PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO PRIE VIDAUS REIKALŲ MINISTERIJOS DIREKTORIUS

 

Į S A K Y M A S

DĖL VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. lapkričio 6 d. Nr. 1-419

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:

1. Tvirtinu Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatus (pridedama).

2. Skiriu Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus vyriausiąjį specialistą Viačeslavą Jabluniną Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotiniu.

3. Įpareigoju Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotinį Viačeslavą Jabluniną:

3.1. iki 2007 m. balandžio 1 d. parengti ir pateikti man tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Detalius saugaus darbo su duomenimis procedūrų aprašymus. Patvirtintų dokumentų kopijas pristatyti Vidaus reikalų ministerijai;

3.2. inicijuoti duomenų saugos mokymus Valstybinės reikšmės ir pavojingų objektų registro tvarkytojams ir vartotojams.

 

 

DIREKTORIUS                                                                                           REMIGIJUS BANIULIS

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2006 m. spalio 30 d. raštu Nr. 1D-7839 (13)

______________

 

 

 


PATVIRTINTA

Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2006 m.

lapkričio 6 d. įsakymu Nr. 1-419

 

VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų Registro duomenų tvarkymą.

2. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.

3. Registro tvarkymo įstaigos yra:

3.1. vadovaujančioji registro tvarkymo įstaiga – Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos (toliau vadinama – Priešgaisrinės apsaugos ir gelbėjimo departamentas). Jis kartu atlieka ir registro tvarkymo įstaigos funkcijas;

3.2. teritorinės registro tvarkymo įstaigos – apskričių viršininkų administracijos.

 

4. Saugos nuostatai reglamentuoja Registro duomenų apdorojimą automatizuotu būdu ir yra privalomi visiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis.

5. Šie Saugos nuostatai kartu su Priešgaisrinės apsaugos ir gelbėjimo departamento direktoriaus tvirtinama Rizikos ataskaita, Nenumatytų situacijų valdymo planu, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).

6. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, Registro tvarkymo įstaigų veiklą, duomenų saugos valdymą.

7. Saugos nuostatuose vartojamos sąvokos atitinka Registro nuostatuose vartojamas sąvokas.

 

II. REGISTRO SISTEMOS APIBŪDINIMAS

 

8. Registro paskirtis – registruoti Registro objektus, rinkti, kaupti, apdoroti, sisteminti, saugoti, naudoti ir teikti duomenis ir dokumentus, atlikti kitus duomenų tvarkymo veiksmus.

9. Registro objektai – valstybinės reikšmės ir pavojingi objektai.

10. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji ir specifiniai (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.

11. Registro duomenų bazę sudaro šie posistemiai:

11.1. Administravimo posistemis, skirtas Registro informacinei sistemai stebėti, Registro duomenų gavėjams bei jų grupėms registruoti ir administruoti, teikti Registro duomenų gavėjams kodus bei pradinius slaptažodžius;

11.2. Išorinis anketinių duomenų įvedimo ir tikslinimo posistemis, skirtas teritorinėms Registro tvarkymo įstaigoms tvarkyti Registro objektų anketinius duomenis;

11.3. Vidinis anketinių duomenų registravimo ir tikslinimo posistemis, skirtas Priešgaisrinės apsaugos ir gelbėjimo departamentui tvarkyti Registro objektų anketinius duomenis;

11.4. Vidinis geografinių duomenų įvedimo ir tikslinimo posistemis, skirtas Priešgaisrinės apsaugos ir gelbėjimo departamentui tvarkyti Registro objektų geografinius duomenis;

11.5. Duomenų mainų posistemis, skirtas duomenims iš kitų valstybės registrų ir informacinių sistemų bei duomenų teikėjų gauti;

11.6. Anketinių duomenų teikimo posistemis, skirtas anketiniams duomenims apie Registro objektą teikti;

11.7. Geografinių duomenų teikimo posistemis, skirtas geografiniams duomenims apie Registro objektą teikti;

11.8. Duomenų analizės posistemis, skirtas įvairiapusei Registro objektų duomenų analizei atlikti ir duomenų gavėjams pateikti;

11.9. Prognozavimo posistemis, skirtas ekstremalių situacijų (cheminės taršos ir užliejamų teritorijų) prognozavimui atlikti.

12. Duomenų sauga Registre užtikrinama vadovaujantis:

12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924; 2003, Nr. 15-597);

12.2. Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45);

12.3. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

12.4. Valstybinės reikšmės ir pavojingų objektų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 (Žin., 2000, Nr. 98-3117; 2006, Nr. 97-3783);

12.5. Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511);

12.6. Lietuvos standartu LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

12.7. šiais Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, Registro tvarkymo įstaigų veiklą bei duomenų saugos valdymą.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

13. Už Registro duomenų saugą atsako registro tvarkymo įstaigos.

14. Priešgaisrinės apsaugos ir gelbėjimo departamento direktorius skiria Registro saugos įgaliotinį bei Registro administratorių.

15. Registro saugos įgaliotiniu skiriamas vienas iš Priešgaisrinės apsaugos ir gelbėjimo departamento Informacinių technologijų ir ryšių skyriaus darbuotojų, kuris yra atsakingas už saugumo politikos organizavimą ir kontrolę.

16. Saugos įgaliotinis teikia siūlymus Registro tvarkytojui dėl atskirų sistemos posistemių ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

17. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, būti susipažinęs su Registro duomenų tvarkymą reglamentuojančiais teisės aktais, standartais bei kitais dokumentais ir žinoti jų esminius reikalavimus, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

18. Registro administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugumo politika ir teisės aktais, reglamentuojančiais duomenų tvarkymą sistemoje, taip pat kitomis vidaus ir darbo saugos tvarkomis.

19. Registro tvarkytojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių procedūrų, Registro tvarkymo taisyklių nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.

20. Duomenų gavėjai ir duomenų teikėjai, kurie naudosis Registro duomenimis (toliau -Registro vartotojai) privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, būti susipažinę su Registro nuostatais ir saugumo politiką reglamentuojančiais dokumentais.

21. Registro tvarkytojai ir Registro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro saugos įgaliotiniui ir/arba Registro administratoriui.

22. Esant nenumatytai situacijai Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų ir Registro vartotojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

23. Priemonės rizikai mažinti kas metai turi būti peržiūrimos ir išdėstomos Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, vadovaudamasis Rizikos analizės vadovu, įvertindamas Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 10 punkte išvardytus rizikos veiksnius.

24. Priešgaisrinės apsaugos ir gelbėjimo departamento direktoriaus patvirtintoje Rizikos ataskaitoje išdėstytos priemonės rizikai mažinti taikomos Registro saugos įgaliotiniui, Registro administratoriui, taip pat visiems Registro tvarkytojams ir Registro vartotojams, jų kompiuterinėms darbo vietoms, taip pat sistemos administravimo kompiuterinėms darbo vietoms.

25. Registro duomenų tvarkymo ir saugumo procedūros išdėstomos Priešgaisrinės apsaugos ir gelbėjimo departamento direktoriaus patvirtintose Saugaus darbo su duomenimis taisyklėse, kurias rengia Registro saugos įgaliotinis.

 

V. REGISTRO TVARKYTOJŲ IR VARTOTOJŲ ATSAKOMYBĖ

 

26. Registro tvarkytojai, Registro administratoriai, Registro saugos įgaliotinis ir Registro vartotojai privalo rūpintis Registro duomenų saugumu.

27. Registro duomenis tvarkyti gali tik tie asmenys, kurie susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.

28. Registro tvarkytojai, Registro vartotojai ir Registro administratorius supažindinami su saugumo politiką reglamentuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą pasirašytinai Registro saugos įgaliotinio.

29. Registro saugos įgaliotinis organizuoja Registro administratorių, Registro tvarkytojų ir Registro vartotojų kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

30. Registro tvarkytojai, Registro vartotojai, Registro administratoriai, Registro saugos įgaliotinis, pažeidę saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

 

VI. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

31. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Priešgaisrinės apsaugos ir gelbėjimo departamento direktoriui dėl saugumo politiką reglamentuojančių teisės aktų priėmimo, papildymo ar pakeitimo.

32. Saugumo politiką reglamentuojantys teisės aktai peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atliekant 33 punkte nurodytą auditą.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

33. Siekiant užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Registro saugos įgaliotinis kasmet organizuoja auditą, kurio metu:

33.1. įvertinama saugos politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;

33.2. inventorizuojama Registro techninė ir programinė įranga;

33.3. tikrinama ne mažiau kaip 10 procentų Registro administratorių, Registro tvarkytojų ir Registro vartotojų kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;

33.4. peržiūrima Registro administratoriui, Registro tvarkytojams, Registro vartotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

33.5. įvertinamas pasirengimas atkurti Registro veiklą nenumatytomis situacijomis;

33.6. atliekama rizikos analizė ir Saugos nuostatuose nustatyta tvarka koreguojama Rizikos ataskaita.

 

34. Atlikus auditą rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Priešgaisrinės apsaugos ir gelbėjimo departamento direktorius.

______________