INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS

 

Į S A K Y M A S

DĖL INFORMACIJOS RINKMENŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. liepos 10 d. Nr. T-61

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511):

1. Tvirtinu Informacijos rinkmenų sąrašo duomenų saugos nuostatus (pridedama).

2. Skiriu Informacinės visuomenės plėtros komiteto Elektroninio parašo priežiūros skyriaus vyriausiąjį specialistą Vaidotą Ramoną Informacijos rinkmenų sąrašo duomenų saugos įgaliotiniu.

3. Pavedu Informacinės visuomenės plėtros komiteto Elektroninio parašo priežiūros skyriaus vyriausiajam specialistui Vaidotui Ramonui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus darbo su Informacijos rinkmenų sąrašo duomenimis taisykles, Nenumatytų situacijų valdymo planą ir Rizikos ataskaitą.

 

 

DIREKTORIAUS PAVADUOTOJAS

L. E DIREKTORIAUS PAREIGAS                                                          EDMUNDAS ŽVIRBLIS

 

SUDERINTA

Vidaus reikalų ministerijos

2006-06-19 raštu Nr. 1D-4383-(13)

______________

PATVIRTINTA

Informacinės visuomenės plėtros komiteto

prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 10 d. įsakymu

Nr. T-61

 

INFORMACIJOS RINKMENŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Informacijos rinkmenų sąrašo duomenų saugos nuostatų (toliau vadinama – šie nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti informacijos rinkmenų sąrašo (toliau vadinama – Sąrašas) duomenis.

2. Šie nuostatai yra parengti vadovaujantis:

2.1. Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45);

2.2. Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511);

2.3. Lietuvos standartais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą ir duomenų saugos valdymą.

3. Šie nuostatai kartu su Saugaus darbo su Informacijos rinkmenų sąrašo duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu ir Rizikos ataskaita apibrėžia sistemos saugumo politiką (toliau vadinama – saugumo politika).

4. Šiuose nuostatuose vartojamos sąvokos atitinka Teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatyme (Žin., 2000, Nr. 10-236; 2005, Nr. 139-5008) ir Informacijos rinkmenų sąrašo nuostatuose vartojamas sąvokas.

 

II. SĄRAŠO APIBŪDINIMAS

 

5. Šie nuostatai reglamentuoja automatizuotą Sąrašo duomenų tvarkymą ir yra privalomi Sąrašo valdytojo ir kitų valstybės ir savivaldybių institucijų ir įstaigų (toliau vadinama – Įstaiga) tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, Sąrašo valdytojo ir kitų įstaigų vadovų paskirtiems administruoti ir tvarkyti Sąrašą bei užtikrinti jo saugą.

6. Sąrašas yra valstybės informacinė sistema, tvarkoma automatiniu būdu. Sąrašo objektai yra Įstaigose elektroninėmis priemonėmis tvarkomos informacijos rinkmenos.

7. Sąraše tvarkomos šios duomenų grupės:

7.1. informacijos rinkmenas apibūdinantys duomenys;

7.2. duomenys apie Įstaigas;

7.3. informacijos rinkmenos įrašymo į Sąrašą duomenys;

7.4. Už Sąrašo tvarkymą atsakingų asmenų duomenys;

7.5. klasifikatoriai, naudojami tvarkant Sąrašą.

8. Sąrašą sudaro šios posistemės:

8.1. duomenų tvarkymo posistemė, kuri skirta rengti informacijos rinkmenų aprašymus, patikrinti, įrašyti į Sąrašą, įrašyti pakeitimus, taisyti klaidas;

8.2. administravimo posistemė, per kurią įgyvendinama Sąrašo priežiūra, klasifikatorių tvarkymas ir Sąrašo duomenų tvarkytojų teisių valdymas;

8.3. duomenų archyvo posistemė, kuri skirta tvarkyti Sąrašo duomenis, perkeltus į archyvą, ir Sąrašo duomenų tvarkytojų veiksmų archyvą;

8.4. duomenų naudojimo posistemė, skirta fiziniams ir juridiniams asmenims teikti Sąrašo duomenis ir statistines ataskaitas internetu.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

9. Už Sąrašo duomenų tvarkymo teisėtumą atsako Sąrašo valdytojas.

10. Sąrašo valdytojo įstaigos vadovas skiria saugos įgaliotinį, atsakingą už Sąrašo saugumo politikos įgyvendinimą ir kontrolę, bei administratorių. Kitų Įstaigų vadovai skiria Sąrašo duomenų tvarkytojus. Sąrašo saugos įgaliotinis, administratorius savo parašais patvirtina susipažinę su šiais nuostatais ir kitais saugos politiką nustatančiais teisės aktais. Sąrašo duomenų tvarkytojai raštu patvirtina susipažinę su šiais nuostatais.

11. Saugos įgaliotinis teikia siūlymus Sąrašo valdytojo įstaigos vadovui dėl Sąrašo administratoriaus, kuris už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

12. Sąrašo administratorius turi išmanyti darbą kompiuterių tinklais, mokėti užtikrinti jų saugumą, mokėti administruoti ir prižiūrėti duomenų bazes ir būti susipažinęs su šiais nuostatais ir kitais dokumentais, reglamentuojančiais duomenų saugą.

13. Sąrašo duomenų tvarkytojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai informuoti Sąrašo administratorių, kuris apie tai informuoja saugos įgaliotinį, o nesant Sąrašo administratoriaus – saugos įgaliotinį.

14. Sąrašo duomenų tvarkytojai turi turėti atitinkamą kvalifikaciją ir patirties, leidžiančios rengti ir internetu teikti Sąrašui informacijos rinkmenų aprašymo duomenis.

15. Saugos įgaliotinis ir administratorius turi būti susipažinę su visomis duomenų saugos priemonėmis, sugebėti atstatyti pažeistus duomenis, konsultuoti Sąrašo duomenų tvarkytojus duomenų saugos klausimais.

16. Saugos įgaliotinio ir administratoriaus veiksmus, esant nenumatytai situacijai, reglamentuoja Nenumatytų situacijų valdymo planas (toliau vadinama – planas), kurį Sąrašo valdytojo įstaigos vadovui teikia tvirtinti saugos įgaliotinis. Plano nuostatos pagrįstos šiais principais:

16.1. būtina užtikrinti Sąrašo administratoriaus ir saugos įgaliotinio gyvybės ir sveikatos apsaugą bei saugumą, kol trunka nenumatyta situacija ir likviduojami avarijos padariniai;

16.2. paskelbus apie avariją, organizuojamas Sąrašo veiklos atstatymas. Atsiradus sutrikimams, atstatymas organizuojamas tik pagal planą, kai pirmiausia atkuriamos pagrindinės Sąrašo funkcijos;

16.3. saugos įgaliotiniui ir administratoriui turi būti nuolat rengiami duomenų saugos mokymai, o Sąrašo duomenų tvarkytojams įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės naujai priimtiems darbuotojams ir pan.).

17. Sąrašo duomenų tvarkytojai, administratorius ir saugos įgaliotinis, pažeidę šių nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

18. Pagrindinės Sąrašo rizikos mažinimo priemonės išdėstomos Rizikos ataskaitoje, kurią, įvertinęs šių nuostatų 2.1. punkte nurodytų Bendrųjų duomenų saugos reikalavimų 10 punkte išvardytus rizikos veiksnius, rengia ir teikia tvirtinti Sąrašo valdytojo įstaigos vadovui saugos įgaliotinis.

19. Konkrečios Sąrašo duomenų tvarkymo ir saugumo procedūros išdėstytos saugos įgaliotinio parengtose ir Sąrašo valdytojo įstaigos vadovo patvirtintose Saugaus darbo su Sąrašo duomenimis taisyklėse.

 

V. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

20. Saugos įgaliotinis, siekdamas užtikrinti Sąrašo ir jame tvarkomų duomenų saugumą, teikia siūlymus Sąrašo valdytojo įstaigos vadovui dėl šių nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

21. Šie nuostatai ir kiti Sąrašo saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių nuostatų VII skirsnyje nurodytą auditą.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

22. Siekiant užtikrinti šiuose nuostatuose ir kituose Sąrašo saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis Sąrašo valdytojo įstaigoje kasmet organizuoja auditą, kurio metu:

22.1. įvertinama šių nuostatų ir kitų Sąrašo saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;

22.2. inventorizuojama Sąrašo techninė ir programinė įranga;

22.3. tikrinama Sąrašo administratoriaus kompiuterinė darbo vieta, joje įdiegtos programos ir jų konfigūracija;

22.4. peržiūrima Sąrašo administratoriui ir duomenų tvarkytojams suteiktų teisių atitiktis vykdomoms funkcijoms;

22.5. įvertinamas pasirengimas atkurti Sąrašo veiklą nenumatytose situacijose;

22.6. atliekama rizikos analizė ir atitinkamai koreguojama Rizikos ataskaita.

23. Atlikęs auditą saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Sąrašo valdytojo įstaigos vadovas.

______________