LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

Į S A K Y M A S

DĖL MIRTIES ATVEJŲ IR JŲ PRIEŽASČIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2009 m. rugsėjo 29 d. Nr. V-819

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 ir 15 punktais, Mirties atvejų ir jų priežasčių valstybės registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2009 m. liepos 8 d. nutarimu Nr. 709 (Žin., 2009, Nr. 84-3517), 53 punktu ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. T v i r t i n u Mirties atvejų ir jų priežasčių valstybės registro duomenų saugos nuostatus (pridedama).

2. P a v e d u Higienos instituto direktoriui Remigijui Jankauskui:

2.1. paskirti Mirties atvejų ir jų priežasčių valstybės registro saugos įgaliotinį ir administratorių;

2.2. iki 2009 m. spalio 1 d. parengti:

2.2.1. Mirties atvejų ir jų priežasčių valstybės registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.2.2. Mirties atvejų ir jų priežasčių valstybės registro veiklos tęstinumo valdymo plano projektą;

2.2.3. Mirties atvejų ir jų priežasčių valstybės registro naudotojų administravimo taisyklių projektą.

SVEIKATOS APSAUGOS MINISTRAS ALGIS ČAPLIKAS

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos

ministro 2009 m. rugsėjo 29 d. įsakymu

Nr. V-819

MIRTIES ATVEJŲ IR JŲ PRIEŽASČIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Mirties atvejų ir jų priežasčių valstybės registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – užtikrinti saugų Mirties atvejų ir jų priežasčių valstybės registro (toliau – Registras) duomenų tvarkymą ir apdorojimą automatiniu būdu.

2. Saugos nuostatai reglamentuoja elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro naudotojų supažindinimo su saugos dokumentais principus.

3. Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891; 2008, Nr. 85-3393) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose vartojamas sąvokas bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose, apibūdinančiuose saugų informacinės sistemos duomenų tvarkymą.

4. Saugos nuostatai kartu su Registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Registro veiklos tęstinumo valdymo planu bei Registro naudotojų administravimo taisyklėmis apibrėžia registro duomenų saugumo politiką (toliau vadinama – Saugumo politika).

5. Registro duomenų saugos tikslai:

5.1. informacijos patikimumo, vientisumo, konfidencialumo, prieinamumo ir saugumo užtikrinimas;

5.2. kompiuterizuotų darbo vietų reikiamo saugumo lygio įdiegimas ir palaikymas;

5.3. nuolatinis vietinio kompiuterių tinklo funkcionavimo užtikrinimas bei saugumo stebėsena;

5.4. tinkamo kompiuterinės, programinės ir ryšių įrangos funkcionavimo užtikrinimas;

5.5. kompiuterinio ryšio priimant ir perduodant informaciją elektroniniu būdu patikimumo ir saugumo užtikrinimas.

6. Duomenų saugumo užtikrinimo prioritetinės kryptys:

6.1. fizinė informacijos apdorojimo priemonių (bendra patalpų, serverių ir vietinio tinklo, naudotojų kompiuterinės technikos, programinės įrangos, duomenų) apsauga;

6.2. organizacinių saugaus darbo su informacija priemonių įgyvendinimas ir kontrolė.

7. Vadovaujančioji Registro tvarkymo įstaiga Lietuvos Respublikos sveikatos apsaugos ministerija, Vilniaus g. 33, LT-01506 Vilnius. Registro tvarkymo įstaiga Higienos institutas, Didžioji g. 22, LT-01128 Vilnius.

8. Lietuvos Respublikos sveikatos apsaugos ministerijos funkcijos ir atsakomybė:

8.1. organizuoja ir vadovauja Registro veiklai;

8.2. priima sprendimus dėl Registro techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;

8.3. tvirtina teisės aktus, nustatančius saugų Registro duomenų tvarkymą;

8.4. prižiūri saugos dokumentų reikalavimų įgyvendinimą;

8.5. priima sprendimą dėl Registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

8.6. užtikrina efektyvų ir spartų Registro funkcijų pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymą;

8.7. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, šiais Saugos nuostatais ir kitais teisės aktais;

8.8. atlieka kitas Saugos nuostatų, Saugos reikalavimų, registro nuostatų ir kitų teisės aktų nustatytas funkcijas;

8.9. atsako už Registro duomenų tvarkymo teisėtumą ir duomenų saugą.

9. Higienos instituto kaip Registro tvarkymo įstaigos funkcijos ir atsakomybė:

9.1. Lietuvos Respublikos sveikatos apsaugos ministerijai pavedus, skiria saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos dokumentų įgyvendinimą;

9.2. skiria administratorių ir paveda jam užtikrinti Registro serverio ir Registro naudotojų kompiuterizuotų darbo vietų saugų funkcionavimą, administruoti Registro duomenų bazę saugos dokumentų ir kitų teisės aktų nustatyta tvarka;

9.3. atlieka duomenų bazių techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;

9.4. įgyvendina tinkamas organizacines ir technines priemones, skirtas duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

9.5. užtikrina, kad Registro tvarkymo įstaigos darbuotojai, turintys teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti (toliau – Naudotojai), laikosi reikalavimų nustatytų Saugos nuostatuose bei kituose saugos politiką įgyvendinančiuose teisės aktuose;

9.6. teikia siūlymus vadovaujančiajai Registro tvarkymo įstaigai dėl Registro eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą ir modernizavimą, pagal kompetenciją atlieka Registro techninės, programinės įrangos priežiūros ir tobulinimo darbus;

9.7. atsako už Registro duomenų tvarkymo teisėtumą ir duomenų saugą bei Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems Saugos nuostatams.

10. Saugos įgaliotinis įgyvendindamas Registro elektroninės informacijos saugą atlieka šias funkcijas:

10.1. teikia Higienos instituto direktoriui pasiūlymus dėl:

10.1.1. administratoriaus paskyrimo;

10.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

10.1.3. saugos reikalavimų atitikties vertinimo atlikimo;

10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą;

10.3. teikia administratoriui privalomus vykdyti nurodymus bei pavedimus;

10.4. konsultuoja naudotojus saugaus duomenų tvarkymo klausimais;

10.5. inicijuoja Registro naudotojų mokymą duomenų saugos klausimais, informuoja juos apie informacijos saugos problematiką;

10.6. kasmet organizuoja Registro rizikos įvertinimą;

10.7. atsako už duomenų saugumo politikos įgyvendinimą ir saugos dokumentų reikalavimų vykdymą;

10.8. atlieka kitas saugos dokumentais pavestas ir šiais Saugos nuostatais jam priskirtas funkcijas.

11. Registro administratorius:

11.1. diegia ir prižiūri programinę įrangą, reikalingą naudotojo funkcijoms vykdyti;

11.2. darbuotojams suteikia teisę naudotis duomenimis priskirtoms funkcijoms atlikti;

11.3. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

11.4. įvertina, ar naudotojai yra pasirengę darbui;

11.5. atsako už kompiuterių tinklo funkcionavimą;

11.6. daro centrinės duomenų bazės atsargines duomenų kopijas;

11.7. informuoja saugos įgaliotinį apie saugos incidentus;

11.8. teikia pasiūlymus dėl duomenų saugos organizavimo;

11.9. atsako už tai, kad tvarkant Registrą nebūtų pažeisti Saugos nuostatų reikalavimai.

12. Administratorius turi teisę patikrinti (peržiūrėti) Registro sąranką ir Registro būsenos rodiklius.

13. Tvarkant Registro duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

13.2. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

13.3. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891; 2008, Nr. 85-3393);

13.4. Mirties atvejų ir jų priežasčių valstybės registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2009 m. liepos 8 d. nutarimu Nr. 709 (Žin., 2009, Nr. 84-3517);

13.5. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

13.6. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);

13.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 880-2855);

13.8. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

13.9. Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“ (toliau – Rizikos analizės vadovas), Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

13.10. Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugumo politiką ir Registro duomenų tvarkymo teisėtumą bei duomenų saugos valdymą

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. Registras pagal jame tvarkomos elektroninės informacijos svarbą, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V 247, 3.2.6 punktu, yra priskiriamas antrajai kategorijai.

15. Registro informacijos sauga šiuose Saugos nuostatuose suprantama kaip administracinių techninių ir programinių priemonių visuma, skirta užtikrinti duomenų:

15.1. konfidencialumą, siekiant, kad su registre tvarkoma informacija galėtų susipažinti tik tam įgalioti asmenys;

15.2. vientisumą, siekiant, kad duomenys nebūtų atsitiktiniu ar neteisėtu būdu pakeisti ar sunaikinti;

15.3. prieinamumą, siekiant, kad duomenys galėtų būti tvarkomi reikiamu metu.

16. Saugos įgaliotinis, atsižvelgdamas į Rizikos analizės vadovą, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

17. Atlikus rizikos įvertinimą saugos įgaliotinis, įvertinęs galinčius turėti įtakos registro duomenų saugai rizikos veiksnius, išvardytus Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte, rengia rizikos įvertinimo ataskaitą, kurioje išdėsto pagrindines registro rizikos mažinimo priemones. Svarbiausieji rizikos veiksniai, kurie gali pažeisti Registro duomenų ir parengtos pagal juos informacijos saugą, yra:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kt.);

17.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kt.).

18. Lietuvos Respublikos sveikatos apsaugos ministras, atsižvelgdamas į registro rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms tikėtumui vertinti turi būti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:

19.1. nereikšmingas rizikos veiksnių tikėtumas, žala – 1 balas;

19.2. mažas rizikos veiksnių tikėtumas, žala – 2 balai;

19.3. vidutinis rizikos veiksnių tikėtumas, žala – 3 balai;

19.4. didelis rizikos veiksnių tikėtumas, žala – 4 balai;

19.5. labai didelis rizikos veiksnių tikėtumas, žala – 5 balai.

20. Saugos priemonės parenkamos, siekiant užtikrinti registro veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų registro darbą.

21. Saugos įgaliotinis siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimą ir saugumo politikos laikymosi kontrolę, kasmet iki gruodžio 1 d. organizuoja registro informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

21.1. įvertinama realios duomenų saugos situacijos atitiktis Saugos nuostatams ir kitiems saugos politiką įgyvendinantiems teisės aktams;

21.2. inventorizuojama Registro techninė ir programinė įranga;

21.3. tikrinamos Registro tvarkymo kompiuterizuotos darbo vietos ir registre įdiegtos programos bei jų sąranka (konfigūracija);

21.4. patikrinama registro vartotojams suteiktų teisių tvarkyti registrą atitiktis jų vykdomoms funkcijoms;

21.5. įvertinamas pasirengimas užtikrinti registro veiklos tęstinumą registro duomenų saugos incidento atveju.

22. Atlikus registro informacinių technologijų saugos reikalavimų atitikties vertinimą, saugos įgaliotinis parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Lietuvos Respublikos sveikatos apsaugos ministras.

23. Kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.

24. Registro elektroninės informacijos saugos priemonės parenkamos vadovaujantis konfidencialumo, vientisumo ir prieinamumo principais.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Prieigos prie Registro užtikrinimo metodai ir priemonės:

24.1. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam Registro naudotojui arba Registro naudotojų grupei;

24.2. pasibaigus darbo sutarčiai, Registro naudotojo teisė naudotis Registru turi būti panaikinta. Registro naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba perkeliamas į kitas pareigas ir keičiasi pareigybės aprašyme nurodytos ar atliekamos funkcijos;

24.3. Registro naudotojas turi imtis priemonių, kad su Registro duomenimis negalėtų susipažinti pašaliniai asmenys;

24.4. prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, Registro informacinė sistema pasiekiama visą parą.

25. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti Registrą nuo kenkimo programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.):

25.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

25.2. šios priemonės privalo nuolat ieškoti ir blokuoti kenkimo programas, veikiančias sisteminiuose kataloguose esančiose rinkmenose (įskaitant suspaustas rinkmenas) serveryje ir visuose kompiuterių tinklo kompiuteriuose;

25.3. turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

26. Programinės įrangos, ribojančios programinės įrangos, nesusijusios su Registro veikla ar Registro naudotojų funkcijomis, naudojimo reikalavimai:

26.1. Registro naudotojams leidžiama naudoti tik legalią programinę įrangą;

26.2. periodiškai, ne rečiau kaip kartą per 3 mėnesius, turi būti tikrinama, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;

26.3. draudžiama naudoti programinę įrangą, nesusijusią su įstaigos veikla;

26.4. naudojama Registro administravimo programinės įrangos ugniasienė;

26.5. įdiegta galimybė nustatyti asmenis, kurie naudojosi prieiga prie Registro duomenų, fiksuoti jų atliktus veiksmus ir juos kaupti;

26.6. įdiegta galimybė visas užklausas į Registro duomenų bazę fiksuoti programiniu būdu;

26.7. Registro naudotojų prieiga prie Registro duomenų leidžiama tik per registravimosi ir slaptažodžių sistemą. Administratorius savo tapatybę turi patvirtinti slaptažodžiu, kuriam keliami aukštesni reikalavimai negu Registro naudotojų slaptažodžiams;

26.8. Registro naudotojų prieigos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse;

26.9. programinės įrangos naudotojo instrukcijos (vadovai), duomenų tvarkymo taisyklės ir duomenų saugos reikalavimai naudotojams visuomet prieinami.

27. Leistinos kompiuterių naudojimo ribos:

27.1. nešiojamieji kompiuteriai Registro duomenų registravimui, kaupimui ir apdorojimui nenaudojami;

27.2. nešiojamieji kompiuteriai gali būti naudojami tik suvestiniams (viešiems) registro duomenims;

27.3. nešiojamieji kompiuteriai prie Registro kompiuterių tinklo gali būti prijungiami ir iš Registro tvarkymo patalpų išnešami tik su saugos įgaliotinio leidimu;

27.4. kiekvienas stacionarus kompiuteris priskiriamas atsakingam naudotojui;

27.5. stacionarų kompiuterį įjungti (išjungti) į Registro kompiuterių tinklo gali tik administratorius;

27.6. stacionarūs kompiuteriai gali būti išnešami/įnešami tik administratoriaus leidimu.

28. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant Valstybės institucijų kompiuterinį tinklą.

29. Registro duomenų gavimo automatiniu būdu iš susijusių registrų tvarka nustatyta duomenų teikimo sutartyse.

30. Registro fizinę saugą užtikrina šios saugos priemonės: įėjimo kontrolės sistema, stebėjimas vaizdo kamera, priešgaisrinė signalizacija ir kt.

31. Registrui administruoti naudojamas operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik administratorius.

32. Registro programinės įrangos diegimą ar atnaujinimą turi atlikti tik administratorius ar įgalioti asmenys.

33. Registro programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.

34. Prarasti, iškraipyti, sunaikinti Registro duomenys atkuriami iš Registro atsarginių duomenų kopijų. Registro atsarginių duomenų kopijos daromos automatiniu būdu kiekvieną darbo dieną esant aktyviai Registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus ar magnetines juostas) ir saugomos seife, prieinamame tik Registro administratoriui, jo nesant – Registro administratorių pavaduojančiam asmeniui. Prireikus jas atkurti turi teisę tik registro administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atstatyti registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta registro saugaus elektroninės informacijos tvarkymo taisyklėse.

IV. REIKALAVIMAI PERSONALUI

35. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos aktais.

36. Administratoriumi gali būti skiriamas darbuotojas, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

37. Registro naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su saugos dokumentais.

38. Registro naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui arba saugos įgaliotiniui.

39. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

40. Įvykus elektroninės informacijos saugos incidentui, saugos įgaliotinio, administratoriaus ir Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. Tvarkyti Registro duomenis gali tik įgalioti Registro naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų.

42. Registro naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja Registro naudotojus apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios.

VI. BAIGIAMOSIOS NUOSTATOS

43. Saugos įgaliotinis organizuoja saugos dokumentų peržiūrėjimą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams institucijoje.

44. Saugos įgaliotinis, administratorius ir Registro naudotojai, pažeidę šių Saugos nuostatų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2009 m. rugsėjo 8 d. raštu Nr. 1D-6674 (13)

_________________