LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS
ĮSAKYMAS
DĖL KAI KURIŲ LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS VALDOMŲ REGISTRŲ IR VALSTYBĖS informacinių sistemų
DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2020 m. kovo 17 d. Nr. V-374
Vilnius
Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu:
1. T v i r t i n u Kai kurių Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatus (pridedama).
2. P a v e d u Nacionalinei švietimo agentūrai:
2.1. per vieną mėnesį nuo Kai kurių Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų (toliau – Saugos nuostatai) patvirtinimo paskirti Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos valdomų registrų ir valstybės informacinių sistemų (toliau – RIS) saugos įgaliotinius (-į) ir administratorius (-ų);
3. S k i r i u Nacionalinę švietimo agentūrą atsakinga už RIS kibernetinio saugumo organizavimą ir užtikrinimą.
4. P r i p a ž į s t u netekusiais galios:
4.1. Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 6 d. įsakymą Nr. ISAK-657 „Dėl Švietimo ir mokslo institucijų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.2. Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymą Nr. ISAK-812 „Dėl Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.3. Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymą Nr. ISAK-813 „Dėl Išsilavinimo blankų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.4. Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymą Nr. ISAK-814 „Dėl Licencijų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.5. Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. gegužės 10 d. įsakymo Nr. ISAK-879 „Dėl Atviros informavimo, konsultavimo ir orientavimo sistemos (AIKOS) nuostatų ir duomenų saugos nuostatų patvirtinimo“ 1.2 papunktį (su visais Atviros informavimo, konsultavimo ir orientavimo sistemos (AIKOS) duomenų saugos nuostatų pakeitimais ir papildymais);
4.6. Lietuvos Respublikos švietimo ir mokslo ministro 2007 m. spalio 8 d. įsakymą Nr. ISAK-1979 „Dėl Diplomų ir atestatų registro saugos nuostatų patvirtinimo“;
4.7. Lietuvos Respublikos švietimo ir mokslo ministro 2008 m. gruodžio 8 d. įsakymą Nr. ISAK-3369 „Dėl Mokinių registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.8. Lietuvos Respublikos švietimo ir mokslo ministro 2009 m. lapkričio 2 d. įsakymą Nr. ISAK-2175 „Dėl Pedagogo registro saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.9. Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymą Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
4.10. Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. kovo 2 d. įsakymą Nr. V-273 „Dėl Kvalifikacijos tobulinimo programų ir renginių registro duomenų saugos nuostatų patvirtinimo“;
4.11. Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymo Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir saugos nuostatų patvirtinimo“ 1.2 papunktį (su visais Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos duomenų saugos nuostatų pakeitimais ir papildymais);
PATVIRTINTA
Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2020 m. kovo 17 d.
įsakymu Nr. V-374
Kai kurių LIETUVOS RESPUBLIKOS šVIETIMO, MOKSLO IR SPORTO MINISTERIJOS valdomų registrų ir VALSTYBĖS informacinių sistemų DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kai kurių Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos valdomų registrų ir valstybės informacinių sistemų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – ŠMSM) valdomų bei Nacionalinės švietimo agentūros (toliau – NŠA) tvarkomų valstybės informacinių sistemų ir registrų elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Saugos nuostatų reikalavimai taikomi tvarkant informacines sistemas, nurodytas Švietimo, mokslo ir sporto ministerijos valdomų ir Nacionalinės švietimo agentūros tvarkomų registrų ir valstybės informacinių sistemų sąraše (Saugos nuostatų priedas).
3. ŠMSM valdomų ir NŠA tvarkomų registrų ir valstybės informacinių sistemų (toliau – RIS) elektroninės informacijos saugos politika įgyvendinama pagal švietimo, mokslo ir sporto ministro tvirtinamus RIS saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
4. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), RIS nuostatuose vartojamas sąvokas.
5. RIS elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
6. RIS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
7. RIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
8. RIS elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
9. Saugos nuostatų reikalavimai taikomi:
9.1. RIS valdytojas – Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai, A. Volano g. 2, Vilnius;
11. RIS valdytojas atsako už RIS elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą.
12. RIS naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
13. Paslaugų, susijusių su RIS, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
14. RIS valdytojas atlieka RIS nuostatuose nustatytas funkcijas, o taip pat:
14.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;
14.2. prižiūri ir kontroliuoja, kad RIS būtų tvarkomos vadovaujantis RIS nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais duomenų saugą reglamentuojančiais teisės aktais;
14.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
14.4. tvirtina RIS rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;
14.6. nagrinėja RIS tvarkytojų pasiūlymus dėl RIS elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
15. RIS tvarkytojas – NŠA atlieka RIS nuostatuose nustatytas funkcijas, o taip pat:
15.3. užtikrina tinkamą Saugos nuostatų, RIS saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
15.4. rengia RIS rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;
15.5. teikia siūlymus RIS valdytojui dėl RIS elektroninės informacijos saugos tobulinimo, RIS saugos dokumentų priėmimo, keitimo arba panaikinimo, RIS techninių ir programinių priemonių, būtinų RIS elektroninės informacijos saugai užtikrinti;
15.7. skiria RIS saugos įgaliotinius bei RIS administratorius, paveda jiems atlikti funkcijas nustatytas RIS nuostatuose, RIS saugos politiką įgyvendinančiuose dokumentuose;
15.8. esant RIS tvarkytojų prašymams suteikia teisę RIS tvarkytojams registruoti savo bei RIS tvarkytojo įstaigai pavaldžių įstaigų RIS naudotojus bei suteikti jiems prieigos teises;
15.9. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
16. Kiti RIS tvarkytojai atlieka šias funkcijas:
16.1. užtikrina tinkamą RIS valdytojo priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
16.2. užtikrina, kad RIS naudotojai, turintys teisę naudotis RIS elektronine informacija, laikytųsi reikalavimų, nustatytų RIS saugos dokumentuose;
16.3. pagal kompetenciją vykdo reikalavimus, nustatytus RIS saugos dokumentuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose;
16.4. NŠA suteikus teisę, registruoja RIS naudotojus RIS tvarkytojo ir įstaigos reguliavimo sričiai priskirtose kitose įstaigose ir suteikia šiems naudotojams prieigos teises;
18. RIS Saugos įgaliotinis gali būti paskiriamas keliems registrams, valstybės informacinėms sistemoms. Esant keliems RIS Saugos įgaliotiniams įstaigoje, vienam iš jų gali būti paskiriama veiksmų derinimo tarp RIS saugos įgaliotinių funkcija.
19. RIS tvarkytojų paskirti saugos įgaliotiniai:
19.1. koordinuoja ir prižiūri saugos politikos įgyvendinimą RIS, kurioms jie paskirti, tvarkytojo įstaigoje, taip pat tvarkytojo įstaigos reguliavimo sričiai priskirtose kitose įstaigose, jei tai pavesta jų kompetencijai;
19.2. supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą tvarkytojo įstaigos naudotojus, taip pat tvarkytojo įstaigos reguliavimo sričiai priskirtų kitų įstaigų naudotojus, jei tai pavesta jų kompetencijai;
19.3. kasmet organizuoja saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines tvarkytojo įstaigos RIS naudotojams, taip pat RIS tvarkytojo įstaigos reguliavimo sričiai priskirtų kitų įstaigų naudotojams, jei tai pavesta jų kompetencijai;
19.4. teikia RIS administratoriams, prireikus ir kitiems RIS valdytojo ir RIS tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
19.5. rengia RIS saugos dokumentus, teikia RIS valdytojui siūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ir keitimo;
19.6. pagal kompetenciją dalyvauja atliekant RIS informacinių technologijų atitikties saugos reikalavimams vertinimą bei RIS rizikos vertinimą;
21. RIS administratoriaus funkcijas pagal kompetenciją vykdo RIS sisteminės priežiūros administratorius ir RIS tvarkymo administratorius.
22. RIS sisteminės priežiūros administratoriaus funkcijos:
22.3. suteikia teisę RIS naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;
22.5. užtikrina RIS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato RIS pažeidžiamas vietas;
22.6. užtikrina sąveikos su susijusiais registrais ir informacinėmis sistemomis technologinį funkcionavimą;
22.7. užtikrina, kad RIS elektroninė informacija, gauta iš susijusių registrų ir RIS, būtų nuolat atnaujinama ir atitiktų susijusiuose registruose ir informacinėse sistemose esančią elektroninę informaciją;
22.9. pagal kompetenciją teikia RIS tvarkytojo vadovui siūlymus dėl RIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
22.10. informuoja RIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
22.11. atsako už RIS duomenų bazės saugų atsarginių kopijų darymą ir RIS archyvuose esančių kopijų saugojimą;
23. RIS tvarkymo administratoriaus funkcijos:
23.2. administruoja RIS naudotojų prieigą prie RIS elektroninės informacijos – suteikia jiems teises ir identifikuoja tapatumą;
23.4. informuoja RIS gavėjus, kuriems buvo perduota neteisinga, netiksli, neišsami RIS elektroninė informacija, apie ištaisytus netikslumus;
23.6. pagal kompetenciją teikia RIS tvarkytojo vadovui siūlymus dėl RIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
23.7. informuoja RIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
24. RIS administratoriai savivaldybėse administruoja RIS naudotojų savivaldybėse ir savivaldybei pavaldžių įstaigų RIS naudotojų prieigą prie RIS elektroninės informacijos – suteikia jiems teises ir identifikuoja tapatumą.
25. RIS administratoriai yra atsakingi už tinkamą RIS saugos dokumentuose nustatytų funkcijų vykdymą.
26. RIS administratoriai privalo vykdyti visus RIS saugos įgaliotinio nurodymus ir pavedimus dėl RIS elektroninės informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į saugos incidentus, juos valdyti, ir nuolat teikti RIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
27. Teisės aktai, kuriais vadovaujantis tvarkoma RIS elektroninė informacija ir užtikrinama jos sauga:
27.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1).;
27.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai reikalavimai);
27.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
27.8. Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
28. RIS tvarkomos elektroninės informacijos svarbos kategorija, RIS kategorijos bei priskyrimo tam tikrai kategorijai kriterijai nurodyti Saugos nuostatų priede.
29. RIS priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.
30. Pagrindinės RIS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet ne vėliau nei iki spalio 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki RIS nurodytos datos rengia RIS saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:
30.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
30.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
30.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
31. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas RIS valdytojas ar jo įgaliotas RIS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
33. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis RIS elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į RIS valdytojo skiriamus išteklius, vadovaujantis šiais principais:
33.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos elektroninės informacijos vertę;
34. RIS valdytojas, atsižvelgdamas į RIS rizikos įvertinimo ataskaitą, prireikus tvirtina NŠA parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
35. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka, kasmet organizuojamas RIS informacinių technologijų saugos reikalavimų atitikties vertinimas.
36. RIS informacinių technologijų saugos atitikties vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas bei vykdant kibernetinių incidentų imitavimo pratybas. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.
37. Atlikus RIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato RIS valdytojas.
38. RIS saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas RIS valdytojas arba jo įgaliotas tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo dienos pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
40. Programinės įrangos, skirtos RIS apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
40.1. RIS tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu;
41. Programinės įrangos, įdiegtos RIS tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
41.1. RIS darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, patvirtintą NŠA. Leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti RIS saugos įgaliotinis kartu su administratoriumi;
42. RIS informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.) bei kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.
43. RIS kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą.
44. RIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
45. RIS kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
45.1. RIS kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
45.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;
46. RIS naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:
46.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų apraše ir Techniniuose reikalavimuose nustatytus reikalavimus;
46.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio RIS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
46.3. turi būti pakeistos numatytos prisijungimo prie svetainių turinio valdymo sistemos (TVS) ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
46.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
47. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
47.1. tiesioginė prieiga prie RIS elektroninės informacijos suteikiama įgyvendinus RIS naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone; tiesioginė prieiga prie RIS užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.
47.3. RIS elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiame laike (angl. „On-line“ režimu) arba asinchroniniu režimu pagal RIS duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius, kitos elektroninės informacijos perdavimo sąlygos ir tvarka;
49. RIS tvarkytojai apie diegiamus vietinius belaidžius tinklus, sujungimus su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti NŠA - pagrindinį tvarkytoją.
50. Visos RIS naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones (pvz., katalogų tarnybą „Active direktory“).
51. RIS naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas RIS naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.
52. RIS naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie RIS galimybė:
52.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);
53. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
53.1. RIS elektroninės informacijos kopijos turi būti daromos automatiškai kiekvieną dieną; prireikus jas atkurti turi teisę NŠA paskirtas RIS duomenų bazių administratorius;
54. Turi būti užtikrintas saugos incidentų, įvykusių RIS, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo bei RIS valdytojo patvirtintų kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje plano ir RIS veiklos tęstinumo valdymo plano nustatyta tvarka:
54.1. registruojami informacinėse sistemose įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami bei atkuriama sistemų veikla;
55. Ne rečiau kaip kartą per savaitę turi būti atliekama RIS naudotojų veiksmų audito įrašų analizė (esant poreikiui NŠA apie RIS naudotojų atliktus veiksmus informaciją teikia atitinkamiems RIS tvarkytojams).
56. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.
57. Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.
58. Perkant paslaugas, darbus ar įrangą, susijusius su RIS, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis RIS saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
59. Į paslaugų pirkimo - pardavimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV skyrius
REIKALAVIMAI PERSONALUI
60. RIS saugos įgaliotiniai privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
61. RIS saugos įgaliotiniu, RIS administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir RIS saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
62. Visi RIS administratoriai privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į vykdomas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Linux) administravimo ir priežiūros patirties.
63. Visi RIS administratoriai ir RIS naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, pagal kompetenciją ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
64. RIS naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius.
65. RIS naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, raštu pasirašytinai įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas nenumato ko kita.
66. RIS naudotojai, pastebėję RIS saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias RIS saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai arba RIS administratoriui ar RIS saugos įgaliotiniui.
67. RIS naudotojai privalo:
67.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;
67.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;
68. RIS naudotojams draudžiama:
68.1. atskleisti RIS duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
68.2. savavališkai diegti RIS taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;
68.3. atskleisti kitiems asmenims prisijungimo prie RIS vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
68.4. naudoti RIS duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
68.5. sudaryti sąlygas pasinaudoti RIS tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
68.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti RIS duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo RIS duomenis;
69. RIS naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, primenama apie saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja RIS saugos įgaliotinis.
V SKYRIUS
RIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
70. Tvarkyti RIS elektroninę informaciją gali tik RIS naudotojai, susipažinę su Saugos nuostatais, RIS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už RIS saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis RIS saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.
71. RIS naudotojų supažindinimą su Saugos nuostatais ir RIS saugos politiką įgyvendinančiais dokumentais pagal kompetenciją organizuoja RIS saugos įgaliotiniai.
72. RIS naudotojai su Saugos nuostatais ir RIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą (jungiantis prie informacinės sistemos per naudotojo sąsają ar pan.).
73. Pakartotinai su RIS saugos dokumentų nuostatomis RIS naudotojai supažindinami tik iš esmės pasikeitus RIS arba RIS elektroninės informacijos saugą (kibernetinį saugumą) reglamentuojantiems teisės aktams.
74. RIS naudotojai atsako už RIS ir joje tvarkomos elektroninės informacijos saugą (kibernetinį saugumą) pagal savo kompetenciją. RIS naudotojai, RIS administratoriai ir RIS saugos įgaliotiniai, pažeidę RIS saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
75. RIS valdytojas RIS saugos dokumentus gali keisti savo arba RIS saugos įgaliotinio iniciatyva. RIS saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami RIS saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nedideli nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisymas yra susijęs su teisės technika. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos šių dokumentų kopijos.
76. RIS valdytojas ir RIS tvarkytojai RIS saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems RIS valdytojo ar RIS tvarkytojų pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti RIS saugą (kibernetinį saugumą).
Kai kurių Švietimo, mokslo ir sporto ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų
priedas
ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS VALDOMŲ IR NACIONALINĖS ŠVIETIMO AGENTŪROS TVARKOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ SĄRAŠAS
Eil. Nr. |
Registro / informacinės sistemos pavadinimas |
Registro / informacinės sistemos elektroninės informacijos svarbos kategorija |
Registro / informacinės sistemos kategorija |
Registro / informacinės sistemos priskyrimo kategorijai kriterijai |
1. |
Mokinių registras
|
vidutinės svarbos |
3 |
Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo (toliau – Aprašas) 9.2, 9.3 ir 12.3 papunkčiai |
2. |
Neformaliojo švietimo programų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
3. |
Diplomų, atestatų ir kvalifikacijos pažymėjimų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
4. |
Studentų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
5. |
Pedagogų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
6. |
Išsilavinimo pažymėjimų blankų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
7. |
Licencijų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
8. |
Švietimo ir mokslo institucijų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
9. |
Studijų, mokymo programų ir kvalifikacijų registras |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
10. |
Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinė sistema |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
11. |
Atvira informavimo, konsultavimo ir orientavimo sistema |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
12. |
Švietimo valdymo informacinė sistema |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
13. |
Švietimo portalo informacinė sistema |
vidutinės svarbos |
3 |
Aprašo 9.2, 9.3 ir 12.3 papunkčiai |
___________________________