INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIAUS

INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS

Į S A K Y M A S

DĖL REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2006 m. liepos 10 d. Nr. T-60

Vilnius

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511),

1. Tvirtinu Registrų sąrašo duomenų saugos nuostatus (pridedama).

2. Skiriu Informacinės visuomenės plėtros komiteto Elektroninio parašo priežiūros skyriaus vyriausiąjį specialistą Vaidotą Ramoną Registrų sąrašo duomenų saugos įgaliotiniu.

3. Pavedu Informacinės visuomenės plėtros komiteto Elektroninio parašo priežiūros skyriaus vyriausiajam specialistui Vaidotui Ramonui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus darbo su Registrų sąrašo duomenimis taisykles, Nenumatytų situacijų valdymo planą ir Rizikos ataskaitą.

DIREKTORIAUS PAVADUOTOJAS EDMUNDAS ŽVIRBLIS

L. E. DIREKTORIAUS PAREIGAS

SUDERINTA

Vidaus reikalų ministerijos

2006-06-29 raštu Nr. 1D-4654-(13)

______________

PATVIRTINTA

Informacinės visuomenės plėtros komiteto

prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 10 d. įsakymu

Nr. T-60

REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Registrų sąrašo duomenų saugos nuostatų (toliau vadinama – šie nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Registrų sąrašo (toliau vadinama – sąrašas) duomenis.

2. Šie nuostatai yra parengti vadovaujantis:

2.1. Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45);

2.2. Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511);

2.3. Lietuvos standartais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą ir duomenų saugos valdymą.

3. Šie nuostatai kartu su Saugaus darbo su Registrų sąrašo duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu ir Rizikos ataskaita apibrėžia sistemos saugumo politiką (toliau vadinama – saugumo politika).

4. Šiuose nuostatuose vartojamos sąvokos atitinka Registrų sąrašo nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2005 m. kovo 21 d. nutarimu Nr. 299 (Žin., 2005, Nr. 38-1232), vartojamas sąvokas.

5. Vadovaujančioji sąrašo tvarkymo įstaiga yra Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės, kuris kartu yra ir sąrašo tvarkymo įstaiga (toliau vadinama – sąrašo tvarkymo įstaiga). Sąrašo tvarkymo įstaiga yra sąrašo duomenų valdytoja ir tvarkytoja.

II. SĄRAŠO APIBŪDINIMAS

6. Šie nuostatai reglamentuoja automatizuotą sąrašo duomenų tvarkymą ir yra privalomi valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, sąrašo tvarkymo įstaigos vadovo paskirtiems tvarkyti sąrašą (toliau vadinama – sąrašo tvarkytojai), jį administruoti bei užtikrinti jo saugą.

7. Sąrašas yra valstybės registras, tvarkomas automatiniu būdu.

8. Sąrašo objektai yra valstybės registrai ir žinybiniai registrai.

9. Sąraše tvarkomos šios duomenų grupės:

9.1. pagrindiniai registrą apibūdinantys duomenys;

9.2. duomenys apie registro kūrimo teisės aktus;

9.3. duomenys apie registro tvarkymo įstaigas;

9.4. duomenys apie registro tvarkymą;

9.5. duomenys apie susijusius registrus.

10. Sąrašą sudaro šios posistemės:

10.1. duomenų tvarkymo posistemė, kuri skirta vykdyti sąrašo tvarkymo funkcijas, nustatytas Sąrašo nuostatuose;

10.2. administravimo posistemė, per kurią įgyvendinama sąrašo priežiūra, klasifikatorių tvarkymas ir sąrašo duomenų teikėjų teisių valdymas;

10.3. duomenų archyvo posistemė, kuri skirta tvarkyti sąrašo duomenis, perkeltus į archyvą, ir tvarkyti sąrašo tvarkytojų veiksmų archyvą;

10.4. duomenų naudojimo posistemė, kuri skirta skelbti sąrašo duomenis ir statistines ataskaitas sąrašo tvarkymo įstaigos interneto svetainėje.

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

11. Sąrašo duomenų bazė ir jos valdymo programinės priemonės patalpintos duomenų bazių serveriuose valstybės įmonės „Infostruktūra“ tarnybinėje stotyje. Valstybės įmonė „Infostruktūra“ užtikrina sąrašo duomenų saugą pagal Valstybės institucijų kompiuterių tinklo paslaugų teikimo sutartį su sąrašo tvarkymo įstaiga ir valdo visą ryšio bei duomenų saugumo užtikrinimo įrangą.

12. Už sąrašo duomenų tvarkymo teisėtumą atsako sąrašo tvarkymo įstaiga. Sąrašo tvarkymo įstaigos vadovas skiria saugos įgaliotinį, atsakingą už sąrašo saugumo politikos įgyvendinimą ir kontrolę, sąrašo administratorių ir sąrašo tvarkytoją. Saugos įgaliotinis teikia siūlymus sąrašo tvarkymo įstaigos vadovui dėl sąrašo administratoriaus, kuris už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

13. Sąrašo tvarkytojas, sąrašo administratorius ir saugos įgaliotinis turi būti susipažinę su šiais nuostatais ir kitais dokumentais, apibrėžiančiais saugumo politiką. Jie privalo turėti atitinkamą kvalifikaciją, mokėti prižiūrėti duomenų bazes, turėti darbo su MySQL duomenų bazių valdymo sistema patirties, kelti savo kvalifikaciją saugaus darbo su duomenimis seminaruose ir mokymuose. Sąrašo administratorius ir saugos įgaliotinis turi išmanyti informacijos saugos principus ir turėti duomenų bazių administravimo darbo patirties.

14. Sąrašo tvarkytojas, pastebėjęs saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdamas apie tai pranešti sąrašo administratoriui, kuris apie tai informuoja saugos įgaliotinį, o nesant sąrašo administratoriaus – saugos įgaliotiniui.

15. Sąrašo tvarkytojo veiksmus, esant nenumatytai situacijai, reglamentuoja nenumatytų situacijų valdymo planas, kurį sąrašo tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis.

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

16. Konkrečios sąrašo duomenų tvarkymo ir saugumo procedūros išdėstytos saugos įgaliotinio parengtose ir sąrašo tvarkymo įstaigos vadovo patvirtintose Saugaus darbo su Registrų sąrašo duomenimis taisyklėse.

V. SĄRAŠO TVARKYTOJŲ ATSAKOMYBĖ

17. Sąrašo tvarkytojai privalo rūpintis sąrašo ir jame tvarkomų duomenų saugumu.

18. Tvarkyti sąrašo duomenis gali tik sąrašo tvarkytojai, susipažinę su šiais nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

19. Sąrašo tvarkytojų supažindinimą su nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

20. Sąrašo tvarkytojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės naujai priimtiems darbuotojams ir pan.).

21. Sąrašo tvarkytojai, pažeidę šių nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

VI. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

22. Saugos įgaliotinis, siekdamas užtikrinti sąrašo ir jame tvarkomų duomenų saugumą, teikia siūlymus sąrašo tvarkymo įstaigos vadovui dėl šių nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

23. Šie nuostatai ir kiti sąrašo saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių nuostatų VII skyriuje nurodytą auditą.

VII. BAIGIAMOSIOS NUOSTATOS

24. Siekiant užtikrinti šiuose nuostatuose ir kituose sąrašo saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis sąrašo tvarkymo įstaigoje kasmet organizuoja auditą, kurio metu:

24.1. įvertinama šių nuostatų ir kitų sąrašo saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;

24.2. inventorizuojama sąrašo techninė ir programinė įranga;

24.3. tikrinama sąrašo tvarkytojo kompiuterinė darbo vieta, joje įdiegtos programos ir jų konfigūracija;

24.4. peržiūrima sąrašo tvarkytojui suteiktų teisių atitiktis vykdomoms funkcijoms;

24.5. atliekama rizikos analizė ir atitinkamai koreguojama rizikos ataskaita;

24.6. įvertinamas pasirengimas atkurti sąrašo veiklą nenumatytose situacijose.

25. Atlikęs auditą saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato sąrašo tvarkymo įstaigos vadovas.

______________