijusių su administracine ir baudžiamąja atsakomybe duomenų apsaugos srityje ir įgaliojimais nagrinėti tokių pažeidimų bylas, projektus ir iki 1997 m. gruodžio 31 d. pateikti juos Lietuvos Respublikos Vyriausybei;
2.3. kartu su Valdymo reformų ir savivaldybių reikalų ministerija iki 1997 m. spalio 20 d. parengti informacijos saugumo tarptautinių ir Europos standartizacijos dokumentų įteisinimo pagal Lietuvos standartus planą, paskelbti jį Lietuvos standartizacijos departamento biuletenyje ir organizuoti jo vykdymą.
3. Įpareigoti valstybės informacinių sistemų duomenų valdytojus iki 1997 m. lapkričio 30 d. parengti specialius reikalavimus duomenų apsaugos priemonėms, pateikti Ryšių ir informatikos ministerijai jų įgyvendinimo programą ir paskirti duomenų apsaugos įgaliotinius.
4. Nustatyti, kad šiuo nutarimu patvirtintų Bendrųjų duomenų apsaugos reikalavimų 8 punktas įsigalioja nuo 1998 m. sausio 1 dienos.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
1997 m. rugsėjo 4 d. nutarimu Nr. 952
Bendrieji duomenų apsaugos reikalavimai
1. Šiuose reikalavimuose vartojamos sąvokos ir apibrėžimai:
1.1. informacinė sistema – tam tikrai institucijos (-ų) veiklai būtinų dokumentų ir (arba) duomenų tvarkymo bei paieškos sistema, kuri naudoja informacijos technologiją: kompiuterius, jų programas, duomenų bazes, duomenų perdavimo tinklus ir vadovaujasi jų naudojimą reglamentuojančiais teisės aktais;
1.2. slapti ir visiškai slapti duomenys – duomenys, kurie nurodyti Lietuvos Respublikos valstybės paslapčių ir jų apsaugos įstatyme, taip pat tarnybines paslaptis nustatančiuose teisės aktuose;
1.3. viešai neskelbtini (konfidencialūs) duomenys – duomenys, kurie nepatenka į šių reikalavimų 1.2 punkte nurodytųjų kategoriją ir kurie gali būti teikiami arba atskleidžiami tik įstatymų bei kitų teisės aktų arba teisėtų susitarimų nustatyta tvarka;
1.4. viešieji duomenys – duomenys, kurie nepatenka į šių reikalavimų 1.2 ir 1.3 punktuose nurodytųjų kategoriją;
1.5. duomenų apsaugos lygmuo – santykinis dydis, kurį nustato duomenų valdytojas, įvertindamas duomenų kategoriją ir jų pažeidimo rizikos veiksnius;
1.6. duomenų pažeidimas – veika, galinti sukelti ar sukėlusi nepageidaujamų padarinių duomenims, informacinei sistemai, nuosavybei ar duomenų subjektui;
1.7. duomenų pažeidimo poveikio laipsnis – santykinis dydis, kurį nustato duomenų valdytojas duomenų pažeidimo sukeliamai žalai ir galimiems padariniams apibūdinti;
1.8. duomenų valdytojas – juridinis asmuo, kuris įstatymų ir kitų teisės aktų nustatyta tvarka vadovauja duomenų tvarkymo įstaigoms ir nustato duomenų tvarkymo tikslus bei priemones. Valstybės registrams šią sąvoką atitinka vadovaujančiosios registro tvarkymo įstaigos sąvoka;
1.9. duomenų tvarkymo įstaiga – valstybės institucija, kuri tvarko valstybės registrą arba asmens duomenų bazę, arba kitas valstybės ar vietos savivaldos informacinių sistemų duomenų bazes įstatymų ir kitų teisės aktų nustatyta tvarka. Duomenų valdytojas ir duomenų tvarkymo įstaiga gali būti tas pats juridinis asmuo;
1.11. tinklo operatorius – juridinis asmuo, atsakingas už tinklo funkcionavimą bei paslaugų teikimą abonentams;
2. Šie reikalavimai taikomi duomenų bazėms, kurias tvarko valstybės registrų tvarkymo įstaigos, asmens duomenų valdytojai, kitų valstybės bei vietos savivaldos informacinių sistemų duomenų valdytojai ir duomenų tvarkymo įstaigos. Slapti ir visiškai slapti duomenys tvarkomi ir teikiami įstatymų nustatyta tvarka. Valstybės paslaptį sudarančių duomenų neskelbtinumo tvarką valstybės ir savivaldos institucijose nustato valstybės paslapčių subjektai ir nurodo duomenų valdytojams.
3. Duomenų valdytojas ir duomenų tvarkymo įstaiga atsako už duomenų patikimumą, tvarkymo teisėtumą, viešai neskelbtinų duomenų teikimo teisėtumą ir duomenų apsaugą nuo neteisėto panaudojimo, jeigu įstatymai ir kiti teisės aktai nenustato kitaip.
5. Duomenų valdytojas, vadovaudamasis rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius standartus ISO 11442, ISO/IEC TR 13335-1, ISO/TR 13569, arba kitomis rekomendacijomis, nuostatuose suformuluoja specialius duomenų apsaugos priemonių reikalavimus, nustatydamas:
5.4. duomenų pažeidimo rizikos veiksnius:
5.4.1. netyčinius vidinius ir išorinius subjektyvius veiksnius (duomenų tvarkymo klaidos ir apsirikimai, failų ištrynimas, neteisingas maršruto nustatymas teikiant duomenis, fiziniai sutrikimai: dėl elektros, dėl duomenis gadinančių kompiuterio arba serverio virusų ir kita);
5.4.2. tyčinius subjektyvius veiksnius (neteisėtas įsibrovimas į sistemą iš išorės, piktybinis teisės aktų pažeidimas, vagystė ir kita);
6. Duomenų valdytojas vadovaujasi rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius grupės „Informacijos technologija. Saugumo technika“ ISO/IEC standartus, arba kitomis rekomendacijomis ir nustato duomenų apsaugos įgyvendinimo tvarką bei priemones, tai yra:
6.1. techninės įrangos, programinės įrangos, duomenų bazių, patalpų apsaugą (informacijos kopijavimas, atsarginis energijos tiekimas, antivirusinė programinė įranga, skaitmeninis parašas, duomenų šifravimas, tinklo apsaugos sistema, tinklo darbo apskaita ir kita); duomenų šifravimas turi būti derinamas valstybės paslapčių subjektų nustatyta tvarka, jeigu tai įtraukta į valstybės paslaptį sudarančių žinių sąrašą;
7. Duomenų valdytojas skiria duomenų apsaugos įgaliotinį, kuris organizuoja duomenų apsaugą visose duomenų tvarkymo įstaigose, sudaro visas sąlygas Valstybinei duomenų apsaugos inspekcijai ir valstybės paslapčių subjektui atlikti tikrinimus.
8. Jeigu valstybės registro, asmens duomenų valdytojo arba kitokia valstybės ar vietos savivaldos informacinė sistema nėra įteisinta, sukurta ir priimta naudoti ir jeigu teikimo konkretiems naudotojams nenustato įstatymai bei kiti teisės aktai, duomenų valdytojas turi teisę kreiptis į Valstybinę duomenų apsaugos inspekciją dėl laikinojo leidimo teikti viešai neskelbtinus duomenis kitiems duomenų valdytojams bei naudotojams. Šis leidimas yra pagrindas teisėtai teikti duomenis įvairiomis formomis, iš jų ir valstybės institucijų kompiuterių tinklu. Laikinasis leidimas gali būti išduodamas tik įvertinus duomenų apsaugos lygmenį.
9. Duomenų valdytojas rūpinasi duomenų apsaugos sistemos tobulinimu, kasmet peržiūri instrukcijas bei kitus dokumentus, susijusius su duomenų apsauga, atnaujina juos ir jeigu yra pakeitimų, susijusių su duomenų apsauga, kasmet iki sausio 31 dienos teikia Valstybinei duomenų apsaugos inspekcijai nustatytos formos ataskaitas apie naudojamas duomenų apsaugos priemones.
10. Duomenų valdytojas teikia įstatymų nustatyta tvarka duomenis kitiems duomenų valdytojams arba duomenų gavėjams šalių susitarimu pagal Valstybinės duomenų apsaugos inspekcijos nustatytos formos sutartį.
11. Duomenų bazės likviduojamos arba reorganizuojamos įstatymų ir kitų teisės aktų nustatyta tvarka, be to, likvidavimo arba reorganizavimo tvarka derinama su Valstybine duomenų apsaugos inspekcija, kai duomenys viešai neskelbtini, o kai duomenys slapti arba visiškai slapti, – su Lietuvos Respublikos valstybės saugumo departamentu.