Suvestinė redakcija nuo 2007-09-21 iki 2013-09-12

 

Įsakymas paskelbtas: Žin. 2006, Nr. 41-1493, i. k. 1062070ISAKISAK-657

 

 

 

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

 

Į S A K Y M A S

DĖL ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. balandžio 6 d. Nr. ISAK-657

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir įgyvendindamas Švietimo ir mokslo institucijų registro nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2004 m. lapkričio 29 d. įsakymu Nr. ISAK-1871 (Žin., 2004, Nr. 174-6459), 11.5 ir 14.11 punktus:

1. Tvirtinu Švietimo ir mokslo institucijų registro duomenų saugos nuostatus (pridedama).

2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) teisės aktų nustatyta tvarka parengti ir iki 2006 m. rugpjūčio 1 d. pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Saugaus darbo su duomenimis taisykles, detalias darbo su duomenimis instrukcijas, procedūrų aprašymus bei paskirti duomenų saugos įgaliotinį.

 

 

ŠVIETIMO IR MOKSLO MINISTRAS                                                     REMIGIJUS MOTUZAS

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2006 m. kovo 30 d. raštu Nr. 1D-2390-(13)

 


PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2006 m. balandžio 6 d. įsakymu

Nr. ISAK-657

(Lietuvos Respublikos švietimo ir mokslo

ministro 2007 m. rugsėjo 12 d. įsakymo

Nr. ISAK-1804 redakcija)

 

ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Švietimo ir mokslo institucijų registro (toliau – Registras) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti Registro objektų duomenis, juos teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.

2. Registras yra žinybinis, apimantis organizacinių, techninių ir kitų priemonių, skirtų Registro objektams registruoti ir jų registravimo duomenims tvarkyti, visumą. Registras yra veikiantis, jo veiklos pradžia – 2005 m. sausio 1 d.

3. Saugos nuostatai parengti pagal Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 2007 m. balandžio 24 d. nutarimu Nr. 410 (Žin., 2007, Nr. 49-1891), Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).

4. Saugos nuostatai privalomi Registro tvarkymo įstaigoms ir jų paskirtiems tvarkyti Registro duomenis fiziniams asmenims.

5. Registro saugumo politiką (toliau – saugumo politika) apima Saugos nuostatai, Švietimo ir mokslo institucijų registro saugaus duomenų tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Švietimo ir mokslo institucijų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), kiti teisės aktai, reglamentuojantys Registro duomenų tvarkymo teisėtumą ir saugos valdymą.

6. Saugumo politika vykdoma šiomis prioritetinėmis kryptimis:

6.1. įgyvendinant atliekamų veiksmų su Registro duomenimis automatinį stebėjimą ir įrašų kaupimą;

6.2. įgyvendinant prieigos teisių prie Registro duomenų suteikimą ir duomenų vartotojo tapatumo identifikavimą;

6.3. įgyvendinant Registro duomenų kopijavimą, archyve esančių duomenų saugą;

6.4. įgyvendinant Registro duomenų saugą nuo žalingos programinės įrangos poveikio;

6.5. įrengiant saugias Registro tvarkymui skirtas patalpas ir kompiuterizuotas darbo vietas jose;

6.6. įgyvendinant Registro duomenų tvarkytojų kvalifikacijos tobulinimo sistemą;

6.7. įgyvendinant Registro duomenų integralumą su švietimo ir mokslo registrais ir informacinėmis sistemomis;

6.8. įgyvendinant Registro duomenų saugos priemones nuo nesankcionuoto poveikio Registro programinei, techninei įrangai ir (ar) Registro programinės įrangos modifikavimo.

7. Vadovaujančioji registro tvarkymo įstaiga yra Lietuvos Respublikos švietimo ir mokslo ministerija (toliau – Ministerija), buveinės adresas – A. Volano g. 2/7, LT-01516 Vilnius. Vadovaujančioji registro tvarkymo įstaiga yra ir Registro duomenų valdytoja.

8. Registro tvarkymo įstaigos yra Ministerija, Švietimo informacinių technologijų centras – buveinės adresas: Suvalkų g. 1, LT-03113 Vilnius, savivaldybių administracijos.

9. Švietimo ir mokslo ministras paskiria Registro saugos įgaliotinį (toliau – Saugos įgaliotinis), tvirtina Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. Ministerija prižiūri Registro saugumo politiką reglamentuojančių teisės aktų parengimą ir įgyvendinimą.

10. Švietimo ir mokslo ministrui tvirtinti teikiami Saugos įgaliotinio parengti Saugos nuostatų, Tvarkymo taisyklių, Valdymo plano, Administravimo taisyklių projektai turi būti nustatyta tvarka suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir suinteresuotais Ministerijos administracijos padaliniais.

11. Švietimo informacinių technologijų centro direktorius turi:

11.1. pavesti Saugos įgaliotiniui organizuoti ir kontroliuoti saugumo politiką reglamentuojančių teisės aktų įgyvendinimą savivaldybių administracijose ir Švietimo informacinių technologijų centre;

11.2. paskirti Registro administratorių, jam pavesti užtikrinti Registro tarnybinės stoties saugų funkcionavimą, administruoti Registro duomenų bazę Saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka;

11.3. nustatyti reikalavimus Saugos įgaliotiniui, Registro administratoriui ir Registro duomenų tvarkytojų kvalifikacijai.

12. Savivaldybių administracijų vadovai (jų įgalioti asmenys) ir Švietimo informacinių technologijų centro direktorius turi paskirti fizinius asmenis, jiems pavesti tvarkyti Registro duomenis, užtikrinti Registro duomenų saugą saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka.

13. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. balandžio 24 d. nutarimu Nr. 410 (Žin., 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Lietuvos standartu LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais Registro saugų duomenų tvarkymą.

 

II. REGISTRO DUOMENŲ SAUGOS VALDYMAS

 

14. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registro duomenis sudaro bendrieji (nurodyti Švietimo ir mokslo institucijų registro nuostatuose) ir technologiniai (Registro duomenų tvarkytojo) duomenys.

15. Saugos įgaliotinis turi:

15.1. per kalendorinius metus įvertinti rizikos veiksnių tikėtumą Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms ne mažiau kaip 6 savivaldybių administracijose ir Švietimo informacinių technologijų centre, išnagrinėti įrašus rizikos veiksnių tikėtumo registravimo žurnale, parengti pirmo pusmečio – iki liepos mėnesio 10 dienos, antro pusmečio – iki kitų metų sausio mėnesio 10 dienos Rizikos ataskaitą. Rizikos ataskaitą tvirtina Švietimo informacinių technologijų centro direktorius;

15.2. per 10 kalendorinių dienų, patvirtinus Rizikos ataskaitą, parengti Trūkumų šalinimo planą (toliau – Planas), Plane nurodyti rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Planą tvirtina Švietimo informacinių technologijų centro direktorius;

15.3. patvirtintas Ataskaitos ir Plano kopijas paštu išsiųsti Ministerijai ir savivaldybių administracijoms, nuolat kontroliuoti Plane nurodytų priemonių vykdymą.

16. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms savivaldybių administracijose ir Švietimo informacinių technologijų centre tikėtumui vertinti turi būti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:

16.1. nereikšmingas rizikos veiksnių tikėtumas, žala – 1 balas;

16.2. mažas rizikos veiksnių tikėtumas, žala – 2 balai;

16.3. vidutinis rizikos veiksnių tikėtumas, žala – 3 balai;

16.4. didelis rizikos veiksnių tikėtumas, žala – 4 balai;

16.5. labai didelis rizikos veiksnių tikėtumas, žala – 5 balai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

17. Registro duomenų tvarkytojų darbo su Registro duomenimis ir registravimo dokumentais tvarka nurodyta Švietimo ir mokslo institucijų registro nuostatuose, Detalioje darbo su Švietimo ir mokslo institucijų registro duomenimis instrukcijoje, patvirtintoje Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. gegužės 15 d. įsakymu Nr. ISAK-915, kituose Ministerijos priimtuose teisės aktuose.

18. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos Registro tvarkymo įstaigose turi būti naudojamos programinės priemonės (viena iš jų) – Symantec Norton Antivirus, McAfee, Virus Scan, Panda AntiVirus, Kaspersky AntiVirus ir atnaujinamos ne rečiau kaip kartą per mėnesį.

19. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, Registro tvarkymo įstaigose turi būti naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:

19.1. realizuota galimybė Registro duomenų tvarkytojams ir Registro duomenų vartotojams naudoti tik galiojančią programinę įrangą;

19.2. realizuota Registro duomenų tvarkytojams ir Registro duomenų vartotojams prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;

19.3. realizuota galimybė Registro duomenų tvarkytojams ir Registro duomenų vartotojams ne rečiau kaip kartą per pusmetį atnaujinti slaptažodžius;

19.4. naudojama Registro administravimo programinės įrangos ugniasienė;

19.5. realizuota galimybė identifikuoti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti;

19.6. realizuota galimybė visas užklausas į Registro duomenų bazę fiksuoti programiniu būdu;

19.7. nustatytos Registro duomenų tvarkytojams detalios darbo su Registro duomenimis taisyklės.

20. Saugos įgaliotinis, Registro administratorius turi organizuoti savivaldybių administracijose ir Švietimo informacinių technologijų centre Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą.

21. Registro administratorius turi parengti Registro duomenų kopijų kūrimo tvarkos aprašą, kuriame nurodoma:

21.1. Registro duomenų kopijų kūrimo periodiškumas;

21.2. Registro duomenų kopijų saugojimo priemonės, būdai ir vieta;

21.3. Registro duomenų iš kopijų atkūrimo tvarka;

21.4. Registro duomenų kopijų naikinimo tvarka;

21.5. asmens, atsakingo už Registro duomenų kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą, teisės ir pareigos. Registro duomenų kopijų kūrimo tvarkos aprašą tvirtina Švietimo informacinių technologijų centro direktorius.

 

IV. REIKALAVIMAI PERSONALUI

 

22. Registro objektų duomenims saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų vartotojams gali asmenys, susipažinę su Švietimo ir mokslo institucijų registro nuostatais, registrų ir informacinių sistemų saugumo politiką reglamentuojančiais teisės aktais.

23. Saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

24. Saugos įgaliotinis turi:

24.1. vertinti rizikos veiksnių tikėtumus ir žalos galimybes, organizuoti ir kontroliuoti trūkumų pašalinimą;

24.2. vertinti saugumo politiką reglamentuojančių teisės aktų įgyvendinimą;

24.3. teikti siūlymus pakeisti ar papildyti saugumo politiką reglamentuojančius teisės aktus.

25. Registro duomenų tvarkytojai turi:

25.1. turėti darbo su kompiuteriu įgūdžių;

25.2. mokėti tvarkyti Registro duomenis Registro nuostatų, detaliose darbo su Registro duomenimis taisyklėse nurodyta tvarka;

25.3. žinoti registrų ir informacinių sistemų saugumo politiką reglamentuojančių teisės aktų reikalavimus.

26. Registro administratorius turi:

26.1. išmanyti darbą su kompiuterių tinklais;

26.2. turėti Registrui tvarkyti naudojamų sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo patirties;

26.3. mokėti administruoti registrų ir informacinių sistemų duomenų bazes;

26.4. užtikrinti Registro saugą saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka.

 

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU DOKUMENTAIS PRINCIPAI

 

27. Saugos įgaliotinis turi nuolat organizuoti Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, supažindinti su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais, priminti apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

28. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius, pažeidę saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

VI. NUOSTATŲ ATNAUJINIMO TVARKA

 

29. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

30. Registro tvarkymo įstaigos privalo įgyvendinti šiuose Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

31. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius raštu įsipareigoja nepažeisti šių Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.

32. Duomenys apie Registro duomenų tvarkytojų, Registro administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.

33. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius, pažeidę šių Saugos nuostatų, kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

______________

 

Priedo pakeitimai:

Nr. ISAK-1804, 2007-09-12, Žin., 2007, Nr. 99-4024 (2007-09-20), i. k. 1072070ISAKSAK-1804

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos švietimo ir mokslo ministerija, Įsakymas

Nr. ISAK-1804, 2007-09-12, Žin., 2007, Nr. 99-4024 (2007-09-20), i. k. 1072070ISAKSAK-1804

Dėl švietimo ir mokslo ministro 2006 m. balandžio 6 d. įsakymo Nr. ISAK-657 "Dėl Švietimo ir mokslo institucijų registro duomenų saugos nuostatų patvirtinimo" pakeitimo