LIETUVOS RESPUBLIKOS VYRIAUSYBĖ

 

N U T A R I M A S

DĖL DUOMENŲ APSAUGOS VALSTYBĖS IR VIETOS SAVIVALDOS INFORMACINĖSE SISTEMOSE

 

1997 m. rugsėjo 4 d. Nr. 952

Vilnius

 

Siekdama užtikrinti duomenų patikimumą bei apsaugą nuo neteisėto panaudojimo, vadovaudamasi Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479) ir atsižvelgdama į tai, kad informacinės sistemos nuolat tobulinamos, Lietuvos Respublikos Vyriausybė nutaria:

1. Patvirtinti Bendruosius duomenų apsaugos reikalavimus (pridedama).

2. Pavesti Ryšių ir informatikos ministerijai:

2.1. kasmet iki sausio 20 d. paskelbti leidinio „Valstybės žinios“ informaciniame priede:

2.1.1. Valstybės registrų tarnybos įregistruotų valstybės registrų, kitų valstybės informacinių sistemų bei jų duomenų valdytojų sąrašą;

2.1.2. Valstybinės duomenų apsaugos inspekcijos įregistruotų valstybės asmens duomenų valdytojų sąrašą;

2.2. kartu su Teisingumo ministerija parengti Lietuvos Respublikos administracinių teisės pažeidimų kodekso ir Baudžiamojo kodekso papildymų, susijusių su administracine ir baudžiamąja atsakomybe duomenų apsaugos srityje ir įgaliojimais nagrinėti tokių pažeidimų bylas, projektus ir iki 1997 m. gruodžio 31 d. pateikti juos Lietuvos Respublikos Vyriausybei;

2.3. kartu su Valdymo reformų ir savivaldybių reikalų ministerija iki 1997 m. spalio 20 d. parengti informacijos saugumo tarptautinių ir Europos standartizacijos dokumentų įteisinimo pagal Lietuvos standartus planą, paskelbti jį Lietuvos standartizacijos departamento biuletenyje ir organizuoti jo vykdymą.

3. Įpareigoti valstybės informacinių sistemų duomenų valdytojus iki 1997 m. lapkričio 30 d. parengti specialius reikalavimus duomenų apsaugos priemonėms, pateikti Ryšių ir informatikos ministerijai jų įgyvendinimo programą ir paskirti duomenų apsaugos įgaliotinius.

4. Nustatyti, kad šiuo nutarimu patvirtintų Bendrųjų duomenų apsaugos reikalavimų 8 punktas įsigalioja nuo 1998 m. sausio 1 dienos.

 

 

MINISTRAS PIRMININKAS                                                              GEDIMINAS VAGNORIUS

 

SUSISIEKIMO MINISTRAS,

PAVADUOJANTIS RYŠIŲ IR INFORMATIKOS MINISTRĄ             ALGIS ŽVALIAUSKAS

______________

 

 


PATVIRTINTA

Lietuvos Respublikos Vyriausybės

1997 m. rugsėjo 4 d. nutarimu Nr. 952

 

Bendrieji duomenų apsaugos reikalavimai

 

1. Šiuose reikalavimuose vartojamos sąvokos ir apibrėžimai:

1.1. informacinė sistema – tam tikrai institucijos (-ų) veiklai būtinų dokumentų ir (arba) duomenų tvarkymo bei paieškos sistema, kuri naudoja informacijos technologiją: kompiuterius, jų programas, duomenų bazes, duomenų perdavimo tinklus ir vadovaujasi jų naudojimą reglamentuojančiais teisės aktais;

1.2. slapti ir visiškai slapti duomenys – duomenys, kurie nurodyti Lietuvos Respublikos valstybės paslapčių ir jų apsaugos įstatyme, taip pat tarnybines paslaptis nustatančiuose teisės aktuose;

1.3. viešai neskelbtini (konfidencialūs) duomenys – duomenys, kurie nepatenka į šių reikalavimų 1.2 punkte nurodytųjų kategoriją ir kurie gali būti teikiami arba atskleidžiami tik įstatymų bei kitų teisės aktų arba teisėtų susitarimų nustatyta tvarka;

1.4. viešieji duomenys – duomenys, kurie nepatenka į šių reikalavimų 1.2 ir 1.3 punktuose nurodytųjų kategoriją;

1.5. duomenų apsaugos lygmuo – santykinis dydis, kurį nustato duomenų valdytojas, įvertindamas duomenų kategoriją ir jų pažeidimo rizikos veiksnius;

1.6. duomenų pažeidimas – veika, galinti sukelti ar sukėlusi nepageidaujamų padarinių duomenims, informacinei sistemai, nuosavybei ar duomenų subjektui;

1.7. duomenų pažeidimo poveikio laipsnis – santykinis dydis, kurį nustato duomenų valdytojas duomenų pažeidimo sukeliamai žalai ir galimiems padariniams apibūdinti;

1.8. duomenų valdytojas – juridinis asmuo, kuris įstatymų ir kitų teisės aktų nustatyta tvarka vadovauja duomenų tvarkymo įstaigoms ir nustato duomenų tvarkymo tikslus bei priemones. Valstybės registrams šią sąvoką atitinka vadovaujančiosios registro tvarkymo įstaigos sąvoka;

1.9. duomenų tvarkymo įstaiga – valstybės institucija, kuri tvarko valstybės registrą arba asmens duomenų bazę, arba kitas valstybės ar vietos savivaldos informacinių sistemų duomenų bazes įstatymų ir kitų teisės aktų nustatyta tvarka. Duomenų valdytojas ir duomenų tvarkymo įstaiga gali būti tas pats juridinis asmuo;

1.10. duomenų gavėjas – juridinis arba fizinis asmuo, kuriam teikiami duomenys;

1.11. tinklo operatorius – juridinis asmuo, atsakingas už tinklo funkcionavimą bei paslaugų teikimą abonentams;

1.12. duomenų grupė – logiškai susiję duomenų elementai, atitinkantys informacijos klasifikavimo, kodavimo ir sandaros aprašymo standartą.

2. Šie reikalavimai taikomi duomenų bazėms, kurias tvarko valstybės registrų tvarkymo įstaigos, asmens duomenų valdytojai, kitų valstybės bei vietos savivaldos informacinių sistemų duomenų valdytojai ir duomenų tvarkymo įstaigos. Slapti ir visiškai slapti duomenys tvarkomi ir teikiami įstatymų nustatyta tvarka. Valstybės paslaptį sudarančių duomenų neskelbtinumo tvarką valstybės ir savivaldos institucijose nustato valstybės paslapčių subjektai ir nurodo duomenų valdytojams.

3. Duomenų valdytojas ir duomenų tvarkymo įstaiga atsako už duomenų patikimumą, tvarkymo teisėtumą, viešai neskelbtinų duomenų teikimo teisėtumą ir duomenų apsaugą nuo neteisėto panaudojimo, jeigu įstatymai ir kiti teisės aktai nenustato kitaip.

4. Už duomenų perdavimą kompiuterių tinklais atsako tinklo operatorius kartu su duomenų valdytoju.

5. Duomenų valdytojas, vadovaudamasis rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius standartus ISO 11442, ISO/IEC TR 13335-1, ISO/TR 13569, arba kitomis rekomendacijomis, nuostatuose suformuluoja specialius duomenų apsaugos priemonių reikalavimus, nustatydamas:

5.1. tvarkomų duomenų grupes (toliau vadinama – duomenys);

5.2. duomenų kategoriją (viešieji, viešai neskelbtini, slapti ar visiškai slapti);

5.3. duomenų apsaugos lygmenį;

5.4. duomenų pažeidimo rizikos veiksnius:

5.4.1. netyčinius vidinius ir išorinius subjektyvius veiksnius (duomenų tvarkymo klaidos ir apsirikimai, failų ištrynimas, neteisingas maršruto nustatymas teikiant duomenis, fiziniai sutrikimai: dėl elektros, dėl duomenis gadinančių kompiuterio arba serverio virusų ir kita);

5.4.2. tyčinius subjektyvius veiksnius (neteisėtas įsibrovimas į sistemą iš išorės, piktybinis teisės aktų pažeidimas, vagystė ir kita);

5.4.3. nenugalimą jėgą (netikėti atsitiktiniai objektyvūs veiksniai – žaibas, gaisras, potvynis ar kitoks užliejimas ir kita);

5.5. duomenų pažeidimo padarinius (turtui padaryta žala ar nuostoliai ir kita) ir galimo duomenų pažeidimo poveikio laipsnį pagal rizikos veiksnius.

6. Duomenų valdytojas vadovaujasi rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius grupės „Informacijos technologija. Saugumo technika“ ISO/IEC standartus, arba kitomis rekomendacijomis ir nustato duomenų apsaugos įgyvendinimo tvarką bei priemones, tai yra:

6.1. techninės įrangos, programinės įrangos, duomenų bazių, patalpų apsaugą (informacijos kopijavimas, atsarginis energijos tiekimas, antivirusinė programinė įranga, skaitmeninis parašas, duomenų šifravimas, tinklo apsaugos sistema, tinklo darbo apskaita ir kita); duomenų šifravimas turi būti derinamas valstybės paslapčių subjektų nustatyta tvarka, jeigu tai įtraukta į valstybės paslaptį sudarančių žinių sąrašą;

6.2. duomenų pažeidimų fiksavimo ir pažeistų duomenų atkūrimo tvarką;

6.3. duomenų apsaugos ir duomenų teikimo kontrolės mechanizmą;

6.4. duomenų teikimo tvarką;

6.5. įgaliojimus ir teises visoms duomenų tvarkymo įstaigoms bei tvarkytojams.

7. Duomenų valdytojas skiria duomenų apsaugos įgaliotinį, kuris organizuoja duomenų apsaugą visose duomenų tvarkymo įstaigose, sudaro visas sąlygas Valstybinei duomenų apsaugos inspekcijai ir valstybės paslapčių subjektui atlikti tikrinimus.

8. Jeigu valstybės registro, asmens duomenų valdytojo arba kitokia valstybės ar vietos savivaldos informacinė sistema nėra įteisinta, sukurta ir priimta naudoti ir jeigu teikimo konkretiems naudotojams nenustato įstatymai bei kiti teisės aktai, duomenų valdytojas turi teisę kreiptis į Valstybinę duomenų apsaugos inspekciją dėl laikinojo leidimo teikti viešai neskelbtinus duomenis kitiems duomenų valdytojams bei naudotojams. Šis leidimas yra pagrindas teisėtai teikti duomenis įvairiomis formomis, iš jų ir valstybės institucijų kompiuterių tinklu. Laikinasis leidimas gali būti išduodamas tik įvertinus duomenų apsaugos lygmenį.

9. Duomenų valdytojas rūpinasi duomenų apsaugos sistemos tobulinimu, kasmet peržiūri instrukcijas bei kitus dokumentus, susijusius su duomenų apsauga, atnaujina juos ir jeigu yra pakeitimų, susijusių su duomenų apsauga, kasmet iki sausio 31 dienos teikia Valstybinei duomenų apsaugos inspekcijai nustatytos formos ataskaitas apie naudojamas duomenų apsaugos priemones.

10. Duomenų valdytojas teikia įstatymų nustatyta tvarka duomenis kitiems duomenų valdytojams arba duomenų gavėjams šalių susitarimu pagal Valstybinės duomenų apsaugos inspekcijos nustatytos formos sutartį.

11. Duomenų bazės likviduojamos arba reorganizuojamos įstatymų ir kitų teisės aktų nustatyta tvarka, be to, likvidavimo arba reorganizavimo tvarka derinama su Valstybine duomenų apsaugos inspekcija, kai duomenys viešai neskelbtini, o kai duomenys slapti arba visiškai slapti, – su Lietuvos Respublikos valstybės saugumo departamentu.

______________