Suvestinė redakcija nuo 2011-12-18
Įsakymas paskelbtas: Žin. 2007, Nr. 92-3722, i. k. 10711IKISAK000T-111
INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS
Į S A K Y M A S
DĖL REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. rugpjūčio 22 d. Nr. T-111
Vilnius
Įgyvendindamas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktą ir vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
2. Skiriu Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos Informacinių išteklių skyriaus vyriausiąją specialistę Reginą Kranauskienę Registrų sąrašo saugos įgaliotiniu.
Punkto pakeitimai:
Nr. T-109, 2010-07-02, Žin., 2010, Nr. 81-4272 (2010-07-10), i. k. 11022VPISAK000T-109
Nr. T-274, 2010-12-28, Žin., 2010, Nr. 157-8011 (2010-12-31), i. k. 11022VPISAK000T-274
Nr. T-222, 2011-12-12, Žin., 2011, Nr. 154-7339 (2011-12-17), i. k. 11122VPISAK000T-222
3. Pavedu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės Elektroninio parašo priežiūros skyriaus vyriausiajam specialistui Vaidotui Ramonui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus Registrų sąrašo duomenų tvarkymo taisykles, Registrų sąrašo veiklos tęstinumo valdymo planą ir Registrų sąrašo naudotojų administravimo taisykles.
4. Pripažįstu netekusiu galios Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2006 m. liepos 10 d. įsakymą Nr. T-60 „Dėl Registrų sąrašo duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 78-3093).
PATVIRTINTA
Informacinės visuomenės plėtros komiteto
prie Lietuvos Respublikos Vyriausybės
direktoriaus
2007 m. rugpjūčio 22 d. įsakymu Nr. T-111
REGISTRŲ SĄRAŠO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Registrų sąrašo duomenų saugos nuostatų (toliau vadinama – Saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Registrų sąrašo (toliau vadinama – Sąrašas) duomenų tvarkymą.
2. Sąrašo duomenų saugumo tikslai yra šie:
3. Sąrašo duomenų saugos prioritetinės kryptys – saugus duomenų teikimas Sąrašui, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus naudojimas.
4. Sąrašo valdytojas yra Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos (toliau – Komitetas), esantis Gedimino pr. 7, LT-01103 Vilniuje.
Punkto pakeitimai:
Nr. T-109, 2010-07-02, Žin., 2010, Nr. 81-4272 (2010-07-10), i. k. 11022VPISAK000T-109
Nr. T-222, 2011-12-12, Žin., 2011, Nr. 154-7339 (2011-12-17), i. k. 11122VPISAK000T-222
5. Sąrašo techninės įrangos administratorius – valstybės įmonė „Infostruktūra“, esanti Pilies g. 23/15, LT-01123 Vilniuje, kurios tarnybinėje stotyje duomenų bazių serveriuose patalpintos Sąrašo duomenų bazė ir jos valdymo programinės priemonės ir kuri užtikrina Sąrašo duomenų saugą pagal Valstybės institucijų kompiuterių tinklo paslaugų teikimo sutartį (2002 m. Nr. 02/10-10) su Sąrašo valdytoju ir valdo visą ryšio bei duomenų saugos užtikrinimo įrangą.
6. Saugos nuostatuose naudojamos sąvokos ir sutrumpinimai apibrėžti Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Registrų sąrašo nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2005 m. kovo 21 d. nutarimu Nr. 299 (Žin., 2005, Nr. 38-1232).
7. Sąrašui duomenis teikia valstybės ir žinybinių registrų (toliau vadinama – registrai) vadovaujančiosios tvarkymo įstaigos arba jų įgaliotos registrų tvarkymo įstaigos (toliau vadinama – Sąrašo duomenų teikėjai) Registrų sąrašo nuostatų nustatyta tvarka.
8. Sąrašo duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš šių etapų:
8.1. Sąrašo duomenų teikėjai teikia duomenis Sąrašui, užpildydami Komiteto nustatytą elektroninę duomenų teikimo formą, Registrų sąrašo nuostatuose nustatytais apimtimi, reguliarumu ir terminais;
10. Komiteto direktorius tvirtina šiuos saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai):
11. Komitetas pagal Registrų sąrašo nuostatus įgaliotas tvarkyti Sąrašą ir duomenis, teikti informaciją ir paslaugas.
13. Saugos įgaliotinis organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:
13.1. teikia Komiteto direktoriui pasiūlymus dėl:
13.2. koordinuoja Sąrašo duomenų saugos incidentų tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);
14. Administratorius atlieka šias funkcijas:
14.2. administruoja aptarnaujančių Sąrašą Komiteto valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau vadinama – aptarnaujantys Sąrašą darbuotojai), teises tvarkant Sąrašą;
15. Administratorius atsako už tai, kad tvarkant Sąrašą nebūtų pažeisti Saugos nuostatai ir kiti Sąrašo duomenų saugą reglamentuojantys teisės aktai.
16. Saugų Sąrašo duomenų tvarkymą reglamentuoja:
16.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
16.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;
16.3. Lietuvos standartai LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai;
II. SĄRAŠO DUOMENŲ SAUGOS VALDYMAS
17. Sąrašas priskirtinas trečiajai kategorijai, suteikiamai informacinei sistemai, kurioje nors vienos tvarkomos duomenų grupės vienos ar daugiau savybių praradimas gali turėti neigiamą įtaką valstybės institucijos ar įstaigos veiklai, kaip nustatyta Informacijos klasifikavimo pagal duomenų grupes rekomendacijose, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2003 m. sausio 27 d. įsakymu Nr. 1V-33 (Žin., 2003, Nr. 77-3541).
19. Pagrindiniai rizikos veiksniai, kurie gali pažeisti duomenų ir parengtos pagal juos informacijos saugą, yra:
19.3. nepakankama pateiktų į duomenų arba parengtos pagal juos informacijos kokybė, dėl kurios jais visai negalima naudotis arba galima tiktai iš dalies;
20. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per metus organizuoja Sąrašo saugumo auditą, kurio metu:
20.3. patikrinama Sąrašo tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;
20.4. patikrinama Sąrašo duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;
20.5. įvertinamas Sąrašo administratoriaus pasiruošimas atkurti Sąrašo veikimą įvykus nenumatytoms situacijoms;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Prieigai prie Sąrašo duomenų bazės suteikiami aptarnaujančių Sąrašą darbuotojų ir Sąrašo administratoriaus registracijos vardai ir slaptažodžiai.
24. Aptarnaujantys Sąrašą darbuotojai vadovaujasi Registrų sąrašo nuostatais, Saugos nuostatais ir saugos dokumentais.
IV. REIKALAVIMAI PERSONALUI
26. Komiteto direktoriaus įsakymu nustatomi ir tvirtinami kvalifikaciniai reikalavimai, kuriuos turi atitikti aptarnaujantys Sąrašą darbuotojai.
27. Komitetas užtikrina, kad aptarnaujantys Sąrašą darbuotojai būtų tinkamai parengti, apmokyti bei informuoti, ir reguliariai organizuoja būtinus jų mokymus ir kitas jų kvalifikacijos kėlimo priemones.
28. Saugos įgaliotinis mažiausiai kartą per metus inicijuoja aptarnaujančių Sąrašą darbuotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).
V. SĄRAŠO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
VI. NUOSTATŲ ATNAUJINIMO TVARKA
VII. BAIGIAMOSIOS NUOSTATOS
32. Aptarnaujantys Sąrašą darbuotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja Sąrašo duomenų tvarkymą ir saugą.
33. Duomenys apie aptarnaujančius Sąrašą darbuotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko Sąrašo administratorius, vadovaudamasis įstatymais ir kitais teisės aktais.
34. Komitetas privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti Sąrašo duomenų saugą.
35. Saugos nuostatuose aprašytos Komiteto funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.
Pakeitimai:
1.
Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos, Įsakymas
Nr. T-109, 2010-07-02, Žin., 2010, Nr. 81-4272 (2010-07-10), i. k. 11022VPISAK000T-109
Dėl Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2007 m. rugpjūčio 22 d. įsakymo Nr. T-111 "Dėl Registrų sąrašo duomenų saugos nuostatų patvirtinimo" pakeitimo
2.
Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos, Įsakymas
Nr. T-274, 2010-12-28, Žin., 2010, Nr. 157-8011 (2010-12-31), i. k. 11022VPISAK000T-274
Dėl Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2007 m. rugpjūčio 22 d. įsakymo Nr. T-111 "Dėl Registrų sąrašo duomenų saugos nuostatų patvirtinimo" pakeitimo
3.
Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos, Įsakymas
Nr. T-222, 2011-12-12, Žin., 2011, Nr. 154-7339 (2011-12-17), i. k. 11122VPISAK000T-222
Dėl Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2007 m. rugpjūčio 22 d. įsakymo Nr. T-111 "Dėl Registrų sąrašo duomenų saugos nuostatų patvirtinimo" pakeitimo