LIETUVOS RESPUBLIKOS VYRIAUSIASIS VALSTYBINIS DARBO INSPEKTORIUS
Į S A K Y M A S
DĖL POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. rugpjūčio 1 d. Nr. 1-180
Vilnius
Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu:
1. Tvirtinu Potencialiai pavojingų įrenginių valstybės registro duomenų saugos nuostatus (pridedama).
2. Skiriu Valstybinės darbo inspekcijos Informacinių technologijų skyriaus vedėją Juozą Adamonį Potencialiai pavojingų įrenginių valstybės registro saugos įgaliotiniu.
3. Įpareigoju Potencialiai pavojingų įrenginių valstybės registro saugos įgaliotinį Juozą Adamonį:
3.1. iki š. m. spalio 15 d. parengti ir pateikti man tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Detalius saugaus darbo su duomenimis procedūrų aprašymus. Po šių dokumentų patvirtinimo jų kopijas pristatyti Vidaus reikalų ministerijai;
4. Laikyti negaliojančiais Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2006 m. liepos 11 d. įsakymo Nr. 1-145 pirmą ir antro punkto 2.1 papunktį.
L. E. LIETUVOS RESPUBLIKOS VYRIAUSIOJO
VALSTYBINIO DARBO INSPEKTORIAUS PAREIGAS PETRAS ABARAVIČIUS
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2006 m. liepos 25 d. raštu Nr. 1D-5368(13)
PATVIRTINTA
Lietuvos Respublikos vyriausiojo
valstybinio darbo inspektoriaus
2006 m. rugpjūčio 1 d. įsakymu Nr. 1-180
POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Potencialiai pavojingų įrenginių valstybės registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų Registro duomenų tvarkymą.
2. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.
3. Vadovaujančioji ir Registro tvarkymo įstaiga yra Lietuvos Respublikos valstybinė darbo inspekcija (toliau – Registro tvarkymo įstaiga).
4. Saugos nuostatai reglamentuoja Registro duomenų apdorojimą automatizuotu būdu ir yra privalomi visiems Registro tvarkymo įstaigos ir įgaliotų potencialiai pavojingų įrenginių techninės būklės tikrinimo įstaigų darbuotojams, tvarkantiems Registro duomenis.
5. Šie Saugos nuostatai kartu su Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus tvirtinama rizikos ataskaita, Nenumatytų situacijų valdymo planu, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais, apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).
6. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą, duomenų saugos valdymą.
II. REGISTRO SISTEMOS APIBŪDINIMAS
8. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.
9. Registro paskirtis: registruoti, išregistruoti Registro objektus, rinkti, kaupti, apdoroti, sisteminti, saugoti, naudoti ir teikti Lietuvos Respublikos potencialiai pavojingų įrenginių priežiūros įstatyme ir su juo susijusiuose teisės aktuose nustatytus Registro duomenis valstybės ir savivaldybių institucijoms ir kitoms įstaigoms, valstybės registrams, kitiems juridiniams ir fiziniams asmenims įstatymų ir kitų teisės aktų nustatyta tvarka.
10. Registrą, atsižvelgiant į jo steigimo tikslus ir tvarkomus duomenis, sudaro:
| Nr. |
Sistemos dalis |
Paskirtis |
| 10.1. |
Registro centrinė duomenų bazė |
Kaupiami ir Registre tvarkomi duomenys |
| 10.2. |
Registro taikomoji programinė įranga |
Specialios taikomosios programinės įrangos paskirtis -sudaryti sąlygas kaupti ir tvarkyti duomenis apie Registro objektus, juos keisti, išregistruoti, ieškoti ar teikti, suteikiant galimybę vykdyti paieškas pagal įvairius kriterijus, rinkti statistinius rodiklius ir juos pateikti įvairių reglamentuotų kriterijų ir formų pavidalu. |
| 10.3. |
Kompiuteriai, jų standartinė programinė, periferinė bei tinklo įranga |
Kompiuteriai ir jų įranga – priemonė pasiekti sistemoje kaupiamą informaciją ir saugiai ją tvarkyti naudojantis Registro taikomąja programine įranga. |
| 10.4. |
Duomenų perdavimo tinklas |
Techninė ir programinė tinklo ir apsaugos įranga, užtikrinanti nepertraukiamą ir saugų sistemoje veikiančių registro duomenų perdavimą vartotojams, kuriems suteiktas tiesioginis priėjimas prie sistemos, duomenų gavimą iš išorinės registrų bei kitų duomenų teikėjų ir duomenų teikimą gavėjams: vieningai funkcionuojanti maršrutizatorių, komutatorių, ugniasienių, duomenų šifravimo, apsaugos nuo virusų, įsilaužimo ir kita įranga, be visa ko, suteikianti ir prieigą prie interneto. |
11. Registro taikomąją programinę įrangą sudaro šie posistemiai:
| Nr. |
Posistemis |
Paskirtis |
| 11.1. |
Registravimo ir duomenų paieškos vidinis posistemis |
Registro objektų duomenų registravimas, duomenų keitimas, išregistravimas teisės aktų nustatyta tvarka. Unikalaus identifikavimo kodo priskyrimas registro objektams, tikrinimas ir kontrolė. Duomenų paieškos vykdymas pagal nustatytus kriterijus. |
| 11.2. |
Administravimo posistemis |
Registro informacinės sistemos stebėjimas. Sistemos vartotojų bei jų grupių registravimas ir administravimas. Sistemos vartotojų kodų bei pradinių slaptažodžių suteikimas. |
| 11.3. |
Statistinių duomenų rengimo posistemis |
Statistikos ataskaitų rengimas. |
| 11.4. |
Duomenų mainų posistemis |
Duomenų gavimas iš kitų valstybės registrų ir informacinių sistemų bei duomenų teikėjų. |
| 11.5. |
Registravimo ir duomenų paieškos išorinis posistemis |
Registro objektų duomenų registravimas, duomenų teikimas ir keitimas teisės aktų nustatyta tvarka. Duomenų paieškos vykdymas pagal nustatytus kriterijus. |
12. Sistemos darbo vietos (DV):
| Nr. |
Darbo vieta |
Pagrindinės funkcijos |
| 12.1. |
Administratoriaus DV |
Kurti kitus sistemos vartotojus, priskirti juos vartotojų grupėms, suteikti ir keisti slaptažodžius, vykdyti veiksmų monitoringą. |
| 12.2. |
Registratoriaus DV |
Registruoti objektus, apdoroti ir sisteminti duomenis, iš dalies koreguoti, išregistruoti objektus, archyvuoti ir saugoti duomenis ir dokumentus apie Registro objektus. |
| 12.3. |
Operatoriaus DV |
Teikti duomenis Registro nuostatų ir kitų teisės aktų nustatyta tvarka, analizuoti technologines, metodologines ir organizacines Registro funkcionavimo problemas, rengti ataskaitas. |
| 12.4. |
Darbo inspektoriaus DV |
Peržiūrėti, analizuoti Registro teikiamą informaciją apie Registro objektus ir panaudoti ją savo tiesioginiame darbe. |
| 12.5. |
Įgaliotos tikrinimo įstaigos registratoriaus DV |
Peržiūrėti informaciją apie jų tikrinamus objektus, įvesti duomenis apie atliktus tikrinimus. |
| 12.6. |
Savininko DV |
Peržiūrėti Sistemos informaciją, susijusią su jų įrenginiais. |
13. Duomenų sauga Registre užtikrinama vadovaujantis:
13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924; 2003, Nr. 15-597);
13.2. Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45);
13.3. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
13.4. Potencialiai pavojingų įrenginių valstybės registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2002 m. gegužės 9 d. nutarimu Nr. 645 (Žin., 2002, Nr. 48-1844; 2006, Nr. 10-358);
13.5. Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. IV-272 (Žin., 2003, Nr. 76-3511);
13.6. Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
15. Registro tvarkymo įstaigos vadovas skiria Registro saugos įgaliotinį, kuris atsako už saugos politikos įgyvendinimo organizavimą ir kontrolę.
16. Registro saugos įgaliotiniu skiriamas vienas iš Valstybinės darbo inspekcijos Informacinių technologijų skyriaus darbuotojų, kuris yra atsakingas už Saugos politikos formavimą ir saugos priemonių įgyvendinimą visoje Valstybinės darbo inspekcijos informacinių technologijų sistemoje.
17. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, būti susipažinęs su Registro duomenų tvarkymą reglamentuojančiais teisės aktais, standartais ir kitais dokumentais bei žinoti jų esminius reikalavimus, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti saugos politikos įgyvendinimą, taip pat turėti darbo patirties su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis.
18. Registro administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat mokėti administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugumo politika ir teisės aktais, reglamentuojančiais duomenų tvarkymą sistemoje, taip pat kitomis vidaus ir darbo saugos tvarkomis.
19. Registro registratoriai, operatorius ir įgaliotų įstaigų registratoriai (toliau – Registro tvarkytojai) privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių procedūrų, Registro tvarkymo taisyklių nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.
20. Darbo inspektoriai ir potencialiai pavojingų įrenginių savininkai, kurie naudosis Registro duomenimis (toliau -Registro vartotojai) privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, būti susipažinę su Registro nuostatais ir saugumo politiką reglamentuojančiais dokumentais.
21. Registro tvarkytojai ir kiti Registro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro saugos įgaliotiniui ir/arba Registro administratoriui.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
23. Priemonės rizikai mažinti kas metai turi būti peržiūrimos ir išdėstomos Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, vadovaudamasis „Rizikos analizės vadovu“, įvertindamas Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) 10 punkte išvardytus rizikos veiksnius.
24. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtintoje Rizikos ataskaitoje išdėstytos priemonės rizikai mažinti taikomos Registro saugos įgaliotiniui, Registro administratoriui, taip pat visiems Registro tvarkytojams ir Registro vartotojams, jų kompiuterinėms darbo vietoms, taip pat sistemos administravimo kompiuterinėms darbo vietoms.
V. REGISTRO TVARKYTOJŲ IR VARTOTOJŲ ATSAKOMYBĖ
26. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis ir Registro vartotojai privalo rūpintis Registro duomenų saugumu.
27. Registro duomenis tvarkyti gali tik tie asmenys, kurie susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.
28. Registro tvarkytojų, Registro vartotojų ir Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.
29. Registro saugos įgaliotinis organizuoja Registro administratoriaus, Registro tvarkytojų ir Registro vartotojų kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VI. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA
31. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Lietuvos Respublikos vyriausiajam valstybiniam darbo inspektoriui dėl saugumo politiką reglamentuojančių teisės aktų papildymo ar pakeitimo.
VII. BAIGIAMOSIOS NUOSTATOS
33. Siekiant užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Registro saugos įgaliotinis kasmet organizuoja auditą, kurio metu:
33.1. įvertinama saugos politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
33.3. tikrinamos ne mažiau kaip 10 procentų Registro administratoriaus, Registro tvarkytojų ir Registro vartotojų kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;
33.4. peržiūrima Registro administratoriui, Registro tvarkytojams, Registro vartotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;