LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

 

Į S A K Y M A S

DĖL STUDIJŲ IR MOKYMO PROGRAMŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. balandžio 28 d. Nr. ISAK-812

Vilnius

 

Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir įgyvendindamas Studijų ir mokymo programų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. kovo 9 d. nutarimu Nr. 294 „Dėl Studijų ir mokymo programų registro įsteigimo ir jo nuostatų patvirtinimo“ (Žin., 1998, Nr. 25-647; 2006, Nr. 37-1318), 9.2 punktą:

1. Tvirtinu Studijų ir mokymo programų registro duomenų saugos nuostatus (pridedama).

2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) teisės aktų nustatyta tvarka parengti ir iki 2006 m. rugpjūčio 1 d. pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Saugaus darbo su duomenimis taisykles, detalias darbo su duomenimis instrukcijas, procedūrų aprašymus bei paskirti duomenų saugos įgaliotinį.

 

 

ŠVIETIMO IR MOKSLO MINISTRAS                                                     REMIGIJUS MOTUZAS

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2006 m. balandžio 12 d. raštu Nr. 1D-2714-(13)

 

 


PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro

2006 m. balandžio 28 d. įsakymu Nr. ISAK-

812

 

STUDIJŲ IR MOKYMO PROGRAMŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Studijų ir mokymo programų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančius saugų Registro duomenų tvarkymą. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.

2. Saugos nuostatai reglamentuoja saugų Registro duomenų tvarkymą automatizuotu būdu ir yra privalomi Registro tvarkymo įstaigų darbuotojams ir asmenims, kuriems suteikta teisė tvarkyti Registro duomenis (toliau bendrai vadinami – registro tvarkytojai).

3. Saugos nuostatai kartu su Saugaus darbo su duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu, Rizikos ataskaita, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).

4. Saugos nuostatuose vartojamos sąvokos atitinka Registro nuostatuose vartojamas sąvokas.

 

II. REGISTRO APIBŪDINIMAS

 

5. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.

6. Registro funkcinę struktūrą sudaro:

6.1. duomenų administravimo posistemė – operatyvus ir kokybiškas Registro objektų – studijų ir mokymo programų duomenų administravimas, Registro duomenų bazės administravimas ir archyvo išorinėje laikmenoje formavimas nustatytu periodiškumu, skirtingų darbo teisių nustatymas asmenims, dirbantiems su Registro programine įranga;

6.2. duomenų įvedimo posistemė – duomenų apie studijų ir mokymo programas įvedimas. Šiuos duomenis duomenų teikėjai teikia Registro tvarkymo įstaigai švietimo ir mokslo ministro nustatyta tvarka paraiškose ir programos registravimo kortose elektroniniu paštu. Registro tvarkytojai sutikrina duomenų teikėjų pateiktus duomenis su susijusiuose Registruose pateiktais duomenimis Registro nuostatų nustatyta tvarka ir duomenis automatizuotu būdu įveda į Registrą;

6.3. duomenų perdavimo posistemė – Registro duomenų teikimas automatizuotu būdu Švietimo ir mokslo ministerijos registrams, duomenų bazėms, švietimo informacinėms sistemoms.

7. Registro duomenys teikiami duomenų gavėjams Registro nuostatuose nustatyta tvarka.

8. Registro duomenis duomenų gavėjams teikia Švietimo informacinių technologijų centras.

9. Registro duomenų teikimą automatizuotu būdu Švietimo ir mokslo institucijų, Licencijų, Išsilavinimo pažymėjimų blankų, Diplomų ir atestatų registrams, valstybės švietimo kompiuterizuotosioms informacinėms sistemoms užtikrina Švietimo informacinių technologijų centras.

10. Saugų Registro duomenų tvarkymą reglamentuoja:

10.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

10.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);

10.3. Lietuvos standartas LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

10.4. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, Registro tvarkymo įstaigos veiklą bei duomenų saugos valdymą.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

11. Vadovaujančioji Registro tvarkymo įstaiga yra Švietimo ir mokslo ministerija.

12. Švietimo ir mokslo ministras tvirtina metodines rekomendacijas, susijusias su Registro tvarkymu, Saugos nuostatus, saugumo politiką reglamentuojančius dokumentus – Saugaus darbo su duomenimis taisykles, Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, detalias darbo su duomenimis instrukcijas ir procedūrų aprašymus, prižiūri saugumo politiką reglamentuojančių teisės aktų parengimą ir jų įgyvendinimą.

13. Už Saugaus darbo su duomenimis taisyklių, Nenumatytų situacijų valdymo plano, Rizikos ataskaitos, detalių darbo su duomenimis instrukcijų ir procedūrų aprašymų parengimą ir pateikimą švietimo ir mokslo ministrui tvirtinti, už saugumo politiką reglamentuojančių teisės aktų įgyvendinimą atsako Registro tvarkytojas – Švietimo informacinių technologijų centras.

14. Registro saugos įgaliotinis yra Švietimo informacinių technologijų centro direktoriaus paskirtas darbuotojas.

15. Registro saugos įgaliotinis atsako už saugumo politikos įgyvendinimo organizavimą ir kontrolę.

16. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus ir turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.) ir turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

17. Registro tvarkytojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių rekomendacijų, Registro tvarkymo instrukcijų nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.

18. Registro tvarkytojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, nedelsdami apie tai praneša Registro saugos įgaliotiniui.

19. Registro administratorius privalo išmanyti darbą su kompiuterių tinklais, turėti sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, užtikrinti jų saugumą saugumo politiką reglamentuojančių dokumentų nustatyta tvarka.

20. Esant nenumatytai situacijai, Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.

21. Reikalavimus Registro saugos įgaliotiniui, Registro administratoriui ir Registro tvarkytojų kvalifikacijai nustato ir tvirtina Švietimo informacinių technologijų centro direktorius.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

22. Priemonės rizikos veiksniams išvengti išdėstomos švietimo ir mokslo ministro patvirtintoje Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, įvertinęs Bendrųjų duomenų saugos reikalavimų 10 punkte išdėstytus rizikos veiksnius.

23. Priemonės rizikos veiksniams išvengti taikomos Registro tvarkytojams, Registro administratoriui ir jų kompiuterinėms darbo vietoms, sistemos administravimo kompiuterinėms darbo vietoms.

24. Registro duomenų tvarkymo ir saugumo procedūros išdėstomos švietimo ir mokslo ministro patvirtintose Saugaus darbo su duomenimis taisyklėse, kurias rengia Registro saugos įgaliotinis.

 

V. REGISTRO TVARKYTOJŲ ATSAKOMYBĖ

 

25. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis privalo rūpintis Registro duomenų saugumu.

26. Registro duomenis tvarkyti gali asmenys, susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.

27. Registro tvarkytojų, Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.

28. Registro saugos įgaliotinis organizuoja Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

29. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis, pažeidę saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

VI. NUOSTATŲ ATNAUJINIMO TVARKA

 

30. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Švietimo informacinių technologijų centro direktoriui dėl saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

31. Saugumo politiką reglamentuojantys teisės aktai peržiūrimi ar keičiami ne rečiau kaip kartą per metus, atlikus šių nuostatų 32 punkte nurodytą auditą.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

32. Saugos įgaliotinis, siekdamas užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, organizuoja auditą, kurio metu:

32.1. įvertinama saugumo politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;

32.2. inventorizuojama Registro programinė ir techninė įranga;

32.3. tikrinamos Registro tvarkytojų, Registro administratoriaus kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;

32.4. peržiūrima Registro tvarkytojams, Registro administratoriui suteiktų teisių ir jų atliekamų funkcijų atitiktis;

32.5. įvertinamas pasiruošimas Registro veiklai atkurti nenumatytomis situacijomis;

32.6. atliekama rizikos analizė ir Saugos nuostatuose nustatyta tvarka koreguojama Rizikos ataskaita.

33. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Švietimo informacinių technologijų centro direktorius.

______________