INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS

 

Į S A K Y M A S

DĖL INFORMACIJOS RINKMENŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2007 m. rugpjūčio 22 d. Nr. T-112

Vilnius

 

Įgyvendindamas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktą ir vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

1. Tvirtinu Informacijos rinkmenų sąrašo duomenų saugos nuostatus (pridedama).

2. Skiriu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės Elektroninio parašo priežiūros skyriaus vyriausiąjį specialistą Vaidotą Ramoną Informacijos rinkmenų sąrašo duomenų saugos įgaliotiniu.

3. Pavedu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės Elektroninio parašo priežiūros skyriaus vyriausiajam specialistui Vaidotui Ramonui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus Informacijos rinkmenų sąrašo duomenų tvarkymo taisykles, Informacijos rinkmenų sąrašo veiklos tęstinumo valdymo planą ir Informacijos rinkmenų sąrašo naudotojų administravimo taisykles.

4. Pripažįstu netekusiu galios Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 10 d. įsakymą Nr. T-61 „Dėl Informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 78-3094).

 

 

 

DIREKTORIUS                                                                                               AURIMAS MATULIS

 

SUDERINTA

Vidaus reikalų ministerijos

2007-08-09 raštu Nr. 1D-6298(13)

PATVIRTINTA

Informacinės visuomenės plėtros komiteto

prie Lietuvos Respublikos Vyriausybės

direktoriaus

2007 m. rugpjūčio 22 d. įsakymu Nr. T-112

 

INFORMACIJOS RINKMENŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Informacijos rinkmenų sąrašo duomenų saugos nuostatų (toliau vadinama – Saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Informacijos rinkmenų sąrašo (toliau vadinama – Sąrašas) duomenų tvarkymą.

2. Sąrašo duomenų saugumo tikslai yra šie:

2.1. Sąrašo duomenų vientisumo užtikrinimas;

2.2. Sąrašo duomenų prieinamumo užtikrinimas;

2.3. Sąrašo tvarkytojų duomenų konfidencialumo užtikrinimas.

3. Saugos nuostatuose naudojamos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Informacijos rinkmenų sąrašo nuostatuose, patvirtintuose Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 12 d. įsakymu Nr. T-65 (Žin., 2006, Nr. 78-3095), apibrėžtos sąvokos ir sutrumpinimai.

4. Sąrašo valdytojas yra Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės (toliau vadinama – Komitetas), esantis Vilniaus g. 18, LT-01119 Vilniuje.

5. Sąrašo tvarkytojai yra Komitetas ir Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatyme (Žin., 2000, Nr. 10-236; 2005, Nr. 139-5008) nustatytos įstaigos (toliau vadinama – Įstaigos), elektroniniu būdu tvarkančios informacijos rinkmenas.

6. Sąrašo duomenų saugos prioritetinės kryptys – saugus duomenų teikimas Sąrašui, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jo naudojimas.

7. Sąrašui duomenis teikia Įstaigos Informacijos rinkmenų sąrašo nuostatų nustatyta tvarka.

8. Sąrašo duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš šių etapų:

8.1. Įstaigos teikia duomenis Sąrašui, užpildydamos Komiteto nustatytą elektroninę duomenų teikimo formą, Informacijos rinkmenų sąrašo nuostatuose nustatytais apimtimi, reguliarumu ir terminais;

8.2. Komitetas gautus duomenis priima, tikrina jų kokybę ir įrašo į Sąrašo duomenų bazę arba grąžina Įstaigai patikslinti.

9. Komitetas nustato Sąrašo tikslus ir valdo Sąrašą.

10. Komiteto direktorius tvirtina šiuos Sąrašo saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai):

10.1. Saugaus Informacijos rinkmenų sąrašo elektroninės informacijos tvarkymo taisykles;

10.2. Informacijos rinkmenų sąrašo veiklos tęstinumo valdymo planą;

10.3. Informacijos rinkmenų sąrašo naudotojų administravimo taisykles.

11. Komitetas pagal Informacijos rinkmenų sąrašo nuostatus įgaliotas tvarkyti Sąrašą ir duomenis, teikti informaciją ir paslaugas.

12. Komiteto direktorius skiria saugos įgaliotinį ir administratorių.

13. Saugos įgaliotinis organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:

13.1. teikia Komiteto direktoriui pasiūlymus dėl:

13.1.1. administratoriaus skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

13.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.1.3. saugos reikalavimų atitikties vertinimo atlikimo;

13.2. koordinuoja Sąrašo duomenų saugos incidentų tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

13.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

13.4. atlieka kitas saugos dokumentais pavestas ir šiais Saugos nuostatais jam priskirtas funkcijas.

14. Administratorius atlieka šias funkcijas:

14.1. priima teikiamus Sąrašui duomenis, kontroliuoja jų kokybę ir įrašo į Sąrašo duomenų bazę;

14.2. administruoja aptarnaujančių Sąrašą Komiteto valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau vadinama – aptarnaujantys Sąrašą darbuotojai), teises tvarkant Sąrašą;

14.3. rengia, derina ir tvarko Sąrašo dokumentaciją ir kitus, susijusius su Sąrašu, dokumentus.

15. Administratorius atsako už tai, kad tvarkant Sąrašą nebūtų pažeisti Saugos nuostatai ir kiti Sąrašo duomenų saugą reglamentuojantys teisės aktai.

16. Saugų Sąrašo duomenų tvarkymą reglamentuoja:

16.1. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymas (Žin., 2000, Nr. 10-236; 2005, Nr. 139-5008);

16.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

16.3. Lietuvos standartai LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai;

16.4. Saugos nuostatai ir kiti teisės aktai, reglamentuojantys Sąrašo duomenų tvarkymo teisėtumą bei duomenų saugos valdymą

 

II. SĄRAŠO DUOMENŲ SAUGOS VALDYMAS

 

17. Sąrašas priskirtinas trečiajai kategorijai, suteikiamai informacinei sistemai, kurioje nors vienos tvarkomos duomenų grupės vienos ar daugiau savybių praradimas gali turėti neigiamą įtaką valstybės institucijos ar įstaigos veiklai, kaip nustatyta Informacijos klasifikavimo pagal duomenų grupes rekomendacijose, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2003 m. sausio 27 d. įsakymu Nr. 1V-33 (Žin., 2003, Nr. 77-3541).

18. Sąrašo duomenų bazėje tvarkomi informacijos rinkmenas apibūdinantys duomenys, duomenys apie juridinius asmenis, informacijos rinkmenos įrašymo į Sąrašą duomenys, juridinių asmenų teisių duomenys ir Sąrašo tvarkymui naudojami klasifikatoriai.

19. Pagrindiniai rizikos veiksniai, kurie gali pažeisti duomenų ir parengtos pagal juos informacijos saugą, yra:

19.1. atsitiktinis arba neteisėtas paskelbimas;

19.2. atsitiktinis arba neteisėtas perdavimas konkrečiam informacijos gavėjui;

19.3. nepakankama pateiktų į duomenų arba parengtos pagal juos informacijos kokybė, dėl kurios jais visai negalima naudotis arba galima tiktai iš dalies;

19.4. netyčinis duomenų sugadinimas;

19.5. sąmoningas duomenų sugadinimas;

19.6. sąmoningas informacijos iškreipimas prieš pateikiant ją naudotojams.

20. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per metus organizuoja Sąrašo saugumo auditą, kurio metu:

20.1. įvertinama realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;

20.2. inventorizuojama Sąrašo techninė ir programinė įranga;

20.3. patikrinama Sąrašo tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;

20.4. patikrinama Sąrašo duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;

20.5. įvertinamas Sąrašo administratoriaus pasiruošimas atkurti Sąrašo veikimą įvykus nenumatytoms situacijoms;

20.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir parengiama Rizikos veiksnių ataskaita.

21. Remdamasis atlikto Sąrašo saugumo audito rezultatais, saugos įgaliotinis parengia ir Komiteto direktoriui pateikia tvirtinti Rizikos veiksnių ataskaitą bei Pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Prieigai prie Sąrašo duomenų bazės suteikiami aptarnaujančių Sąrašą darbuotojų ir Sąrašo administratoriaus registracijos vardai ir slaptažodžiai.

23. Komitetas užtikrina gautų iš Įstaigų duomenų tvarkymo kokybę bei duomenų saugą.

24. Aptarnaujantys Sąrašą darbuotojai vadovaujasi Informacijos rinkmenų sąrašo nuostatais, Saugos nuostatais ir saugos dokumentais.

25. Sąrašo duomenų bazė yra kopijuojama ir saugoma taip, kad avarijos atveju visiškas Sąrašo funkcionalumas ir veikla būtų atstatyti per 24 valandas.

 

IV. REIKALAVIMAI PERSONALUI

 

26. Komiteto direktoriaus įsakymu nustatomi ir tvirtinami kvalifikaciniai reikalavimai, kuriuos turi atitikti aptarnaujantys Sąrašą darbuotojai.

27. Komitetas užtikrina, kad aptarnaujantys Sąrašą darbuotojai būtų tinkamai parengti, apmokyti bei informuoti, ir reguliariai organizuoja būtinus jų mokymus ir kitas jų kvalifikacijos kėlimo priemones.

28. Saugos įgaliotinis mažiausiai kartą per metus inicijuoja aptarnaujančių Sąrašą darbuotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

 

V. SĄRAŠO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

29. Visi Sąrašo duomenys yra vieši ir skelbiami Komiteto interneto svetainėje.

30. Sąrašo naudotojai, gaunantys Sąrašo duomenis internetu, su saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, gali susipažinti Komiteto interneto svetainėje.

 

VI. NUOSTATŲ ATNAUJINIMO TVARKA

 

31. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių nuostatų II skirsnyje nurodytą auditą.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

32. Aptarnaujantys Sąrašą darbuotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja Sąrašo duomenų tvarkymą ir saugą.

33. Duomenys apie aptarnaujančius Sąrašą darbuotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko Sąrašo administratorius, vadovaudamasis įstatymais ir kitais teisės aktais.

34. Komitetas privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti Sąrašo duomenų saugą.

35. Saugos nuostatuose aprašytos Komiteto funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.

36. Aptarnaujantys Sąrašą darbuotojai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

______________