LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
N U T A R I M A S
DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 1997 M. RUGSĖJO 4 D. NUTARIMO NR. 952 „DĖL DUOMENŲ APSAUGOS VALSTYBĖS IR VIETOS SAVIVALDOS INFORMACINĖSE SISTEMOSE“ PAKEITIMO
2002 m. gruodžio 31 d. Nr. 2105
Vilnius
Vykdydama Informacijos technologijų saugos valstybinės strategijos įgyvendinimo planą, patvirtintą Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006; 2002, Nr. 80-3429), Lietuvos Respublikos Vyriausybė nutaria:
Pakeisti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimą Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075) ir išdėstyti jį nauja redakcija:
„LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
NUTARIMAS DĖL DUOMENŲ SAUGOS VALSTYBĖS IR SAVIVALDYBIŲ INFORMACINĖSE SISTEMOSE
Siekdama užtikrinti duomenų patikimumą bei saugą nuo atsitiktinio ar neteisėto duomenų sunaikinimo, pakeitimo, atskleidimo, taip pat kokio nors kito neteisėto jų tvarkymo, vadovaudamasi Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924), Informacijos technologijų saugos valstybinės strategijos įgyvendinimo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006; 2002, Nr. 80-3429), 1 priemone ir atsižvelgdama į tai, kad informacinės sistemos nuolat tobulinamos, Lietuvos Respublikos Vyriausybė nutaria:
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
1997 m. rugsėjo 4 d. nutarimu Nr. 952
(Lietuvos Respublikos Vyriausybės2002 m.
gruodžio 31 d. nutarimo Nr. 2105 redakcija)
BENDRIEJI DUOMENŲ SAUGOS REIKALAVIMAI
I. BENDROSIOS NUOSTATOS
1. Bendrųjų duomenų saugos reikalavimų (toliau vadinama – Reikalavimai) tikslas – sudaryti sąlygas saugiai tvarkyti automatizuotu būdu duomenis valstybės registruose ir kitose valstybės informacinėse sistemose.
II. PAGRINDINĖS SĄVOKOS
3. Pagrindinės šiuose Reikalavimuose vartojamos sąvokos:
Sistema – valstybės registras ir kita valstybės informacinė sistema.
Sistemos tvarkytojas – valstybės informacinės sistemos valdytojas, vadovaujanti valstybės registro tvarkymo įstaiga arba, jeigu jos nėra, valstybės registro tvarkymo įstaiga.
4. Kitos šiuose Reikalavimuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės registrų įstatyme (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924) ir Lietuvos standarte LST ISO/IEC TR 13335-1:2000.
III. SAUGOS UŽTIKRINIMAS
5. Užtikrinant duomenų saugą, rekomenduojama vadovautis Informacijos technologijų saugos valstybine strategija, patvirtinta Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006), Lietuvos standartais LST ISO/IEC TR 13335, LST ISO 11442 ir LST ISO/IEC 17799:2002, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais.
6. Sistemos tvarkytojas, vadovaudamasis Tipiniais duomenų saugos nuostatais, patvirtintais vidaus reikalų ministro, rengia ir suderinęs su Vidaus reikalų ministerija tvirtina sistemos duomenų saugos nuostatus (toliau vadinama – nuostatai), kurie kartu su rengtinomis detaliomis instrukcijomis, procedūrų aprašymais ir saugaus darbo su duomenimis tvarka apibrėžia sistemos saugumo politiką (toliau vadinama – saugumo politika).
7. Nuostatuose nustatoma:
7.1. sistemos ir sistemoje tvarkomų duomenų (toliau vadinama – duomenys) svarbumas, pagal kurį bus parenkamos atitinkamos saugos priemonės;
7.2. saugaus duomenų tvarkymo reikalavimai, kurie apima:
7.4. rengtinų dokumentų (detalios instrukcijos, procedūrų aprašymai, saugaus darbo su duomenimis tvarka) sąrašas;
8. Atsižvelgiant į atskirų nuostatų dalių mastą, jos gali būti rengiamos kaip nuostatų priedai arba atskiri dokumentai (tai nurodoma nuostatuose).
9. Sistemos tvarkytojas, atsižvelgdamas į nuostatuose išdėstytą sąrašą, nurodytą šių Reikalavimų 7.4 punkte, rengia ir tvirtina:
9.1. saugaus darbo su duomenimis tvarką, kurioje nustato:
9.1.1. technines, programines ir fizinės saugos priemones (atsarginis energijos tiekimas, antivirusinė programinė įranga, duomenų šifravimas, tinklo apsaugos sistema, darbo apskaita, patalpų fizinė sauga ir kita);
9.1.2. prieinamumo prie duomenų principus ir kontrolę (vartotojų registravimas, teisių suteikimas, išregistravimas, vartotojų tapatybės nustatymas, specialios tapatybės nustatymo priemonės, elektroninis parašas ir kita);
9.1.3. sistemos ir duomenų vientisumo pažeidimų fiksavimo ir pažeistų duomenų atkūrimo tvarką (vartotojų veiksmų registravimas, atsarginės duomenų kopijos ir jų saugojimas bei kontrolė, duomenų atkūrimas ir kita);
9.2. detalias instrukcijas ir procedūrų aprašymus, reglamentuojančius veiksmus ar jų atlikimo tvarką atskirais atvejais ar konkrečioje situacijoje (pavyzdžiui: darbo pradžia ir pabaiga, prisijungimas prie sistemos, veiksmai esant duomenų ar sistemos vientisumo pažeidimams, patalpų apsauga ir tvarkymas, techninės įrangos gedimų šalinimas, pašaliniai žmonės patalpose, draudžiami įsinešti į patalpas daiktai, informacijos nenumatytais atvejais teikimas, darbuotojų ir techninės bei programinės įrangos kontrolė ir kita).
10. Sistemos tvarkytojas, vykdydamas šių Reikalavimų 6–9 punktus, įvertina šiuos rizikos veiksnius, galinčius turėti įtakos duomenų saugumui:
10.1. subjektyvius netyčinius (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
10.2. subjektyvius tyčinius (nesankcionuotas naudojimasis sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacijos technologijų vagystė ir kita);
10.3. nenugalimos jėgos (įvykiai, nustatyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte).
IV. ATSAKOMYBĖ