LIETUVOS RESPUBLIKOS sveikatos apsaugos ministrO
Į S A K Y M A S
DĖL RADIACINĖS SAUGOS INFORMACINĖS SISTEMOS NUOSTATŲ IR RADIACINĖS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2010 m. liepos 1 d. Nr. V-600
Vilnius
Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais ir Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):
1. T v i r t i n u pridedamus:
2. P a v e d u Radiacinės saugos centro direktoriui Albinui Mastauskui:
2.2. iki 2010 m. rugsėjo 1 d. parengti:
2.2.2. Radiacinės saugos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
PATVIRTINTA
Lietuvos Respublikos
sveikatos apsaugos ministro
2010 m. liepos 1 d. įsakymu Nr. V-600
RADIACINĖS SAUGOS INFORMACINĖS SISTEMOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Radiacinės saugos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Radiacinės saugos informacinės sistemos (toliau – RSIS) tikslą ir pagrindines funkcijas, RSIS valdytojo ir tvarkytojo teises ir pareigas, RSIS informacinę ir funkcinę struktūras, RSIS duomenų tvarkymą ir naudojimą, RSIS duomenų apsaugą, RSIS reorganizavimą ir likvidavimą.
2. RSIS – tai Radiacinės saugos centro (toliau – RSC) teisės aktų nustatytoms funkcijoms atlikti reikalingos informacijos apdorojimo (duomenų ir dokumentų tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir t. t.) sistema, kuria vykdomi elektroniniai duomenų mainai tarp RSIS ir valstybės registrų bei kitų informacinių sistemų.
3. Šiuose Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos radiacinės saugos įstatyme (Žin., 1999, Nr. 11-239), Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), ir kituose teisės aktuose vartojamas sąvokas.
5. Teisės aktai, reglamentuojantys RSIS veiklos sritį ir kuriais vadovaujantis tvarkoma RSIS:
5.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
5.2. Lietuvos Respublikos branduolinės energijos įstatymas (Žin., 1996, Nr. 119-2771);
5.3. Lietuvos Respublikos radioaktyviųjų atliekų tvarkymo įstatymas (Žin., 1999, Nr. 50-1600);
5.4. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451;
5.5. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 1999 m. gegužės 25 d. nutarimu Nr. 651 (Žin., 1999, Nr. 47-1483; 2007, Nr. 55-2140);
5.6. Veiklos su jonizuojančiosios spinduliuotės šaltiniais licencijavimo taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 1999 m. gegužės 25 d. nutarimu Nr. 653 (Žin., 1999, Nr. 47-1485; 2004, Nr. 30-991);
5.7. Valstybinės radiacinės saugos priežiūros reglamentas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2000 m. gegužės 25 d. įsakymu Nr. 285 (Žin., 2000, Nr. 44-1279; 2009, Nr. 110-4695);
5.8. Radiacinės saugos centro nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2005 m. liepos 22 d. įsakymu Nr. V-612 (Žin., 2005, Nr. 94-3516);
5.9. Radioaktyviųjų medžiagų, radioaktyviųjų atliekų ir panaudoto branduolinio kuro įvežimo, išvežimo, vežimo tranzitu ir vežimo Lietuvos Respublikoje taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro ir Valstybinės atominės energetikos saugos inspekcijos viršininko 2008 m. gruodžio 24 d. įsakymu Nr. V-1271/22.3-139 (Žin., 2009, Nr. 3-64).
6. RSIS tikslas – sudaryti sąlygas RSC automatiniu būdu saugiai tvarkyti RSC teisės aktų nustatytoms funkcijoms atlikti reikalingus duomenis.
7. Asmens duomenų tvarkymo RSIS tikslai:
7.1. identifikuoti fizinius asmenis, turinčius licenciją verstis veikla su jonizuojančiosios spinduliuotės šaltiniais, ir Europos ekonominės erdvės valstybių fizinius asmenis, turinčius vienkartinį leidimą teikti paslaugą naudojant jonizuojančiosios spinduliuotės šaltinius, bei vykdyti šių asmenų apskaitą ir kontrolę;
8. Pagrindinės RSIS funkcijos:
8.1. kaupti, analizuoti bei saugoti patikrinimų aktų duomenis, administracinių teisės pažeidimų protokolų duomenis, nutarimų administracinių teisės pažeidimų bylose duomenis ir kitus duomenis;
8.2. kaupti, analizuoti bei saugoti paraiškų išduoti leidimus vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas duomenis, leidimų vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas duomenis ir kitus duomenis;
8.3. kaupti, analizuoti, saugoti, teikti individualiųjų dozimetrų išdavimo ir priėmimo duomenis, individualiųjų dozių tyrimų duomenis, individualiųjų dozių metinių suvestinių duomenis ir kitus duomenis;
8.4. kaupti, analizuoti bei saugoti muitinės deklaracijų duomenis apie jonizuojančiosios spinduliuotės šaltinių importą, eksportą ir tranzitą ir kitus duomenis;
9. Laukiami RSIS rezultatai:
9.1. radiologinių avarijų, patikrinimų aktų, muitinės deklaracijų jonizuojančiosios spinduliuotės šaltiniams bei individualiųjų dozių tyrimų duomenys saugomi centralizuotai, užtikrintas jų vientisumas, teisingumas ir saugumas;
9.2. radiologinių avarijų, patikrinimų aktų, muitinės deklaracijų jonizuojančiosios spinduliuotės šaltiniams bei individualiųjų dozių tyrimų duomenys pasiekiami visų tokią teisę turinčių RSIS naudotojų;
II. RSIS ORGANIZACINĖ STRUKTŪRA
10. RSIS organizacinė struktūra:
10.4. RSIS duomenų teikėjai – RSC (Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro tvarkytojas) ir Muitinės departamentas prie Lietuvos Respublikos finansų ministerijos (Integruotos muitinės informacinės sistemos valdytojas);
10.5. RSIS duomenų šaltiniai – fiziniai, juridiniai asmenys ar juridinio asmens teisių neturintys subjektai, kurie ketina vežti arba kuriems yra vežamos radioaktyviosios medžiagos ar radioaktyviosios atliekos, RSIS naudotojai;
11. RSIS valdytojo funkcijos:
11.3. analizuoti teisines, technines, technologines, metodologines ir organizacines RSIS tvarkymo problemas ir priimti sprendimus RSIS tvarkymui užtikrinti;
12. RSIS tvarkytojo funkcijos:
12.2. organizuoti ir vykdyti RSIS duomenų mainus su Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registru ir kitomis informacinėmis sistemomis įstatymų ir kitų teisės aktų nustatyta tvarka, siekiant užtikrinti RSIS duomenų aktualumą ir jų operatyvų atnaujinimą;
III. RSIS INFORMACINĖ STRUKTŪRA
14. RSIS duomenų bazes sudaro:
14.1. Radiologinių avarijų duomenų bazė, kurioje kaupiami duomenys apie Lietuvos Respublikos teritorijoje arba kaimyninėse šalyse įvykusias radiologines avarijas: avarijos data, laikas, vieta, tipas; apie avariją pranešusio asmens vardas ir pavardė; radiologinės avarijos faktinės aplinkybės; šaltinio savininko ar naudotojo (jei pavyko nustatyti) pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas; asmens, nukentėjusio avarijoje, vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas ir kiti duomenys (išskyrus asmens duomenis);
14.2. Patikrinimų aktų duomenų bazė, kurioje kaupiami RSC atliktų patikrinimų duomenys: patikrinimo data, patikrinimo akto surašymo data, patikrinimo akto numeris, tikrinamo objekto pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, patikrinimo aktas (elektronine forma), tikrinamam objektui kelti reikalavimai (jei buvo kelti), reikalavimų įvykdymo data (-os), poveikio priemonės (jei buvo paskirta) rūšis, administracinio teisės pažeidimo protokolo numeris, data, tikrinto objekto, kuriam surašytas administracinio teisės pažeidimo protokolas, pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, nutarimo administracinio teisės pažeidimo byloje numeris, data ir kiti duomenys (išskyrus asmens duomenis);
14.3. Radioaktyviųjų medžiagų ir radioaktyviųjų atliekų įvežimo, išvežimo, vežimo tranzitu ir vežimo Lietuvos Respublikoje leidimų duomenų bazė, kurioje kaupiami šie duomenys: paraiškos išduoti leidimą vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas numeris, leidimo vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas numeris, vežamo krovinio turėtojo pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, vežamo krovinio gavėjo pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, vežėjo pavadinimas, kodas, buveinės adresas (-ai) arba asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, leidimo rūšis ir tipas, krovinio tipas, krovinyje esantys radionuklidai, radionuklidų aktyvumai ir kiti duomenys (išskyrus asmens duomenis);
14.4. Muitinės deklaracijų (bendrojo dokumento) importo ir eksporto duomenų bei tranzito (bendrojo dokumento ir TIR knygelės) duomenų bazė, kurioje kaupiami duomenys apie visus jonizuojančiosios spinduliuotės šaltinius, įvežtus arba išvežtus iš Lietuvos Respublikos teritorijos, arba tranzitu kirtusius Lietuvos Respublikos teritoriją: registracijos muitinėje data, deklaracijos registravimo numeris, deklaracijos tipas, sienos kirtimo įstaiga, siuntėjo pavadinimas arba vardas (-ai) ir pavardė (-ės), siuntėjo adresas, siuntėjo kodas (išskyrus asmens kodą), gavėjo pavadinimas arba vardas (-ai) ir pavardė (-ės), gavėjo adresas, gavėjo kodas (išskyrus asmens kodą), informacija apie jonizuojančiosios spinduliuotės šaltinį, informacija apie dokumentus, teikiamus kartu su jonizuojančiosios spinduliuotės šaltiniu, ir kiti duomenys (išskyrus asmens duomenis);
14.5. Individualiųjų dozių tyrimų duomenų bazė, kurioje kaupiami šie duomenys: individualiųjų dozimetrų kainos, individualiųjų dozimetrų išdavimo–priėmimo protokolų numeriai, surašymo datos, užsakovo pavadinimas, kodas, buveinės adresai arba fizinio asmens vardas (-ai) ir pavardė (-ės), kodas arba asmens dokumento duomenys, gyvenamosios vietos adresas, individualiojo dozimetro išdavimo periodai, darbuotojo vardas (-ai) ir pavardė (-ės), darbovietės pavadinimas, individualiųjų dozimetrų numeriai, individualiųjų dozimetrų nešiojimo būdai, individualiųjų dozių tyrimų protokolų numeriai, individualiųjų dozių tyrimų protokolų surašymo datos, individualiųjų dozių tyrimų atlikimo datos, individualiųjų dozių tyrimų rezultatų vertinimo duomenys, ištirtų individualiųjų dozimetrų dozių vertės, metinių suvestinių numeriai, metinių suvestinių išdavimo datos, tam tikro laikotarpio darbuotojų individualiųjų dozių duomenys, metinių suvestinių duomenys ir kiti duomenys (išskyrus asmens duomenis).
15. RSIS veikia Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro pagrindu.
Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro duomenys, padedantys identifikuoti ir aprašyti RSIS kaupiamų duomenų subjektą, perduodami RSIS skaitmeniniu būdu duomenų perdavimo kanalais, vykdant šių Nuostatų 18.1, 18.2, 18.3 ir 18.4 punktuose nurodytas funkcijas:
15.1. fizinių, juridinių asmenų, Lietuvos Respublikoje įregistruotų Europos ekonominės erdvės valstybių juridinių asmenų filialų, turinčių licenciją verstis veikla su jonizuojančiosios spinduliuotės šaltiniais, ir Europos ekonominės erdvės valstybių fizinių ir juridinių asmenų, turinčių vienkartinį leidimą teikti paslaugą naudojant jonizuojančiosios spinduliuotės šaltinius, kodai, pavadinimai, buveinės adresai ar asmens kodai arba asmens dokumentų duomenys (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenys), vardai ir pavardės, gyvenamosios vietos adresai;
15.2. darbuotojų, dirbančių su jonizuojančiosios spinduliuotės šaltiniais, identifikavimo kodai Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registre, darbuotojų, dirbančių su jonizuojančiosios spinduliuotės šaltiniais, vardai ir pavardės, darboviečių pavadinimai, pareigos, kategorijos (pagal galimą metinę efektinę dozę).
16. Integruotos muitinės informacinės sistemos duomenys RSIS teikiami pasirašius duomenų teikimo sutartį. Duomenys perduodami RSIS skaitmeniniu būdu duomenų perdavimo kanalais ir naudojami vykdant šių Nuostatų 18.3 punkte nurodytas funkcijas. RSIS teikiami muitinės deklaracijų (bendrojo dokumento) importo ir eksporto duomenys bei muitinės deklaracijų (bendrojo dokumento arba TIR knygelės), tranzito duomenys, nurodyti šių Nuostatų 14.4 punkte.
IV. RSIS FUNKCINĖ STRUKTŪRA
18. RSIS sudaro tokios posistemės:
18.1. Radiacinės saugos priežiūros ir kontrolės skyriaus funkcijoms vykdyti skirta posistemė, kurią sudaro:
18.1.1. Patikrinimų modulis, kurio paskirtis:
18.1.2. Radioaktyviųjų medžiagų ir radioaktyviųjų atliekų vežimo modulis, kurio paskirtis:
18.1.2.1. registruoti leidimo vežti radioaktyviąsias medžiagas ir radioaktyviąsias atliekas paraiškas;
18.1.2.4. registruoti leidimų vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas duomenis;
18.1.2.5. kontroliuoti leidimų vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas galiojimo terminus;
18.2. Radiologinių avarijų modulis, kurio paskirtis:
18.2.1. registruoti Lietuvos Respublikos teritorijoje arba kaimyninėse šalyse įvykusių radiologinių avarijų duomenis;
18.3. Muitinės deklaracijų duomenų modulis, kurio paskirtis:
18.3.1. registruoti duomenis iš muitinės deklaracijų, įformintų bendruoju dokumentu, apie jonizuojančiosios spinduliuotės šaltinių importą;
18.3.2. registruoti duomenis iš muitinės deklaracijų, įformintų bendruoju dokumentu, apie jonizuojančiosios spinduliuotės šaltinių eksportą;
18.3.3. registruoti duomenis iš muitinės deklaracijų, įformintų bendruoju dokumentu arba TIR knygele, apie jonizuojančiosios spinduliuotės šaltinių tranzitą.
18.4. Individualiosios dozimetrijos skyriaus funkcijoms vykdyti skirtas modulis, kurio paskirtis:
18.4.4. rengti individualiųjų dozimetrų išdavimo–priėmimo protokolus, individualiųjų dozių tyrimų protokolus, metines suvestines;
18.4.6. darbuotojų nustatytas dozes susieti su Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registre saugomais duomenimis;
18.4.9. teikti individualiųjų dozių tyrimų, individualiųjų dozimetrų išdavimo–priėmimo, individualiųjų dozių tyrimų protokolus ir metines suvestines duomenų perdavimo kanalais;
V. DUOMENŲ SAUGA
20. Duomenys RSIS duomenų bazėje saugomi ne ilgiau, nei to reikia duomenų tvarkymo tikslams pasiekti. Pasiekus iškeltus tikslus, jie perkeliami į RSIS duomenų bazės archyvą. RSIS duomenų saugojimo terminai ir jų naikinimo tvarka nustatoma RSIS valdytojo tvirtinamose RSIS saugaus elektroninės informacijos tvarkymo taisyklėse, instrukcijose bei procedūrų aprašymuose.
21. Asmens duomenys RSIS duomenų bazėje saugomi tiek, kiek to reikia duomenų tvarkymo tikslams pasiekti, bet ne ilgiau nei:
21.5. administracinių teisės pažeidimų protokoluose, administracinių teisės pažeidimų bylų nutarimuose nurodyti asmens duomenys – 1 metus;
21.6. paraiškose išduoti leidimą vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas, leidimuose vežti radioaktyviąsias medžiagas ar radioaktyviąsias atliekas nurodyti asmens duomenys – 10 metų;
22. Pasibaigus asmens duomenų saugojimo terminui, asmens duomenys yra sunaikinami, jei įstatymai nenustato kitaip.
24. RSIS duomenų sauga užtikrinama vadovaujantis:
24.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
24.3. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
24.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
24.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
24.6. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298);
24.7. Lietuvos standartais LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, bei kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
25. Duomenų subjektų teisės RSIS įgyvendinamos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų nustatyta tvarka. RSIS duomenų naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga išlieka pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
VI. RSIS FINANSAVIMAS
VII. RSIS REORGANIZAVIMAS IR LIKVIDAVIMAS
28. Likviduojant RSIS, jos duomenys perduodami kitai informacinei sistemai, valstybės archyvui arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.
| SUDERINTA |
SUDERINTA |
| Lietuvos Respublikos vidaus reikalų ministerijos |
Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės |
| 2010 m. kovo 16 d. raštu Nr. 1D-1828 |
2010 m. gegužės 5 d. raštu Nr. (13)S-568 |
|
|
|
| SUDERINTA |
SUDERINTA |
| Valstybinės duomenų apsaugos inspekcijos |
Muitinės departamento prie Lietuvos Respublikos finansų ministerijos |
| 2010 m. balandžio 30 d. raštu Nr. 2R-1287 |
2010 m. gegužės 6 d. raštu Nr. 3B-20.2/06-3769 |
PATVIRTINTA
Lietuvos Respublikos
sveikatos apsaugos ministro
2010 m. liepos 1 d. įsakymu Nr. V-600
RADIACINĖS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Radiacinės saugos duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti Radiacinės saugos informacinės sistemos (toliau – RSIS) duomenis.
2. Saugos nuostatai reglamentuoja elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su RSIS, RSIS naudotojų supažindinimo su saugos dokumentais principus.
3. Saugos nuostatuose vartojamos sąvokos:
administratoriai – programinės įrangos administratorius ir kompiuterinės įrangos administratorius;
programinės įrangos administratorius – RSIS tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacinių technologijų taikomąsias sistemas ir duomenų bazes;
kompiuterinės įrangos administratorius – RSIS tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis tarnybines stotis, kompiuterių tinklo ir kitą kompiuterinę įrangą;
elektroninė informacija – visa informacija, tvarkoma RSIS priemonėmis: programos, elektroninės bylos ir kita informacija, saugoma, perduodama ir sukuriama kompiuteriu;
elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie RSIS galimybę, sutrikdyti ar pakeisti RSIS veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;
informacijos tvarkymas – visos su informacija atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas;
kompiuterinė įranga – kompiuteriai, tarnybinės stotys, jų dalys, išoriniai įrenginiai (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatai, klaviatūros, pelės, garso kolonėlės, ausinės, filmavimo kameros, fotoaparatai, projektoriai ir pan.), kompiuterių tinklo įranga, kompiuterinės bei tinklinės įrangos montavimo spintos, nepertraukiamo elektros maitinimo šaltiniai ir pan.;
kompiuterių tinklas – tarnybinė stotis ir darbo vietų kompiuteriai, kompiuterine įranga (kabeliais ir kompiuterių tinklo aparatūra) sujungti į sistemą, siekiant užtikrinti vartotojams operatyvų pasikeitimą informacija, kolektyvinį kompiuterinės ir programinės įrangos naudojimą bei interneto paslaugas;
programinė įranga – programos, skirtos kompiuterinei įrangai valdyti bei joje esantiems duomenims apdoroti (operacinės sistemos, programavimo sistemos, biuro programų paketai, antivirusinės, archyvavimo bei kitos taikomosios programos);
RSIS naudotojas – RSIS tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat kitas asmuo, turintis teisę naudotis RSIS ištekliais numatytoms funkcijoms atlikti;
saugos įgaliotinis – RSIS tvarkymo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atsakingas už elektroninės informacijos saugą RSIS.
Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
4. Saugos nuostatai apibrėžia RSIS saugos politiką, kuri įgyvendinama RSIS saugaus elektroninės informacijos tvarkymo taisyklėmis, RSIS veiklos tęstinumo valdymo planu ir RSIS naudotojų administravimo taisyklėmis (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatai kartu su saugos politiką įgyvendinančiais dokumentais sudaro saugos dokumentus.
5. RSIS duomenų saugos tikslai:
6. Informacijos saugumo užtikrinimo prioritetinės kryptys:
6.1. fizinė informacijos apdorojimo priemonių (tarnybinės stotys, informacijos perdavimo įranga, programinė įranga) ir patalpų apsauga;
7. RSIS valdytoja yra Lietuvos Respublikos sveikatos apsaugos ministerija (adresas: Vilniaus g. 33, LT-01506 Vilnius).
8. RSIS tvarkytojas yra Radiacinės saugos centras (toliau – RSC) (adresas: Kalvarijų g. 153, LT-08221 Vilnius).
9. RSIS valdytojo funkcijos ir atsakomybė:
9.4. kontroliuoja, kad RSIS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais ir kitais teisės aktais;
9.5. užtikrina efektyvų ir spartų RSIS funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Tai reglamentuoja Lietuvos Respublikos sveikatos apsaugos ministro tvirtinamoje RSIS pokyčių valdymo tvarkoje;
10. RSIS tvarkytojo funkcijos ir atsakomybė:
10.1. RSIS valdytojui pavedus, skiria saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos dokumentų įgyvendinimą RSC;
10.2. skiria administratorius ir paveda jiems užtikrinti RSIS tarnybinių stočių ir RSIS naudotojų kompiuterizuotų darbo vietų saugų funkcionavimą, administruoti RSIS duomenų bazę saugos dokumentų ir kitų teisės aktų nustatyta tvarka;
11. Saugos įgaliotinis, užtikrindamas RSIS elektroninės informacijos saugą, atlieka šias funkcijas:
11.1. teikia RSC direktoriui pasiūlymus dėl:
12. Administratoriai atlieka šias funkcijas:
12.1. programinės įrangos administratorius: RSIS naudotojų teisių priskyrimo, RSIS komponentų (operacinės sistemos, duomenų bazės valdymo sistemos, taikomųjų programų sistemų), sąrankos, RSIS pažeidžiamų vietų nustatymo, saugumo reikalavimų atitikties vertinimo;
13. Keisdami RSIS funkcijas ir nustatymus, administratoriai turi laikytis RSIS valdytojo patvirtintos RSIS pokyčių valdymo tvarkos.
15. RSIS duomenys tvarkomi ir RSIS duomenų sauga užtikrinama, vadovaujantis:
15.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
15.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
15.3. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 1999 m. gegužės 25 d. nutarimu Nr. 651 (Žin., 1999, Nr. 47-1483; 2007, Nr. 55-2140);
15.4. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
15.5. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
15.6. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
15.7. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298);
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
16. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247, 3.2.6 punktu, RSIS priskiriamas antrajai informacinių sistemų kategorijai.
17. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja RSIS rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį RSIS rizikos vertinimą. Saugos įgaliotinį paskyrusio RSC direktoriaus rašytiniu pavedimu RSIS rizikos vertinimą gali atlikti pats saugos įgaliotinis.
18. Įvertinus RSIS riziką, parengiama RSIS rizikos vertinimo ataskaita. RSIS rizikos vertinimo ataskaita rengiama atsižvelgiant į RSIS rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai, kurie gali pažeisti RSIS duomenų ir parengtos pagal juos informacijos saugą, yra:
18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);
18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis RSIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kt.);
19. Atsižvelgdamas į rizikos vertinimo ataskaitą, Lietuvos Respublikos sveikatos apsaugos ministras prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis RSIS rizikos valdymo priemonėms įgyvendinti.
20. Siekiant užtikrinti saugos dokumentų nuostatų laikymosi kontrolę, teisės aktų nustatyta tvarka kasmet, iki gruodžio 1 d., atliekamas RSIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:
20.3. patikrinama ne mažiau kaip 10 proc. atsitiktinai parinktų RSIS naudotojų kompiuterizuotų darbo vietų, RSIS tarnybinėse stotyse įdiegtos programos ir jų sąranka;
21. Atlikus RSIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus RSC direktorius.
22. Kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 min.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
24. Prieigos prie RSIS užtikrinimo metodai ir priemonės:
24.1. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam RSIS naudotojui arba RSIS naudotojų grupei;
24.2. pasibaigus valstybės tarnybos (darbo) santykiams, RSIS naudotojo teisė naudotis RSIS turi būti panaikinta, RSIS naudotojo veiklos tyrimo metu teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma;
25. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti RSIS nuo kenkimo programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.):
25.1. kenkimo programų paieškos technologijos (scan engine) turi būti ne senesnės nei 3 mėnesių. Minėtos technologijos atnaujinamos nuolat, automatiniu būdu. Atnaujinimai turi būti įdiegti per 7 paras;
25.2. kenkimo programų aprašų bazė (virus database) turi būti ne senesnė nei 1 mėnesio. Minėta aprašų bazė atnaujinama nuolat, automatiniu būdu. Atnaujinimai turi būti įdiegti per 7 paras;
25.3. turi būti įdiegtos kenkimo programų paieškos ir blokavimo visose sisteminiuose kataloguose esančiose rinkmenose (įskaitant suspaustas rinkmenas) technologijos;
25.4. turi būti įdiegtos kenkimo programų paieškos ir blokavimo visuose kompiuterių tinklo kompiuteriuose ir tarnybinėse stotyse esančiose rinkmenose (įskaitant suspaustas bei įkrovos rinkmenas) technologijos;
26. Programinės įrangos, ribojančios programinės įrangos, nesusijusios su RSIS veikla ar RSIS naudotojų funkcijomis, naudojimo reikalavimai:
26.2. periodiškai, ne rečiau kaip kartą per 3 mėnesius, turi būti tikrinama, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;
26.3. RSIS objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, naikinti ir teikti RSC turi būti taikomos šios programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės:
26.3.1. RSIS naudotojams prieiga prie RSIS duomenų suteikiama tik užsiregistravus (įvedus RSIS naudotojo vardą ir slaptažodį). RSIS naudotojų slaptažodžiai keičiami ne rečiau kaip kartą per 3 mėnesius. Administratoriai savo tapatybę turi patvirtinti slaptažodžiu, kuriam keliami aukštesni (nei RSIS naudotojų slaptažodžiams) reikalavimai;
26.3.3. RSIS naudotojas, baigęs darbą, turi imtis priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo RSIS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą;
27. Prieiga prie nešiojamuosiuose kompiuteriuose esančios informacijos apsaugoma operacinės sistemos vartotojo vardu ir slaptažodžiu. Nešiojamuosiuose kompiuteriuose neturi būti jokios svarbios informacijos, išskyrus naudotojo darbo dokumentus. RSIS duomenys iš nešiojamojo kompiuterio pasiekiami tik RSC vidaus tinklu. Nešiojamieji kompiuteriai RSIS tvarkyti gali būti naudojami tik RSC patalpose.
28. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant virtualų privatų tinklą (virtual private network) arba šifravimą.
29. RSIS duomenų gavimo automatiniu būdu iš kitų informacinių sistemų tvarka nustatoma duomenų teikimo sutartyse.
30. RSIS fizinę saugą RSC patalpose užtikrina šios saugos priemonės: signalizacija, įėjimo kontrolės sistema, apsauginės žaliuzės, stebėjimas vaizdo kamera ir kt.
31. RSIS administruoti naudojamas tarnybinių stočių operacines sistemas, techninę ir programinę įrangą, reikalingą RSIS naudotojo funkcijoms vykdyti, diegia ir prižiūri tik administratoriai.
34. RSIS duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka, kopijuojamų duomenų imtis, atsarginių duomenų kopijų darymo būdai ir dažnumas bei asmens, atsakingo už atsarginių duomenų kopijų darymą, duomenų atkūrimą ir atsarginių duomenų apsaugą, funkcijos, teisės ir pareigos bei atsarginių duomenų kopijų saugojimo tvarką nustato RSIS saugaus elektroninės informacijos tvarkymo taisyklės.
IV. REIKALAVIMAI PERSONALUI
35. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
36. Administratoriais gali būti skiriami valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, išmanantys darbą su duomenų bazėmis ir kompiuterių tinklais ir mokantys užtikrinti jų saugumą.
37. RSIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su saugos dokumentais.
38. RSIS naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriams arba saugos įgaliotiniui.
39. Saugos įgaliotinis periodiškai inicijuoja RSIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugą (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).
V. RSIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
41. Tvarkyti RSIS duomenis gali tik įgalioti RSIS naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų.
42. RSIS naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.
VI. BAIGIAMOSIOS NUOSTATOS
44. Saugos įgaliotinis organizuoja saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba RSC įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.