INFORMATIKOS IR RYŠIŲ DEPARTAMENTO

INFORMATIKOS IR RYŠIŲ DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS

Į S A K Y M A S

DĖL ĮTARIAMŲJŲ, KALTINAMŲJŲ IR NUTEISTŲJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2012 m. liepos 4 d. Nr. 5V-57

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 43 straipsnio 2 dalimi bei Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1 ir 8 punktais:

1. T v i r t i n u Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatus (pridedama).

2. S k i r i u Įtariamųjų, kaltinamųjų ir nuteistųjų registro saugos įgaliotiniu Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Teistumo informacijos tvarkymo skyriaus vyriausiąją specialistę Nelę Zuj.

3. P a v e d u Įtariamųjų, kaltinamųjų ir nuteistųjų registro saugos įgaliotiniui iki 2012 m. rugsėjo 28 d. teisės aktų nustatyta tvarka parengti ir pateikti Informatikos ir ryšių departamento direktoriui tvirtinti saugos politiką įgyvendinančius dokumentus – Įtariamųjų, kaltinamųjų ir nuteistųjų registro veiklos tęstinumo valdymo planą ir Įtariamųjų, kaltinamųjų ir nuteistųjų registro saugaus duomenų tvarkymo taisykles.

4. N u s t a t a u, kad Įtariamųjų, kaltinamųjų ir nuteistųjų registro naudotojai administruojami vadovaujantis Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2008 m. rugpjūčio 18 d. įsakymu Nr. 1V-165.

Direktorius Gintaras Čiurlionis

PATVIRTINTA

Informatikos ir ryšių departamento prie

Lietuvos Respublikos

vidaus reikalų ministerijos direktoriaus

2012 m. liepos 4 d. įsakymu Nr. 5V-57

ĮTARIAMŲJŲ, KALTINAMŲJŲ IR NUTEISTŲJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Įtariamųjų, kaltinamųjų ir nuteistųjų registro (toliau – Registras), kurio vadovaujančioji tvarkymo įstaiga ir Registro duomenų valdytojas yra Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas), saugos politiką.

2. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739), Įtariamųjų, kaltinamųjų ir nuteistųjų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2012 m. balandžio 18 d. nutarimu Nr. 435 (Žin., 2012, Nr. 49-2390), (toliau – Registro nuostatai), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), (toliau – Turinio gairės), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), (toliau – Informacinių sistemų klasifikavimo gairės).

3. Šiuose Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Saugos reikalavimuose, Turinio gairėse, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniuose saugos reikalavimuose ir kituose teisės aktuose.

4. Registro saugos tikslai:

4.1. užtikrinti Registro duomenų ir Registro informacijos konfidencialumą, prieinamumą ir vientisumą;

4.2. apsaugoti Registro duomenis ir Registro informaciją bei Registrui pateiktus dokumentus ir (arba) jų kopijas nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, kokio nors kitokio neteisėto jos tvarkymo;

4.3. sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro duomenis bei Registro informaciją Registre.

5. Registro duomenų ir Registro informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. Registro duomenų tvarkymui naudojamos techninės ir programinės įrangos kontrolė;

5.2. Registro duomenų tvarkymo kontrolė;

5.3. naudojimosi Registro duomenimis kontrolė;

5.4. veiklos tęstinumas;

5.5. asmens duomenų apsauga;

5.6. Registro naudotojų mokymas.

6. Registro duomenų ir Registro informacijos saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

7. Registro valdytojo ir tvarkytojų pavadinimai ir adresai:

7.1. Vadovaujančioji Registro tvarkymo įstaiga ir Registro duomenų valdytojas yra Informatikos ir ryšių departamentas, Šventaragio g. 2, Vilnius;

7.2. Registro tvarkymo įstaigos yra Informatikos ir ryšių departamentas, Lietuvos Respublikos Prezidento kanceliarija, S. Daukanto a. 3, Vilnius, ikiteisminio tyrimo įstaigos, bausmių vykdymo institucijos – laisvės atėmimo vietos ir probacijos tarnybos (pataisos inspekcijos).

8. Informatikos ir ryšių departamento, kaip Registro valdytojo, funkcijos ir atsakomybė:

8.1. rengia ir priima teisės aktus, susijusius su Registro duomenų ir Registro informacijos, Registrui pateiktų dokumentų ir (ar) jų kopijų tvarkymu, Registro duomenų ir Registro informacijos sauga;

8.2. priima sprendimus dėl Registrui taikomų informacinių technologijų saugos atitikties vertinimo atlikimo;

8.3. užtikrina Registro funkcijų pokyčių valdymo planavimą;

8.4. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Registru;

8.5. atsako už Registro duomenų ir Registro informacijos tvarkymo teisėtumą ir saugą;

8.6. atlieka kitas Saugos nuostatų, Saugos reikalavimų, Registro nuostatų ir kitų teisės aktų nustatytas funkcijas.

9. Informatikos ir ryšių departamento, kaip Registro tvarkytojo, funkcijos ir atsakomybė:

9.1. užtikrina ir atsako už Registro duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais;

9.2. organizuoja Registro naudotojams mokomuosius ir pažintinius kursus Registro duomenų registravimo, elektroninės informacijos teikimo bei Registro duomenų ir Registro informacijos saugos klausimais.

10. Kiti Registro tvarkytojai:

10.1. atsako už tvarkomų pagal kompetenciją Registro duomenų ir Registro informacijos saugą;

10.2. atlieka kitas Saugos nuostatų, Saugos reikalavimų, Registro nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su Registro duomenų bei Registro informacijos sauga.

11. Registro saugos įgaliotinis (toliau – Saugos įgaliotinis), įgyvendindamas informacijos saugą Registre, atlieka šias funkcijas:

11.1. teikia Registro valdytojo vadovui pasiūlymus dėl:

11.1.1. administratorių paskyrimo;

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. Registro informacinių technologijų saugos atitikties vertinimo atlikimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą;

11.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus;

11.4. kasmet organizuoja Registro rizikos įvertinimą;

11.5. periodiškai inicijuoja Registro naudotojų mokymą Registro duomenų ir Registro informacijos saugos klausimais, įvairiais būdais informuoja juos apie Registro duomenų ir Registro informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams);

11.6. atlieka kitas Registro valdytojo vadovo pavestas ir Saugos reikalavimuose bei kituose teisės aktuose nustatytas saugos įgaliotinio funkcijas.

12. Administratorius atlieka šias funkcijas:

12.1. pagal kompetenciją užtikrina Registro duomenų ir Registro informacijos konfidencialumą, vientisumą ir prieinamumą;

12.2. registruoja Registro saugos incidentus ir informuoja apie juos Saugos įgaliotinį, teikia Registro valdytojui pasiūlymus dėl minėtų incidentų pašalinimo;

12.3. suteikia Registro naudotojams prieigos teises prie Registro duomenų;

12.4. rengia ir tikrina Registro komponentų techninę sąranką ir jos būsenos rodiklius;

12.5. vykdo Saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro saugos užtikrinimu;

12.6. atlieka kitas Registro valdytojo vadovo pavestas ir Saugos reikalavimuose bei kituose teisės aktuose nustatytas administratoriaus funkcijas.

13. Atlikdamas Registro funkcijų pakeitimus, administratorius turi vadovautis Vidaus reikalų informacinės sistemos pokyčių valdymo tvarkos aprašu, patvirtintu Lietuvos Respublikos vidaus reikalų ministro 2007 m. gruodžio 29 d. įsakymu Nr. 1V-453.

14. Teisės aktai, kuriais vadovaujantis tvarkomi Registro duomenys ir Registro informacija bei užtikrinama jų sauga:

14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

14.2. Lietuvos Respublikos Įtariamųjų, kaltinamųjų ir nuteistųjų registro įstatymas (Žin., 2011, Nr. 86-4145);

14.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.4. Registro nuostatai, Registro saugos dokumentai – Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai. Registro saugos politiką įgyvendinantys teisės aktai – Įtariamųjų, kaltinamųjų ir nuteistųjų registro veiklos tęstinumo valdymo planas, Įtariamųjų, kaltinamųjų ir nuteistųjų registro duomenų saugaus tvarkymo taisyklės ir Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo taisyklės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2008 m. rugpjūčio 18 d. įsakymu Nr. 1V-165;

14.5. Turinio gairės;

14.6. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

14.7. kiti teisės aktai, reglamentuojantys Registro duomenų ir Registro informacijos tvarkymo teisėtumą, Registro valdytojo ir tvarkytojų veiklą ir Registro duomenų ir Registro informacijos saugos valdymą.

II. REGISTRO DUOMENŲ IR REGISTRO INFORMACIJOS SAUGOS VALDYMAS

15. Atsižvelgiant į galimo Registro duomenų ir Registro informacijos savybių (vientisumo, konfidencialumo ir prieinamumo) praradimo pasekmes, Registras priskiriamas pirmajai informacinių sistemų kategorijai pagal Informacinių sistemų klasifikavimo gairių 3.1.1 punktą.

16. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Registro valdytojo rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats Saugos įgaliotinis.

17. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Registro duomenų ir Registro informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Registro duomenų ir Registro informacijos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų ir Registro informacijos vientisumui, konfidencialumui ir prieinamumui.

20. Siekiant užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kasmet organizuojamas Registro informacinių technologijų saugos atitikties vertinimas, kurio metu:

20.1. įvertinama Registro saugos dokumentų ir realios Registro duomenų ir Registro informacijos saugos situacijos atitiktis;

20.2. inventorizuojama Registro techninė ir programinė įranga;

20.3. patikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose Registro naudotojų kompiuterinėse darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

20.4. patikrinama (įvertinama) Registro naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

20.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus Registro duomenų ir Registro informacijos saugos incidentui;

20.6. nepriklausomų ekspertų atliekamas Lietuvos standarte LST ISO/IEC 27002:2009 nurodytų techninių saugos priemonių atitikties vertinimas.

21. Atlikus Registro informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. Registro darbui turi būti naudojama tik legali programinė įranga.

23. Tiesioginė prieiga prie Registro duomenų ir Registro informacijos suteikiama įgyvendinus Registro naudotojų autentifikavimo priemones. Tiesioginė prieiga prie Registro duomenų ir Registro informacijos užtikrinama automatiniu būdu visą parą, darbo ir poilsio dienomis.

24. Visos Registro tarnybinės stotys ir naudotojų kompiuterinės darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau, kaip kartą per parą.

25. Registro tarnybinėje stotyje ir Registro naudotojų kompiuterizuotose darbo vietose neturi veikti programinė įranga, nesusijusi su Registro duomenų, informacijos tvarkymu.

26. Registrui naudojamas Vidaus reikalų telekomunikacinis tinklas, už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas, turi būti atskirtas nuo kitų tinklų tinklo užkarda.

27. Registro naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius Registro duomenų ir Registro informacijos perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas Registro naudotojo tapatybės patvirtinimas ir Registro duomenų ir Registro informacijos šifravimas.

28. Registro duomenys ir Registro informacija perduodama automatiniu būdu naudojant TCP/IP, HTTP, HTTPS, FTP protokolus realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, duomenų perdavimo sąlygos ir tvarka.

29. Registro atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai nustatyti Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2012 m. gegužės 2 d. įsakymu Nr. 5V-39 patvirtintame Vidaus reikalų informacinės sistemos centrinio duomenų banko atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarkos apraše.

30. Registro duomenys ir Registro informacija, kurių saugojimo terminas yra pasibaigęs, arba klaidingi Registro duomenys ir Registro informacija, dėl kurių priimtas teismo sprendimas Registro duomenis ir Registro informaciją sunaikinti, sunaikinami pašalinant įrašą iš Registro duomenų bazės ir (ar) duomenų bazės archyvo. Sunaikinimas įforminamas duomenų sunaikinimo aktu, kuriame nurodoma:

30.1. naikinimo procedūrą atliekantis (atliekantys) asmuo (asmenys);

30.2. sunaikinamų duomenų apimtis;

30.3. duomenų sunaikinimo teisinis pagrindas.

IV. REIKALAVIMAI PERSONALUI

31. Visi Registro naudotojai privalo turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

32. Tvarkyti Registro duomenis ir Registro informaciją, Registrui pateiktus dokumentus ir (arba) jų kopijas gali tik Registro naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis jų reikalavimų.

33. Registro naudotojai privalo rūpintis Registro ir jose tvarkomų Registro duomenų ir Registro informacijos saugumu.

34. Registro naudotojams turi būti periodiškai, bet ne rečiau kaip kartą per metus, rengiami informacijos saugos mokymo kursai, įvairiais būdais primenama apie informacijos saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės priimtiems naujiems darbuotojams ir pan.). Informacijos saugos mokymo kursus organizuoja Saugos įgaliotinis.

35. Saugos įgaliotinis privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, informacijos saugos užtikrinimo principus bei saugos užtikrinimo metodus.

36. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais, išmanyti pagrindinius saugos politikos, darbo su duomenų perdavimo tinklais principus, užtikrinti jų saugumą.

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

37. Už Informacinių sistemų naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą yra atsakingas Saugos įgaliotinis. Saugos įgaliotinis raštu informuoja Registro naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių dokumentų pripažinimą netekusiais galios, keitimą ar priėmimą.

38. Registro naudotojai su Saugos nuostatais ir kitais saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai.

39. Saugos įgaliotinis tvarko Registro naudotojų supažindinimo su saugos dokumentais žurnalą, kuriame pildomos šios skiltys: supažindinimo data, Registro naudotojo vardas ir pavardė, pareigos, Registro naudotojo parašas.

40. Registro naudotojai, Saugos įgaliotinis ir administratorius, pažeidę Saugos nuostatų ir kitų saugos dokumentų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

VI. BAIGIAMOSIOS NUOSTATOS

41. Registro valdytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems Registro tvarkytojo pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.

_________________