LIETUVOS RESPUBLIKOS VYRIAUSYBĖ

N U T A R I M A S

DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 1997 M. RUGSĖJO 4 D. NUTARIMO NR. 952 „DĖL DUOMENŲ APSAUGOS VALSTYBĖS IR VIETOS SAVIVALDOS INFORMACINĖSE SISTEMOSE“ PAKEITIMO

2002 m. gruodžio 31 d. Nr. 2105

Vilnius

Vykdydama Informacijos technologijų saugos valstybinės strategijos įgyvendinimo planą, patvirtintą Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006; 2002, Nr. 80-3429), Lietuvos Respublikos Vyriausybė nutaria:

Pakeisti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimą Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075) ir išdėstyti jį nauja redakcija:

„LIETUVOS RESPUBLIKOS VYRIAUSYBĖ

NUTARIMAS DĖL DUOMENŲ SAUGOS VALSTYBĖS IR SAVIVALDYBIŲ INFORMACINĖSE SISTEMOSE

Siekdama užtikrinti duomenų patikimumą bei saugą nuo atsitiktinio ar neteisėto duomenų sunaikinimo, pakeitimo, atskleidimo, taip pat kokio nors kito neteisėto jų tvarkymo, vadovaudamasi Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924), Informacijos technologijų saugos valstybinės strategijos įgyvendinimo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006; 2002, Nr. 80-3429), 1 priemone ir atsižvelgdama į tai, kad informacinės sistemos nuolat tobulinamos, Lietuvos Respublikos Vyriausybė nutaria:

1. Patvirtinti Bendruosius duomenų saugos reikalavimus (pridedama).

2. Rekomenduoti savivaldybėms vadovautis Bendraisiais duomenų saugos reikalavimais.

3. Pavesti Vidaus reikalų ministerijai parengti ir iki 2003 m. birželio 30 d. patvirtinti tipinius duomenų saugos nuostatus“.

MINISTRAS PIRMININKAS ALGIRDAS BRAZAUSKAS

VIDAUS REIKALŲ MINISTRAS JUOZAS BERNATONIS

PATVIRTINTA

Lietuvos Respublikos Vyriausybės

1997 m. rugsėjo 4 d. nutarimu Nr. 952

(Lietuvos Respublikos Vyriausybės2002 m.

gruodžio 31 d. nutarimo Nr. 2105 redakcija)

BENDRIEJI DUOMENŲ SAUGOS REIKALAVIMAI

I. BENDROSIOS NUOSTATOS

1. Bendrųjų duomenų saugos reikalavimų (toliau vadinama – Reikalavimai) tikslas – sudaryti sąlygas saugiai tvarkyti automatizuotu būdu duomenis valstybės registruose ir kitose valstybės informacinėse sistemose.

2. Šie Reikalavimai netaikomi duomenims, sudarantiems įslaptintą informaciją, tvarkyti automatizuotu būdu, išskyrus duomenis, sudarančius riboto naudojimo informaciją.

II. PAGRINDINĖS SĄVOKOS

3. Pagrindinės šiuose Reikalavimuose vartojamos sąvokos:

Sistema – valstybės registras ir kita valstybės informacinė sistema.

Sistemos tvarkytojas – valstybės informacinės sistemos valdytojas, vadovaujanti valstybės registro tvarkymo įstaiga arba, jeigu jos nėra, valstybės registro tvarkymo įstaiga.

4. Kitos šiuose Reikalavimuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės registrų įstatyme (Žin., 1996, Nr. 86-2043), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924) ir Lietuvos standarte LST ISO/IEC TR 13335-1:2000.

III. SAUGOS UŽTIKRINIMAS

5. Užtikrinant duomenų saugą, rekomenduojama vadovautis Informacijos technologijų saugos valstybine strategija, patvirtinta Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006), Lietuvos standartais LST ISO/IEC TR 13335, LST ISO 11442 ir LST ISO/IEC 17799:2002, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais.

6. Sistemos tvarkytojas, vadovaudamasis Tipiniais duomenų saugos nuostatais, patvirtintais vidaus reikalų ministro, rengia ir suderinęs su Vidaus reikalų ministerija tvirtina sistemos duomenų saugos nuostatus (toliau vadinama – nuostatai), kurie kartu su rengtinomis detaliomis instrukcijomis, procedūrų aprašymais ir saugaus darbo su duomenimis tvarka apibrėžia sistemos saugumo politiką (toliau vadinama – saugumo politika).

7. Nuostatuose nustatoma:

7.1. sistemos ir sistemoje tvarkomų duomenų (toliau vadinama – duomenys) svarbumas, pagal kurį bus parenkamos atitinkamos saugos priemonės;

7.2. saugaus duomenų tvarkymo reikalavimai, kurie apima:

7.2.1. teisės aktų, kuriais remiamasi tvarkant duomenis ir užtikrinant jų saugumą, sąrašą;

7.2.2. kvalifikacinius reikalavimus sistemos tvarkytojo personalui;

7.2.3. rizikos veiksnių įvertinimą ir jų įtakos duomenų saugumui mažinimo priemones;

7.2.4. nenumatytų situacijų valdymo principus ir planus;

7.3. asmuo, atsakingas už saugumo politikos įgyvendinimą;

7.4. rengtinų dokumentų (detalios instrukcijos, procedūrų aprašymai, saugaus darbo su duomenimis tvarka) sąrašas;

7.5. sistemos vartotojų supažindinimo su dokumentais, nustatančiais saugumo politiką, tvarka;

7.6. atsakomybė už saugumo politikos pažeidimus;

7.7. saugumo politikos atnaujinimo principai ir tvarka.

8. Atsižvelgiant į atskirų nuostatų dalių mastą, jos gali būti rengiamos kaip nuostatų priedai arba atskiri dokumentai (tai nurodoma nuostatuose).

9. Sistemos tvarkytojas, atsižvelgdamas į nuostatuose išdėstytą sąrašą, nurodytą šių Reikalavimų 7.4 punkte, rengia ir tvirtina:

9.1. saugaus darbo su duomenimis tvarką, kurioje nustato:

9.1.1. technines, programines ir fizinės saugos priemones (atsarginis energijos tiekimas, antivirusinė programinė įranga, duomenų šifravimas, tinklo apsaugos sistema, darbo apskaita, patalpų fizinė sauga ir kita);

9.1.2. prieinamumo prie duomenų principus ir kontrolę (vartotojų registravimas, teisių suteikimas, išregistravimas, vartotojų tapatybės nustatymas, specialios tapatybės nustatymo priemonės, elektroninis parašas ir kita);

9.1.3. sistemos ir duomenų vientisumo pažeidimų fiksavimo ir pažeistų duomenų atkūrimo tvarką (vartotojų veiksmų registravimas, atsarginės duomenų kopijos ir jų saugojimas bei kontrolė, duomenų atkūrimas ir kita);

9.1.4. saugaus duomenų teikimo duomenų vartotojams tvarką ir kontrolę;

9.1.5. saugaus duomenų perkėlimo ar perdavimo tvarką ir kontrolę;

9.1.6. įgaliojimus ir teises visoms duomenų tvarkymo įstaigoms;

9.2. detalias instrukcijas ir procedūrų aprašymus, reglamentuojančius veiksmus ar jų atlikimo tvarką atskirais atvejais ar konkrečioje situacijoje (pavyzdžiui: darbo pradžia ir pabaiga, prisijungimas prie sistemos, veiksmai esant duomenų ar sistemos vientisumo pažeidimams, patalpų apsauga ir tvarkymas, techninės įrangos gedimų šalinimas, pašaliniai žmonės patalpose, draudžiami įsinešti į patalpas daiktai, informacijos nenumatytais atvejais teikimas, darbuotojų ir techninės bei programinės įrangos kontrolė ir kita).

10. Sistemos tvarkytojas, vykdydamas šių Reikalavimų 6–9 punktus, įvertina šiuos rizikos veiksnius, galinčius turėti įtakos duomenų saugumui:

10.1. subjektyvius netyčinius (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

10.2. subjektyvius tyčinius (nesankcionuotas naudojimasis sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacijos technologijų vagystė ir kita);

10.3. nenugalimos jėgos (įvykiai, nustatyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte).

IV. ATSAKOMYBĖ

11. Sistemos tvarkytojas atsako už duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo teisės aktų nustatyta tvarka.

______________