LIETUVOS RESPUBLIKOS VYRIAUSIASIS VALSTYBINIS DARBO INSPEKTORIUS

 

Į S A K Y M A S

DĖL POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. rugpjūčio 1 d. Nr. 1-180

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:

1. Tvirtinu Potencialiai pavojingų įrenginių valstybės registro duomenų saugos nuostatus (pridedama).

2. Skiriu Valstybinės darbo inspekcijos Informacinių technologijų skyriaus vedėją Juozą Adamonį Potencialiai pavojingų įrenginių valstybės registro saugos įgaliotiniu.

3. Įpareigoju Potencialiai pavojingų įrenginių valstybės registro saugos įgaliotinį Juozą Adamonį:

3.1. iki š. m. spalio 15 d. parengti ir pateikti man tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Detalius saugaus darbo su duomenimis procedūrų aprašymus. Po šių dokumentų patvirtinimo jų kopijas pristatyti Vidaus reikalų ministerijai;

3.2. inicijuoti duomenų saugos mokymus Potencialiai pavojingų įrenginių valstybės registro tvarkytojams ir vartotojams.

4. Laikyti negaliojančiais Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2006 m. liepos 11 d. įsakymo Nr. 1-145 pirmą ir antro punkto 2.1 papunktį.

 

 

L. E. LIETUVOS RESPUBLIKOS VYRIAUSIOJO

VALSTYBINIO DARBO INSPEKTORIAUS PAREIGAS                   PETRAS ABARAVIČIUS

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2006 m. liepos 25 d. raštu Nr. 1D-5368(13)

______________

 


PATVIRTINTA

Lietuvos Respublikos vyriausiojo

valstybinio darbo inspektoriaus

2006 m. rugpjūčio 1 d. įsakymu Nr. 1-180

 

POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Potencialiai pavojingų įrenginių valstybės registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų Registro duomenų tvarkymą.

2. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.

3. Vadovaujančioji ir Registro tvarkymo įstaiga yra Lietuvos Respublikos valstybinė darbo inspekcija (toliau – Registro tvarkymo įstaiga).

4. Saugos nuostatai reglamentuoja Registro duomenų apdorojimą automatizuotu būdu ir yra privalomi visiems Registro tvarkymo įstaigos ir įgaliotų potencialiai pavojingų įrenginių techninės būklės tikrinimo įstaigų darbuotojams, tvarkantiems Registro duomenis.

5. Šie Saugos nuostatai kartu su Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus tvirtinama rizikos ataskaita, Nenumatytų situacijų valdymo planu, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais, apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).

6. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą, duomenų saugos valdymą.

7. Saugos nuostatuose vartojamos sąvokos atitinka Registro nuostatuose vartojamas sąvokas.

 

II. REGISTRO SISTEMOS APIBŪDINIMAS

 

8. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.

9. Registro paskirtis: registruoti, išregistruoti Registro objektus, rinkti, kaupti, apdoroti, sisteminti, saugoti, naudoti ir teikti Lietuvos Respublikos potencialiai pavojingų įrenginių priežiūros įstatyme ir su juo susijusiuose teisės aktuose nustatytus Registro duomenis valstybės ir savivaldybių institucijoms ir kitoms įstaigoms, valstybės registrams, kitiems juridiniams ir fiziniams asmenims įstatymų ir kitų teisės aktų nustatyta tvarka.

10. Registrą, atsižvelgiant į jo steigimo tikslus ir tvarkomus duomenis, sudaro:

 

Nr.

Sistemos dalis

Paskirtis

10.1.

Registro centrinė duomenų bazė

Kaupiami ir Registre tvarkomi duomenys

10.2.

Registro taikomoji programinė įranga

Specialios taikomosios programinės įrangos paskirtis -sudaryti sąlygas kaupti ir tvarkyti duomenis apie Registro objektus, juos keisti, išregistruoti, ieškoti ar teikti, suteikiant galimybę vykdyti paieškas pagal įvairius kriterijus, rinkti statistinius rodiklius ir juos pateikti įvairių reglamentuotų kriterijų ir formų pavidalu.

10.3.

Kompiuteriai, jų standartinė programinė, periferinė bei tinklo įranga

Kompiuteriai ir jų įranga – priemonė pasiekti sistemoje kaupiamą informaciją ir saugiai ją tvarkyti naudojantis Registro taikomąja programine įranga.

10.4.

Duomenų perdavimo tinklas

Techninė ir programinė tinklo ir apsaugos įranga, užtikrinanti nepertraukiamą ir saugų sistemoje veikiančių registro duomenų perdavimą vartotojams, kuriems suteiktas tiesioginis priėjimas prie sistemos, duomenų gavimą iš išorinės registrų bei kitų duomenų teikėjų ir duomenų teikimą gavėjams: vieningai funkcionuojanti maršrutizatorių, komutatorių, ugniasienių, duomenų šifravimo, apsaugos nuo virusų, įsilaužimo ir kita įranga, be visa ko, suteikianti ir prieigą prie interneto.

 

11. Registro taikomąją programinę įrangą sudaro šie posistemiai:

 

Nr.

Posistemis

Paskirtis

11.1.

Registravimo ir duomenų paieškos vidinis posistemis

Registro objektų duomenų registravimas, duomenų keitimas, išregistravimas teisės aktų nustatyta tvarka. Unikalaus identifikavimo kodo priskyrimas registro objektams, tikrinimas ir kontrolė. Duomenų paieškos vykdymas pagal nustatytus kriterijus.

11.2.

Administravimo posistemis

Registro informacinės sistemos stebėjimas. Sistemos vartotojų bei jų grupių registravimas ir administravimas. Sistemos vartotojų kodų bei pradinių slaptažodžių suteikimas.

11.3.

Statistinių duomenų rengimo posistemis

Statistikos ataskaitų rengimas.

11.4.

Duomenų mainų posistemis

Duomenų gavimas iš kitų valstybės registrų ir informacinių sistemų bei duomenų teikėjų.

11.5.

Registravimo ir duomenų paieškos išorinis posistemis

Registro objektų duomenų registravimas, duomenų teikimas ir keitimas teisės aktų nustatyta tvarka. Duomenų paieškos vykdymas pagal nustatytus kriterijus.

 

12. Sistemos darbo vietos (DV):

 

Nr.

Darbo vieta

Pagrindinės funkcijos

12.1.

Administratoriaus DV

Kurti kitus sistemos vartotojus, priskirti juos vartotojų grupėms, suteikti ir keisti slaptažodžius, vykdyti veiksmų monitoringą.

12.2.

Registratoriaus DV

Registruoti objektus, apdoroti ir sisteminti duomenis, iš dalies koreguoti, išregistruoti objektus, archyvuoti ir saugoti duomenis ir dokumentus apie Registro objektus.

12.3.

Operatoriaus DV

Teikti duomenis Registro nuostatų ir kitų teisės aktų nustatyta tvarka, analizuoti technologines, metodologines ir organizacines Registro funkcionavimo problemas, rengti ataskaitas.

12.4.

Darbo inspektoriaus DV

Peržiūrėti, analizuoti Registro teikiamą informaciją apie Registro objektus ir panaudoti ją savo tiesioginiame darbe.

12.5.

Įgaliotos tikrinimo įstaigos registratoriaus DV

Peržiūrėti informaciją apie jų tikrinamus objektus, įvesti duomenis apie atliktus tikrinimus.

12.6.

Savininko DV

Peržiūrėti Sistemos informaciją, susijusią su jų įrenginiais.

 

13. Duomenų sauga Registre užtikrinama vadovaujantis:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924; 2003, Nr. 15-597);

13.2. Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45);

13.3. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

13.4. Potencialiai pavojingų įrenginių valstybės registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2002 m. gegužės 9 d. nutarimu Nr. 645 (Žin., 2002, Nr. 48-1844; 2006, Nr. 10-358);

13.5. Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511);

13.6. Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

13.7. šiais Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, Registro tvarkymo įstaigos veiklą bei duomenų saugos valdymą.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

14. Už Registro duomenų tvarkymo teisėtumą ir duomenų saugą atsako Registro tvarkymo įstaiga.

15. Registro tvarkymo įstaigos vadovas skiria Registro saugos įgaliotinį, kuris atsako už saugos politikos įgyvendinimo organizavimą ir kontrolę.

16. Registro saugos įgaliotiniu skiriamas vienas iš Valstybinės darbo inspekcijos Informacinių technologijų skyriaus darbuotojų, kuris yra atsakingas už Saugos politikos formavimą ir saugos priemonių įgyvendinimą visoje Valstybinės darbo inspekcijos informacinių technologijų sistemoje.

17. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, būti susipažinęs su Registro duomenų tvarkymą reglamentuojančiais teisės aktais, standartais ir kitais dokumentais bei žinoti jų esminius reikalavimus, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti saugos politikos įgyvendinimą, taip pat turėti darbo patirties su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis.

18. Registro administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat mokėti administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugumo politika ir teisės aktais, reglamentuojančiais duomenų tvarkymą sistemoje, taip pat kitomis vidaus ir darbo saugos tvarkomis.

19. Registro registratoriai, operatorius ir įgaliotų įstaigų registratoriai (toliau – Registro tvarkytojai) privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių procedūrų, Registro tvarkymo taisyklių nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.

20. Darbo inspektoriai ir potencialiai pavojingų įrenginių savininkai, kurie naudosis Registro duomenimis (toliau -Registro vartotojai) privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, būti susipažinę su Registro nuostatais ir saugumo politiką reglamentuojančiais dokumentais.

21. Registro tvarkytojai ir kiti Registro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro saugos įgaliotiniui ir/arba Registro administratoriui.

22. Esant nenumatytai situacijai Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų ir kitų Registro vartotojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

23. Priemonės rizikai mažinti kas metai turi būti peržiūrimos ir išdėstomos Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, vadovaudamasis „Rizikos analizės vadovu“, įvertindamas Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) 10 punkte išvardytus rizikos veiksnius.

24. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtintoje Rizikos ataskaitoje išdėstytos priemonės rizikai mažinti taikomos Registro saugos įgaliotiniui, Registro administratoriui, taip pat visiems Registro tvarkytojams ir Registro vartotojams, jų kompiuterinėms darbo vietoms, taip pat sistemos administravimo kompiuterinėms darbo vietoms.

25. Registro duomenų tvarkymo ir saugumo procedūros išdėstomos Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtintose Saugaus darbo su duomenimis taisyklėse, kurias rengia Registro saugos įgaliotinis.

 

V. REGISTRO TVARKYTOJŲ IR VARTOTOJŲ ATSAKOMYBĖ

 

26. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis ir Registro vartotojai privalo rūpintis Registro duomenų saugumu.

27. Registro duomenis tvarkyti gali tik tie asmenys, kurie susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.

28. Registro tvarkytojų, Registro vartotojų ir Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.

29. Registro saugos įgaliotinis organizuoja Registro administratoriaus, Registro tvarkytojų ir Registro vartotojų kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

30. Registro tvarkytojai, Registro vartotojai, Registro administratorius, Registro saugos įgaliotinis, pažeidę saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

 

VI. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

31. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Lietuvos Respublikos vyriausiajam valstybiniam darbo inspektoriui dėl saugumo politiką reglamentuojančių teisės aktų papildymo ar pakeitimo.

32. Saugumo politiką reglamentuojantys teisės aktai peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atliekant šių nuostatų 31 punkte nurodytą auditą.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

33. Siekiant užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Registro saugos įgaliotinis kasmet organizuoja auditą, kurio metu:

33.1. įvertinama saugos politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;

33.2. inventorizuojama Registro techninė ir programinė įranga;

33.3. tikrinamos ne mažiau kaip 10 procentų Registro administratoriaus, Registro tvarkytojų ir Registro vartotojų kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;

33.4. peržiūrima Registro administratoriui, Registro tvarkytojams, Registro vartotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

33.5. įvertinamas pasirengimas registro veiklai atkurti nenumatytomis situacijomis;

33.6. atliekama rizikos analizė ir Saugos nuostatuose nustatyta tvarka koreguojama Rizikos ataskaita.

34. Atlikus auditą rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Lietuvos Respublikos vyriausiasis valstybinis darbo inspektorius.

______________