Įsakymas netenka galios 2020-03-18:
Lietuvos Respublikos švietimo, mokslo ir sporto ministerija, Įsakymas
Nr. V-374, 2020-03-17, paskelbta TAR 2020-03-17, i. k. 2020-05589
Dėl kai kurių Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos valdomų registrų ir Valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo
Suvestinė redakcija nuo 2015-12-04 iki 2020-03-17
Įsakymas paskelbtas: Žin. 2010, Nr. 18-842, i. k. 1102070ISAK000V-173
Nauja redakcija nuo 2015-12-04:
Nr. V-1231, 2015-12-03, paskelbta TAR 2015-12-03, i. k. 2015-19245
„LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
ĮSAKYMAS
DĖL STUDENTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2010 m. vasario 5 d. Nr. V-173
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 punktu ir Lietuvos Respublikos švietimo ir mokslo ministro 2015 m. lapkričio 9 d. įsakymo Nr. V-1135 „Dėl švietimo ir mokslo ministro 2009 m. birželio 16 d. įsakymo Nr. ISAK-1245 „Dėl Studentų registro įsteigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“ pakeitimo“ 2.2 papunkčiu:
2. P a v e d u Švietimo informacinių technologijų centrui per 3 mėnesius nuo šio įsakymo įsigaliojimo:
2.1. pateikti švietimo ir mokslo ministrui tvirtinti Studentų registro saugaus elektroninės informacijos tvarkymo taisykles, Studentų registro sistemos veiklos tęstinumo valdymo planą, Studentų registro naudotojų administravimo taisykles;
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2010 m. vasario 5 d.
įsakymu Nr. V-173
STUDENTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Studentų registro (toliau – Registras) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti Registro objektų duomenis, juos teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.
2. Saugos nuostatai parengti pagal Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).
3. Saugos nuostatai privalomi Švietimo informacinių technologijų centrui, Registro tvarkymo įstaigoms ir Registro duomenų tvarkytojams.
4. Saugos nuostatai nustato Registro saugos politiką (toliau – saugos politika). Saugos politiką įgyvendina Studentų registro saugaus duomenų tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Studentų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Studentų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), Registro duomenų kopijų kūrimo tvarkos aprašas.
5. Saugos politika vykdoma šiomis prioritetinėmis kryptimis:
5.2. įgyvendinant prieigos teisių prie Registro duomenų suteikimą ir duomenų vartotojo tapatumo identifikavimą;
5.7. įgyvendinant Registro duomenų vientisumą su švietimo ir mokslo registrais ir informacinėmis sistemomis;
6. Vadovaujančioji registro tvarkymo įstaiga yra Lietuvos Respublikos švietimo ir mokslo ministerija (toliau – Ministerija), buveinės adresas: A. Volano g. 2/7, LT-01516 Vilnius. Vadovaujančioji registro tvarkymo įstaiga yra ir Registro duomenų valdytoja.
7. Registro tvarkymo įstaigos yra aukštosios mokyklos ir Švietimo informacinių technologijų centras. Aukštųjų mokyklų pavadinimai, jų buveinės adresai nurodomi Ministerijos tvarkomoje Atviros informavimo, konsultavimo ir orientavimo sistemos (AIKOS) interneto svetainėje, svetainės adresas www.aikos.smm.lt. Švietimo informacinių technologijų centro buveinės adresas: Suvalkų g. 1, LT-03113 Vilnius.
8. Švietimo informacinių technologijų centro direktorius skiria Registro saugos įgaliotinį (toliau – Saugos įgaliotinis). Švietimo ir mokslo ministras tvirtina Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. Ministerija prižiūri Registro saugos dokumentų rengimą ir jų įgyvendinimą.
9. Švietimo ir mokslo ministrui tvirtinti teikiami Saugos įgaliotinio parengti Saugos nuostatų, Tvarkymo taisyklių, Valdymo plano, Administravimo taisyklių projektai turi būti nustatyta tvarka suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir suinteresuotais Ministerijos administracijos padaliniais.
10. Švietimo informacinių technologijų centro direktorius turi:
10.1. pavesti Saugos įgaliotiniui organizuoti ir kontroliuoti saugos dokumentų įgyvendinimą aukštosiose mokyklose ir Švietimo informacinių technologijų centre;
10.2. paskirti Registro administratorių, jam pavesti užtikrinti Registro tarnybinės stoties saugų funkcionavimą, administruoti Registro duomenų bazę Saugos nuostatų ir kitų saugos dokumentų nustatyta tvarka;
11. Saugos įgaliotinis turi:
11.1. vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;
11.3. koordinuoti elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);
11.5. periodiškai inicijuoti Registro duomenų tvarkytojų mokymą informacijos saugos klausimais, įvairiais būdais informuoti juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir kt.);
11.7. teikti siūlymus dėl administratorių paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);
12. Registro administratorius turi:
12.1. administruoti ir tvarkyti Registro duomenų bazę, užtikrinti tinkamą ir nepertraukiamą Registro veikimą;
12.3. automatiniu būdu atnaujinti Registro duomenų bazėje nacionalinius ir žinybinius klasifikatorius;
12.5. užtikrinti, kad Registro duomenys, gauti iš susijusių registrų, būtų nuolat atnaujinami ir atitiktų susijusiuose registruose esančius duomenis;
12.7. informuoti Registro duomenų gavėjus, kuriems buvo perduoti neteisingi, netikslūs, neišsamūs Registro duomenys, apie ištaisytus netikslumus;
13. Aukštųjų mokyklų vadovai (jų įgalioti asmenys) ir Švietimo informacinių technologijų centro direktorius turi paskirti fizinius asmenis, pavesti jiems tvarkyti Registro duomenis, užtikrinti Registro saugą ir saugos politiką, saugos dokumentų nustatyta tvarka.
14. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172, Lietuvos standartu LST ISO/IEC 17799:2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais Registro saugų duomenų tvarkymą.
II. REGISTRO DUOMENŲ SAUGOS VALDYMAS
15. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.3 punktu, Registras priskiriamas trečiajai informacinės sistemos kategorijai, kuriame logiškai tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką valstybės institucijos ar įstaigos veiklai ir Registre tvarkomiems asmens duomenims. Registro duomenis sudaro bendrieji (nurodyti Studentų registro nuostatuose) ir technologiniai (Registro duomenų tvarkytojo) duomenys.
16. Saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui ir prieinamumui.
17. Teisės aktų nustatyta tvarka atliekant Registro informacinių technologijų saugos atitikties vertinimą (atliekamas ne rečiau kaip kartą per dvejus metus):
17.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Registro tvarkytojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;
18. Atlikus Saugos nuostatų 15 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas (toliau – Planas), kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato Švietimo informacinių technologijų centro direktorius.
19. Saugos įgaliotinis turi:
19.1. atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoti Registro rizikos įvertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Registro vadovaujančios tvarkymo įstaigos rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
19.2. Registro rizikos įvertinimą išdėstyti rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
19.2.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
19.2.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
19.3. patvirtinus Rizikos ataskaitą, per 10 kalendorinių dienų parengti Planą, kuriame nurodyti rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Planą tvirtina Švietimo informacinių technologijų centro direktorius;
20. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms savivaldybių administracijose ir Švietimo informacinių technologijų centre tikėtinumui vertinti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos Registro tvarkymo įstaigose turi būti naudojamos programinės priemonės (viena iš jų) – Symantec Norton Antivirus, McAfee, Virus Scan, Panda AntiVirus, Dr. Web, Kaspersky AntiVirus, atnaujinamos ne rečiau kaip kartą per mėnesį.
23. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims Registro tvarkymo įstaigos turi naudoti programinės ir techninės įrangos saugos priemones, kuriose:
23.2. realizuota Registro duomenų tvarkytojams prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;
23.4. realizuota galimybė identifikuoti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti;
23.6. apribotas programinės įrangos, nesusijusios su Registro tvarkymo įstaigų veikla ar funkcijomis (žaidimai, bylų siuntimo, interneto pokalbių programos ir kt.), naudojimas;
23.7. stacionarieji kompiuteriai gali būti naudojami tik Registro tvarkymo įstaigų patalpose nustatytoms Registro tvarkymo funkcijoms vykdyti. Kompiuteriuose įdiegti prisijungimo ribojimai, kurie apsaugo nuo nesankcionuotų veiksmų su Registro duomenimis. Nešiojamieji kompiuteriai naudojami tik Registro reprezentaciniams tikslams ir neturi jokių prieigų prie Registro duomenų.
23.8. viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant HTTPS (Hypertext Transfer Protocol Secure) protokolą arba šifravimą;
24. Saugos įgaliotinis, Registro administratorius turi organizuoti aukštosiose mokyklose ir Švietimo informacinių technologijų centre Registro programinės, techninės įrangos saugos priemonių įgyvendinimą.
25. Registro administratorius turi parengti Registro duomenų kopijų kūrimo tvarkos aprašą, kuriame nurodoma:
IV. REIKALAVIMAI PERSONALUI
26. Registro objektų duomenims saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti Studentų registro nuostatuose nurodytiems susijusiems švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų vartotojams gali asmenys, susipažinę su Registro nuostatais, registrų ir informacinių sistemų saugos dokumentais.
27. Saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
28. Saugos įgaliotinis turi nuolat organizuoti Registro duomenų tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, supažindinti su saugos dokumentais, saugaus darbo su duomenimis būdais, priminti apie saugumo problematiką (pavyzdžiui, priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
29. Registro duomenų tvarkytojai turi:
29.2. mokėti tvarkyti Registro duomenis Registro nuostatuose, detaliose darbo su Registro duomenimis taisyklėse nurodyta tvarka;
V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU DOKUMENTAIS PRINCIPAI
31. Registro duomenų tvarkytojus ir Registro administratorių su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Saugos įgaliotinis. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.
VI. BAIGIAMOSIOS NUOSTATOS
33. Saugos nuostatai ir kiti saugos dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.
34. Registro tvarkymo įstaigos privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.
35. Duomenys apie Registro duomenų tvarkytojų, Registro administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.
Pakeitimai:
1.
Lietuvos Respublikos švietimo ir mokslo ministerija, Įsakymas
Nr. V-1231, 2015-12-03, paskelbta TAR 2015-12-03, i. k. 2015-19245
Dėl švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymo Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo