VALSTYBĖS TARNYBOS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIUS

 

Į S A K Y M A S

DĖL VALSTYBĖS TARNAUTOJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2005 m. lapkričio 21 d. Nr. 27V-76

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:

1. Tvirtinu Valstybės tarnautojų registro duomenų saugos nuostatus (pridedama).

2. Skiriu Valstybės tarnybos departamento prie Vidaus reikalų ministerijos Registro ir analizės skyriaus vedėją Laimą Tuleikienę Valstybės tarnautojų registro saugos įgaliotiniu.

3. Įpareigoju Valstybės tarnautojų registro saugos įgaliotinį per 1 mėnesį nuo šio įsakymo įsigaliojimo parengti ir pateikti tvirtinti Detaliąsias darbo su Valstybės tarnautojų registro duomenimis taisykles, Nenumatytų situacijų valdymo planą bei atlikti rizikos veiksnių analizę.

4. Įpareigoju Valstybės tarnybos departamento prie Vidaus reikalų ministerijos Registro ir analizės skyrių inicijuoti duomenų saugos mokymus Valstybės tarnautojų registro vartotojams.

 

 

DIREKTORIUS                                                                                  OSVALDAS ŠARMAVIČIUS

 

 

PATVIRTINTA

Valstybės tarnybos departamento prie Lietuvos

Respublikos vidaus reikalų ministerijos

direktoriaus 2005 m. lapkričio 21 d. įsakymu

Nr. 27V-76

 

VALSTYBĖS TARNAUTOJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. Bendrosios nuostatos

 

1. Valstybės tarnautojų registro (toliau – VATARAS) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti VATARAS duomenis.

2. Vadovaujančioji VATARAS tvarkymo įstaiga yra Valstybės tarnybos departamentas prie Vidaus reikalų ministerijos. Vadovaujančioji VATARAS tvarkymo įstaiga yra VATARAS valdytoja.

3. Saugos nuostatai kartu su vadovaujančiosios VATARAS tvarkymo įstaigos tvirtinamomis rizikos ataskaita, Nenumatytų situacijų valdymo planu bei detaliosiomis darbo su VATARAS duomenimis taisyklėmis apibrėžia VATARAS saugumo politiką (toliau – saugumo politika).

 

II. VATARAS apibūdinimas

 

4. Šie nuostatai reglamentuoja automatizuotą VATARAS duomenų apdorojimą ir yra privalomi visiems VATARAS duomenų teikėjams, gavėjams ir naudotojams (toliau – VATARAS vartotojas).

5. VATARAS – sistema, skirta rinkti, kaupti, apdoroti, sisteminti, saugoti, naudoti ir teikti Lietuvos Respublikos valstybės tarnybos įstatyme ir su juo susijusiuose teisės aktuose nustatytus duomenis valstybės ir savivaldybių institucijoms ir įstaigoms, valstybės registrams, kitiems juridiniams ir fiziniams asmenims įstatymų ir kitų teisės aktų nustatyta tvarka.

6. VATARAS tvarkomos šios duomenų grupės:

6.1. įstaigų struktūros ir valstybės tarnautojų pareigos;

6.2. valstybės tarnautojai, išskyrus operatyvinės veiklos subjektus, kurių duomenis saugo specialius valstybės įgaliojimus turinčios valstybės institucijos, nustatytos Lietuvos Respublikos operatyvinės veiklos įstatymo (Žin., 2002, Nr. 65-2633) 3 straipsnio 3 dalyje;

6.3. darbuotojai, dirbantys valstybės ir savivaldybių institucijose ir įstaigose pagal darbo sutartis ir gaunantys darbo užmokestį iš Lietuvos Respublikos valstybės biudžeto, savivaldybių biudžetų ir valstybės pinigų fondų;

6.4. asmenys, turintys aukštąjį išsilavinimą viešojo administravimo srityje;

6.5. asmenys, kuriems teismas yra atėmęs teisę eiti valstybės tarnautojo pareigas.

7. VATARAS priskiriama trečiajai informacinės sistemos kategorijai.

8. VATARAS sudaro šios posistemės ir paslaugos:

8.1. VATARAS tvarkymo įstaigų posistemė, skirta VATARAS tvarkymo įstaigų funkcijoms, nustatytoms VATARAS nuostatuose, vykdyti;

8.2. VATARAS administratoriaus posistemė, per kurią įgyvendinama VATARAS priežiūra ir VATARAS naudotojų teisių valdymas.

9. Saugų VATARAS duomenų tvarkymą reglamentuoja:

9.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

9.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);

9.3. Lietuvos standartas LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

9.4. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, vadovaujančiosios VATARAS tvarkymo įstaigos veiklą bei duomenų saugos valdymą.

 

III. Duomenų saugos organizavimas ir nenumatytų situacijų valdymas

 

10. Už VATARAS duomenų tvarkymo teisėtumą ir duomenų saugą atsako vadovaujančioji VATARAS tvarkymo įstaiga ir VATARAS tvarkymo įstaigos savo įgaliojimų ribose.

11. Už VATARAS saugumo politikos įgyvendinimą ir kontrolę atsako vadovaujančiosios VATARAS tvarkymo įstaigos skiriamas saugos įgaliotinis.

12. Saugos įgaliotinis teikia siūlymus vadovaujančiosios VATARAS tvarkymo įstaigos vadovui dėl atskirų VATARAS posistemių ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

13. VATARAS vartotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius ir būti susipažinę su šiais nuostatais ir kitais dokumentais, reglamentuojančiais duomenų saugą.

14. Saugos įgaliotinis privalo turėti aukštąjį universitetinį išsilavinimą bei ne mažesnę kaip 5 metų darbo patirtį informacinių technologijų srityje, būti susipažinęs su teisės aktais, Lietuvos ir tarptautiniais standartais, reglamentuojančiais saugų duomenų tvarkymą. Turėti patirties dirbant su skaitmeniniais sertifikatais, pagrįstais Public Key technologijomis.

15. VATARAS administratorius turi išmanyti darbą su kompiuteriniais tinklais, mokėti užtikrinti jų saugumą, taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes ir būti susipažinęs su šiais nuostatais ir kitais dokumentais, reglamentuojančiais duomenų saugą.

16. VATARAS vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamos posistemės arba funkcijos administratoriui, kuris apie tai informuoja saugos įgaliotinį, o nesant administratoriaus – saugos įgaliotiniui.

17. VATARAS vartotojų veiksmus esant nenumatytai situacijai reglamentuoja nenumatytų situacijų valdymo planas, kurį vadovaujančios VATARAS tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis.

 

IV. Rizikos įvertinimas ir detali darbo tvarka

 

18. Pagrindinės VATARAS rizikos mažinimo priemonės išdėstomos rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs Bendrųjų duomenų saugos reikalavimų 10 punkte nustatytus rizikos veiksnius. Rizikos ataskaitą tvirtina vadovaujančiosios VATARAS tvarkymo įstaigos vadovas.

19. Konkrečios VATARAS duomenų tvarkymo ir saugumo procedūros išdėstomos saugos įgaliotinio parengtose ir vadovaujančiosios VATARAS tvarkymo įstaigos vadovo tvirtinamose detaliosiose darbo su VATARAS duomenimis taisyklėse.

 

V. VATARAS vartotojų atsakomybė

 

20. VATARAS vartotojai privalo rūpintis VATARAS bei jame tvarkomų duomenų saugumu.

21. Tvarkyti VATARAS duomenis gali tik VATARAS vartotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

22. VATARAS vartotojų supažindinimą su nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

23. VATARAS vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

24. VATARAS vartotojai, pažeidę Saugos nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VI. SAUGOS Nuostatų atnaujinimo tvarka

 

25. Saugos įgaliotinis, siekdamas užtikrinti VATARAS ir joje tvarkomų duomenų saugumą, teikia siūlymus vadovaujančios VATARAS tvarkymo įstaigos vadovui dėl Saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

26. Saugos nuostatai ir kiti VATARAS saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant Saugos nuostatų VII skirsnyje nurodytą auditą.

 

VII. Baigiamosios nuostatos

 

27. Siekiant užtikrinti Saugos nuostatuose ir kituose VATARAS saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą vadovaujančiojoje VATARAS tvarkymo įstaigoje bei pasirinktose VATARAS tvarkymo įstaigose, kurio metu:

27.1. įvertinama Saugos nuostatų ir kitų VATARAS saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;

27.2. inventorizuojama VATARAS techninė ir programinė įranga;

27.3. tikrinamos ne mažiau kaip 10-yje procentų VATARAS vartotojų kompiuterinių darbo vietų ir visuose paslaugų kompiuteriuose įdiegtos programos ir jų konfigūracija;

27.4. peržiūrima VATARAS vartotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

27.5. įvertinamas pasiruošimas VATARAS veiklos atkūrimui nenumatytose situacijose.

28. Atlikęs auditą saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato vadovaujančiosios VATARAS tvarkymo įstaigos vadovas.

 

______________