LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

 

Į S A K Y M A S

DĖL UŽSIENIEČIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2007 m. balandžio 16 d. Nr. V1-136

Vilnius

 

Įgyvendindamas Užsieniečių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2000 m. rugsėjo 4 d. nutarimu Nr. 1049 (Žin., 2000, Nr. 76-2301; 2005, Nr. 147-5353), 63 punktą ir vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:

1.Tvirtinu Užsieniečių registro duomenų saugos nuostatus (pridedama).

2.Pavedu Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos teisės aktų nustatyta tvarka iki š. m. spalio 1 d. parengti ir pateikti vidaus reikalų ministrui saugaus darbo su Užsieniečių registro duomenimis taisyklių, nenumatytų situacijų valdymo plano ir rizikos ataskaitos projektus.

 

 

VIDAUS REIKALŲ MINISTRAS                                                               RAIMONDAS ŠUKYS

______________

 

 

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro 2007 m. balandžio 16 d. įsakymu

Nr. V1-136

 

UŽSIENIEČIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Užsieniečių registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Užsieniečių registro (toliau – registras) duomenis.

2. Saugos nuostatai reglamentuoja automatizuotą duomenų apdorojimą registre ir yra privalomi visiems registrą tvarkantiems registro tvarkymo įstaigų valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – registro vartotojas).

3. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą bei duomenų saugos valdymą.

4. Saugos nuostatai kartu su saugaus darbo su duomenimis taisyklėmis, nenumatytų situacijų valdymo planu, rizikos ataskaita, detaliomis instrukcijomis ir procedūrų aprašymais apibrėžia registro saugumo politiką (toliau – saugumo politika).

 

II. REGISTRO APIBŪDINIMAS

 

5. Registro paskirtis nustatyta Užsieniečių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2000 m. rugsėjo 4 d. nutarimu Nr. 1049 (Žin., 2000, Nr. 76-2301; 2005, Nr. 147-5353), 2 punkte.

6. Registro objektai – užsieniečiai, kurių teisinė padėtis Lietuvos Respublikoje nustatoma pagal Lietuvos Respublikos įstatymą „Dėl užsieniečių teisinės padėties“ (Žin., 2004, Nr. 73-2539) ir kitus Lietuvos Respublikos įstatymus, Europos Sąjungos teisės aktus ir tarptautines sutartis.

7. Registrą sudaro teisinės, organizacinės, technologinės priemonės, skirtos duomenims rinkti, kaupti, apdoroti, sisteminti, saugoti, teikti ir kitiems registro tvarkymo veiksmams atlikti. Visi registre tvarkomi duomenys yra klasifikuojami pagal duomenų grupes.

8. Registre tvarkomos šios duomenų grupės:

8.1. bendrieji užsieniečių duomenys;

8.2. užsieniečių duomenys, susiję su kvietimų atvykti į Lietuvos Respubliką ir būti joje patvirtinimu ir vizų išdavimu;

8.3. užsieniečių duomenys, susiję su leidimų gyventi Lietuvos Respublikoje išdavimu;

8.4. užsieniečių duomenys, susiję su prieglobsčio procedūromis;

8.5. užsieniečių duomenys, susiję su Lietuvos Respublikos pilietybės procedūromis;

8.6. užsieniečių duomenys, susiję su jų neteisėtu buvimu Lietuvos Respublikoje;

8.7. duomenys, susiję su užsieniečiais, kuriems uždrausta atvykti į Lietuvos Respubliką.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

9. Už duomenų tvarkymo teisėtumą ir duomenų saugą pagal kompetenciją atsako registro tvarkymo įstaigos.

10. Registro saugos įgaliotinis (toliau – saugos įgaliotinis) yra Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – IRD), kuris atsako už saugumo politikos įgyvendinimą ir kontrolę.

11. IRD direktorius skiria registro duomenų bazės administratorių (toliau – administratorius), kuris už atliekamas saugumo politikos įgyvendinimo ir kontrolės funkcijas atsiskaito tiesiogiai saugos įgaliotiniui.

12. Registro vartotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kėlimo kursai, pradinis saugaus darbo su duomenimis mokymas, Europos kompiuterio vartotojo pažymėjimas ar pan.) ir darbo su taikomosiomis programomis patirties. Registro vartotojai turi būti supažindinti su duomenų tvarkymą reglamentuojančiais dokumentais.

13. Saugos įgaliotinis ir administratorius privalo išmanyti pagrindinius informacijos saugos principus, darbą su kompiuterių tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių Windows, Unix, Oracle administravimo ir priežiūros patirties.

14. Registro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui, o jo nesant – saugos įgaliotiniui.

15. Registro vartotojų veiksmus esant nenumatytai situacijai reglamentuoja nenumatytų situacijų valdymo planas, kurį vidaus reikalų ministrui teikia tvirtinti saugos įgaliotinis. Šio plano pagrindinės nuostatos yra šios: registro vartotojų gyvybės ir sveikatos apsauga, registro veiklos atkūrimas, registro vartotojų mokymas.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

16. Pagrindinės registro rizikos mažinimo priemonės išdėstomos vidaus reikalų ministro patvirtintoje rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs nustatytus rizikos veiksnius, t. y. subjektyvius netyčinius (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, programinės įrangos klaidos ir kita), subjektyvius tyčinius (nesankcionuotas naudojimasis registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų vagystė ir kita) ir nenugalimos jėgos (įvykiai, nustatyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte).

17. Tvarkant registro duomenis ir užtikrinant jų saugumą, vadovaujamasi šiais teisės aktais:

17.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

17.2. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

17.3. Užsieniečių registro nuostatais;

17.4. Lietuvos standartu LST ISO/IEC 17799: 2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

17.5. kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą ir duomenų saugos valdymą.

18. Konkrečios registro duomenų tvarkymo ir saugumo procedūros išdėstomos detaliose darbo su duomenimis taisyklėse, kurias vidaus reikalų ministrui teikia tvirtinti saugos įgaliotinis.

 

V. REGISTRO VARTOTOJŲ ATSAKOMYBĖ

 

19. Registro vartotojai privalo rūpintis registro ir jame tvarkomų duomenų saugumu.

20. Tvarkyti registro duomenis gali tik registro vartotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

21. Registro vartotojų supažindinimą su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei atsakomybe už jų reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis. Registro vartotojai taip pat raštu informuojami apie Saugos nuostatų pakeitimus ar kitų saugumo politiką reglamentuojančių teisės aktų panaikinimą, keitimą ar priėmimą.

22. Registro vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problemiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

23. Registro vartotojai, pažeidę Saugos nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VI. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

24. Saugos įgaliotinis, siekdamas užtikrinti registro ir jame tvarkomų duomenų saugumą, teikia siūlymus vidaus reikalų ministrui dėl Saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo panaikinimo.

25. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi atliekant Saugos nuostatų 25 punkte nurodytą auditą ir prireikus keičiami, bet ne rečiau kaip kartą per metus.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

26. Siekdamas užtikrinti Saugos nuostatuose ir kituose saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą, kurio metu:

26.1. įvertinama Saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų bei realios duomenų saugos situacijos atitiktis;

26.2. inventorizuojama registro tvarkymo įstaigos techninė ir programinė įranga;

26.3. tikrinama ne mažiau kaip 10 procentų registro vartotojų kompiuterizuotų darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka (konfigūracija);

26.4. peržiūrima registro vartotojams suteiktų teisių ir vykdomų funkcijų atitiktis, atitinkamai funkcijos praplečiamos ar apribojamos;

26.5. įvertinamas pasiruošimas atkurti registro veiklą nenumatytose situacijose;

26.6. atliekama rizikos analizė ir atitinkamai koreguojama rizikos ataskaita.

27. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato vidaus reikalų ministras.

______________