LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJA

 

 

 

Aplinkos ministerijai							2011-07- Į 2011-07-08	Nr. 1D-            (3) Nr. (5-1)-D8-6389

 

DĖL įsakymų projektų DERINIMO

 

 

  Vidaus reikalų ministerija, išnagrinėjusi Lietuvos Respublikos aplinkos ministro įsakymo „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų registro duomenų saugos nuostatų patvirtinimo“ projektą (toliau – projektas) ir Lietuvos Respublikos aplinkos ministro įsakymo „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų registro saugaus elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos teritorijų planavimo dokumentų registro veiklos tęstinumo valdymo plano ir Lietuvos Respublikos teritorijų planavimo dokumentų registro naudotojų administravimo taisyklių patvirtinimo“ projektą (toliau – įsakymo projektas), teikia šias pastabas ir pasiūlymus:

 

Dėl projekto:

 

1.        Projekto 2 ir 3 punktuose numatomas tiek Lietuvos Respublikos teritorijų planavimo dokumentų registro (toliau – registras) saugos įgaliotinio skyrimas, tiek pavedimas registro tvarkymo įstaigai – Valstybinei teritorijų planavimo ir statybos inspekcijai prie Aplinkos ministerijos – taip pat paskirti saugos įgaliotinį. Taigi pagal projekto 2 ir 3 punktų nuostatas būtų paskirti net du registro saugos įgaliotiniai. Atkreiptinas dėmesys, kad iš Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, (toliau – Bendrieji reikalavimai) 8 ir 15 punktų nuostatų spręstina, jog saugos įgaliotinio skyrimas ar pavedimas registro tvarkymo įstaigai paskirti saugos įgaliotinį yra alternatyva (vadovaujančioji registro tvarkymo įstaiga turėtų arba pati skirti saugos įgaliotinį, arba pavesti tai padaryti registro tvarkymo įstaigai). Reikalavimai dėl kelių saugos įgaliotinių skyrimo nustatyti Bendrųjų reikalavimų 25 punkte – nurodomos kelios informacinės sistemos, kurioms ir skiriami saugos įgaliotiniai. Papildomo saugos įgaliotinio, kai jis skiriamas nesant savarankiškos informacinės sistemos, statusas, įgaliojimai ir vieta informacinės sistemos saugos užtikrinimo mechanizme nėra apibrėžiami Bendruosiuose reikalavimuose. Be to, įvertinus projekto 1 punktu tvirtinamų Lietuvos Respublikos teritorijų planavimo dokumentų registro duomenų saugos nuostatų (toliau – nuostatai) turinį akivaizdu, kad juose nėra atskleisti registro saugos įgaliotinių įgaliojimai. Atsižvelgdami į tai, kas išdėstyta, abejojame dviejų registro saugos įgaliotinių skyrimo tikslingumu ir pagrįstumu, todėl siūlome tikslinti projektą ir nuostatus.

2.        „Registro techninio administratoriaus“ sąvokoje (nuostatų 3 punktas) dėstoma, kad registro techniniu administratoriumi gali būti ir „techninės projekto priežiūros tiekėjo specialistas“. Siūlome nuostatuose nurodyti, kas yra techninės projekto priežiūros teikėjas, nes jei pastarojo veiklą vykdo privatus juridinis asmuo, vadovaujantis Bendrųjų reikalavimų 4 punkto penktąja pastraipa ir 17.1 punktu, nei registro valdytojas (vadovaujančioji registro įstaiga), nei tvarkytojai (registro tvarkymo įstaigos) registro techniniu administratoriumi negalėtų paskirti privataus asmens darbuotojo.

3.        Vadovaujantis Bendrųjų reikalavimų 4 punkto trečia pastraipa, nuostatų 3 punkte papildomai nurodytina saugos įgaliotinio funkcija – įgyvendinti registro duomenų saugą.

4.        Vadovaujantis Saugos dokumentų turinio gairių, patvirtintų vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172, (toliau – Gairės) 3.1.2 punktu, nuostatų 8 punkto pirmoje pastraipoje prieš žodį „kryptys“ įrašytinas žodis „prioritetinės“.

5.        Stilistiniu aspektu tikslintinas nuostatų 8.3 punktas.

6.        Nuostatų 8.4 punkte išbrauktina nuoroda į 1 priedą, nes nuostatai neturi priedų. Nuostatų 8.4 punkte sąvoką „nenumatyta situacija“ reikėtų keisti sąvoka „elektroninės informacijos saugos incidentas“, kuri apibrėžta Gairių 2 punkte.

7.        Vadovaujantis Gairių 3.1.4 punktu, nuostatų 12 ir 15 punktuose turi būti nustatomos vadovaujančios registro tvarkymo įstaigos ir registro tvarkytojų vadovų funkcijos. Siūlome tikslinti.

8.        Pažymėtina, kad pagal Bendrųjų reikalavimų 14 punktą už registro duomenų tvarkymo teisėtumą turi atsakyti ne registro tvarkytojai (nuostatų 15.2 punktas), bet vadovaujančioji registro tvarkymo įstaiga. Siūlome tikslinti.

9.        Atsižvelgę į tai, kad registro techninės ir programinės įrangos įsigijimą organizuoja vadovaujančioji registro tvarkymo įstaiga (Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatų 14.2 punktas), nuostatų 15.3 punkte tikslintina, kad siūlymai dėl registro techninių, programinių priemonių įsigijimo teikiami ne Valstybinei teritorijų planavimo ir statybos inspekcijai prie Aplinkos ministerijos, bet vadovaujančiajai registro tvarkymo įstaigai.

10.    Atsižvelgiant į Bendrųjų reikalavimų 17.1 punktą, nuostatų 16.1 punkte nurodytinas subjektas, kuriam teikiami atitinkami siūlymai. Ši pastaba ir dėl nuostatų 16.7 punkto.

11.    Nuostatų 16.3 punkte tikslintina, apie kokias darbo grupes kalbama.

12.    Nuostatų 16.4 punkte tikslintina, kam teikiami siūlymai dėl atitinkamų paslaugų užsakymo.

13.    Siūlome nuostatuose suvienodinti sąvokas: „registro saugos reikalavimų atitikties vertinimas“ (nuostatų 16.1 punktas), „saugos atitikties vertinimas“ (nuostatų 16.4 punktas), „informacinių technologijų saugos atitikties vertinimas“ (nuostatų 26 punktas), „vertinimas“ (nuostatų 27 punktas), vartojant Bendrųjų reikalavimų VIII skyriuje įtvirtintą sąvoką „informacinių technologijų saugos atitikties vertinimas“.

14.    Vadovaujantis Bendrųjų reikalavimų 17.4 punktu, nuostatų 16.8 punkte tikslintina, kad registro saugos įgaliotinis atlieka kitas vadovaujančiosios registro tvarkymo įstaigos vadovo pavestas ir Bendruosiuose reikalavimuose jam priskirtas funkcijas.

15.    Nuostatų 17.7 punkte tikslintina, su kieno sauga susijusius nurodymus privalo vykdyti registro administratorius.

16.    Nuostatų 18.1 punkte vietoj žodžių „informacinės sistemos“ rašytinas žodis „Registro“.

17.    Nuostatų 18.2 punkte tikslintina, apie kokias, kieno saugos priemones kalbama. Taip pat pažymėtina, kad 18.2 punktas iš esmės atkartoja nuostatų 16.5 punktą, todėl neaišku, kas bus atsakingas už registro saugos reikalavimų atitiktį saugos dokumentams – registro administratorius ar registro techninis administratorius. Siūlome nurodytu aspektu atskirti nurodytų administratorių atsakomybę.

18.    Nuostatų 18.4 punktas tikslintinas, nes negali būti teikiami siūlymai dėl registro kūrimo, nes registras jau sukurtas, t. y. įteisintas ir veikia.

19.    Nuostatų 19.9 punkte siūlome tikslinti, apie kokius „įstaigų valdytojus“ kalbama.

20.    Atsižvelgiant į tai, kad pagal Gairių 3.4.1 punktą nuostatuose turi būti nustatyti kvalifikaciniai reikalavimai informacinių sistemų valdytojo ir tvarkytojo personalui (taigi ir registro naudotojams, kurie yra vadovaujančios registro tvarkymo įstaigos ir kitų registro tvarkymo įstaigų personalo dalis), nuostatų 20 punkte siūlytina nurodyti, kad nuostatai taikomi ir registro naudotojams.

21.    Vadovaujantis Bendrųjų reikalavimų 30 punktu, nuostatų 23 punkte vietoj „registro rizikos vertinimo“ sąvokos turi būti vartojama „registro rizikos įvertinimo“ sąvoka, be to, 23 punkto paskutiniame sakinyje vietoj žodžio „turi“ įrašytinas žodis „gali“.

22.    Siekiant koncentruoto teisinio reguliavimo, nuostatų 24.1–24.3 punktus siūlome išbraukti ir 24 punkte nurodyti, kad minėti veiksniai nustatyti Bendrųjų reikalavimų 31 punkte.

23.    Nuostatų 25 punkte tikslintinas plano pavadinimas, atsižvelgiant į Bendrųjų reikalavimų 32 punkto nuostatas.

24.    Nuostatų 26 punktą siūlome papildyti atsižvelgiant į Bendrųjų reikalavimų 38 punktą.

25.     Nuostatų 27 punkte vietoj „vadovaujančiosios registro įstaigos vadovo“ sąvokos vartotina „vadovaujančiosios registro tvarkymo įstaigos vadovo“ sąvoka.

26.    Nuostatų 30 punkte tikslintina, kad fiksuojamas ne registro, bet registro naudotojų tapatybės kodas.

27.    Nuostatų 36 punkte dėstoma, kad metodus, kuriais leidžiama naudotis norint užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, nustato vadovaujančioji registro tvarkymo įstaiga ir registro techninis administratorius. Pažymėtina, kad ši nuostata neatitinka Gairių 3.3.6 punkto reikalavimo, pagal kurį minėti metodai turi būti nustatyti vadovaujančiosios registro tvarkymo įstaigos vadovo (arba kitaip informacinės sistemos valdytojo vadovo) patvirtintuose nuostatuose. Taigi pagal Gairių 3.3.6 punktą pirmiau minėtus metodus gali nustatyti tik registro vadovaujančiosios registro tvarkymo įstaigos vadovas, bet ne kiti subjektai. Siūlome tikslinti.

28.    Atkreipiame dėmesį, kad pagal Gairių 3.3.7 punktą pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai turi būti nustatyti nuostatuose, kuriuos tvirtina vadovaujančioji registro tvarkymo įstaiga, o ne suderinami Registro techninio administratoriaus su Centrine Registro tvarkymo įstaiga, kaip dabar dėstoma nuostatų 36 punkte. Nurodytu aspektu siūlome tikslinti nuostatų 36 punktą. Ši pastaba ir dėl įsakymo projekto 1 punktu tvirtinamų Lietuvos Respublikos teritorijų planavimo dokumentų registro saugaus elektroninės informacijos tvarkymo taisyklių 15.2 punkto.

29.    Vadovaujantis Gairių 3.4.1 punktu, nuostatų 41 punkte kvalifikaciniai reikalavimai turi būti nustatyti ne registro tvarkytojui (registro tvarkymo įstaigoms), bet jo personalui. Be to, vadovaujantis Gairių 3.4.1 punktu, siūlytina nuostatų IV skyriuje nustatyti kvalifikacinius reikalavimus ir registro naudotojams.

30.    Vadovaujantis Gairių 3.4.2 punktu, nuostatų 42 punkte turi būti nustatyti mokymų dažnumo reikalavimai, t. y. kas kiek laiko vykdomi mokymai, nes nuostata, kad mokymai organizuojami periodiškai, yra abstrakti ir nepakankama, kadangi neatskleidžia, kas kiek laiko turi būti vykdomi mokymai.

31.    Nuostatų V skyriaus pavadinime vietoj žodžių „informacinės sistemos“ įrašytinas žodis „registro“.

32.    Nuostatų 43 ir 44 punktai išbrauktini kaip nesusiję su nuostatų V skyriaus reguliavimo dalyku, nes nenustato registro naudotojų supažindinimo su saugos dokumentais reikalavimų.

33. Vadovaujantis Gairių 3.5 punktu, nuostatų 45 punkte turi būti nurodytas ne supažindinimą su saugos dokumentais organizuojantis asmuo, bet asmuo, atsakingas už minėto supažindinimo vykdymą, be to, 45 punkte nurodytina, kad turi būti supažindinama ir su atsakomybe už saugos dokumentų pažeidimus. Siūlome nuostatų 45 punkte žodį „rašytinį“ keisti žodžiu „pasirašytiną“.

33.    Nuostatų 46 punktas nenuoseklus – neaišku, kodėl jame kalbama tik apie registro tvarkytojų atsakomybę, nors nuostatai taikomi ir kitiems subjektams (nuostatų 20 punktas). Nurodytu aspektu tikslintinas nuostatų 46 punktas.

 

Dėl įsakymo projekto:

 

1.    Įsakymo projekto 1 punktu tvirtinamų Lietuvos Respublikos teritorijų planavimo dokumentų registro saugaus elektroninės informacijos tvarkymo taisyklių (toliau – taisyklės) 7.2 punkte tikslintina nuostata „teisė dirbti su Registro“, nes neaišku, su kuo turi teisę dirbti registro administratorius.

2.    Atsižvelgiant į Gairių 4.4 punktą, taisyklių IV skyriaus pavadinimas dėstytinas taip: „IV. Reikalavimai, keliami registro funkcionavimui reikalingoms paslaugoms ir jų teikėjams.“

3.    Pažymėtina, kad įsakymo projekto 2 punkte tvirtinamo Lietuvos Respublikos teritorijų planavimo dokumentų registro veiklos tęstinumo valdymo plano (toliau – planas) 1 punkte įsivestas trumpinys „incidentas“ nevartojamas plano tekste. Todėl plano 7 ir kituose punktuose siūlome vartoti Gairių 2 punkte apibrėžtą „elektroninės informacijos saugos incidento“ sąvoką.

4.    Vadovaujantis Gairių 5.2.2.5 punktu, plano 11.3 punkte po žodžių „finansiniai ištekliai“ įrašytini žodžiai „ir kiti ištekliai“.

5.    Plano 11.6 punkte dėstoma, kad Valdymo grupė atlieka kitas jai pavestas funkcijas. Siūlome tikslinti, kas paveda šiai grupei atlikti kitas funkcijas. Ši pastaba ir dėl plano 13.3 punkto.

6.        Siūlome parengti ir Vidaus reikalų ministerijai pateikti susipažinti plano 20, 23, 24, 25 ir 27 punktuose nurodytą dokumentaciją.

7.        Manome, kad plano 21 ir 22 punktų formuluotės gali sudaryti neesminio ir formalaus pobūdžio kliūtis atkurti Registro veiklą per minimalų terminą. Siūlome tikslinti.

8.        Pažymėtina, kad plano 4 priede nepateikiama jokia informacija apie plano išbandymo rezultatus, kaip suponuoja šio priedo pavadinimas. Siūlome tikslinti.

9.    Įsakymo projekto 3 punkte tvirtinamų Lietuvos Respublikos teritorijų planavimo dokumentų registro naudotojų administravimo taisyklių (toliau – administravimo taisyklės) 3 punkte tikslintinas nuostatų pavadinimas, prieš žodį „saugos“ įrašant žodį „duomenų“.

10.    Atsižvelgiant į Gairių 6.2 punktą, administravimo taisyklių 7, 9 ir 11 punktuose turi būti reglamentuojami ne registro administratoriaus, techninio administratoriaus ir naudotojų veiksmai, bet įgaliojimai, teisės ir pareigos. Siūlome tikslinti.

11.    Administravimo taisyklių 10.2.1 ir 10.2.2 punktuose vietoj „registrą tvarkančių institucijų“ sąvokos vartotina „registro tvarkymo įstaigų“ sąvoka, kuri vartojama tiek registro nuostatuose, tiek registro duomenų saugos nuostatuose.

12.    Siūlome tikslinti administravimo taisyklių 12 punktą, nes, vadovaujantis Gairių 6.3 punktu, registro naudotojų supažindinimo su saugos dokumentais tvarka turi būti nustatyta ne registro duomenų saugos nuostatuose, bet administravimo taisyklių III skyriuje. Be to, pažymėtina, kad pagal Gairių 3.5 punktą registro duomenų saugos nuostatuose turi būti nustatyti tik pagrindiniai registro naudotojų supažindinimo su saugos dokumentais reikalavimai, bet ne detali tvarka. Atkreiptinas dėmesys, kad administravimo taisyklių III skyriuje nereglamentuotos pakartotinio supažindinimo su saugos dokumentais sąlygos. Siūlome papildyti.

13.    Administravimo taisyklių 13 punkte nurodyti registro naudotojų informavimo apie teisės aktus būdai (elektroninis paštas ir kiti būdai) nesutampa su registro duomenų saugos nuostatų 45 punkte nustatytais registro naudotojų informavimo apie teisės aktus būdais (supažindinimas pasirašytinai). Siūlome nurodytas nuostatas derinti tarpusavyje.

14.    Vadovaujantis Gairių 6.4.1 punktu, administravimo taisyklių IV skyriuje turi būti nustatyta, kokiais atvejais (kokia tvarka) būtų registruojami ir išregistruojami registro naudotojai.

15.    Administravimo taisyklių 22 punkte tikslintina, apie kokį „veiklos tyrimą“ kalbama.

16.    Siūlome administravimo taisyklių 27 punkte prieš žodį „naudotojai“ įterpti žodį „Registro“.

17.    Atkreipiame dėmesį, kad turi būti įgyvendinti Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techninių saugos reikalavimų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384, 5 punkto reikalavimai. Siūlome atitinkamai tikslinti pateiktus derinti projektą ir įsakymo projektą.

 

 

Vidaus reikalų viceministras

Gintaras Steponas Vyšniauskas

 

 

D. Cicėnas, tel. 271 8521, el. p. [email protected]

D. Liutkutė, tel. 271 7374, el. p. [email protected]