LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
Į S A K Y M A S
DĖL STUDIJŲ IR MOKYMO PROGRAMŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. balandžio 28 d. Nr. ISAK-812
Vilnius
Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir įgyvendindamas Studijų ir mokymo programų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. kovo 9 d. nutarimu Nr. 294 „Dėl Studijų ir mokymo programų registro įsteigimo ir jo nuostatų patvirtinimo“ (Žin., 1998, Nr. 25-647; 2006, Nr. 37-1318), 9.2 punktą:
2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) teisės aktų nustatyta tvarka parengti ir iki 2006 m. rugpjūčio 1 d. pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Saugaus darbo su duomenimis taisykles, detalias darbo su duomenimis instrukcijas, procedūrų aprašymus bei paskirti duomenų saugos įgaliotinį.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro
2006 m. balandžio 28 d. įsakymu Nr. ISAK-
812
STUDIJŲ IR MOKYMO PROGRAMŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Studijų ir mokymo programų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančius saugų Registro duomenų tvarkymą. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.
2. Saugos nuostatai reglamentuoja saugų Registro duomenų tvarkymą automatizuotu būdu ir yra privalomi Registro tvarkymo įstaigų darbuotojams ir asmenims, kuriems suteikta teisė tvarkyti Registro duomenis (toliau bendrai vadinami – registro tvarkytojai).
3. Saugos nuostatai kartu su Saugaus darbo su duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu, Rizikos ataskaita, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).
II. REGISTRO APIBŪDINIMAS
5. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.
6. Registro funkcinę struktūrą sudaro:
6.1. duomenų administravimo posistemė – operatyvus ir kokybiškas Registro objektų – studijų ir mokymo programų duomenų administravimas, Registro duomenų bazės administravimas ir archyvo išorinėje laikmenoje formavimas nustatytu periodiškumu, skirtingų darbo teisių nustatymas asmenims, dirbantiems su Registro programine įranga;
6.2. duomenų įvedimo posistemė – duomenų apie studijų ir mokymo programas įvedimas. Šiuos duomenis duomenų teikėjai teikia Registro tvarkymo įstaigai švietimo ir mokslo ministro nustatyta tvarka paraiškose ir programos registravimo kortose elektroniniu paštu. Registro tvarkytojai sutikrina duomenų teikėjų pateiktus duomenis su susijusiuose Registruose pateiktais duomenimis Registro nuostatų nustatyta tvarka ir duomenis automatizuotu būdu įveda į Registrą;
9. Registro duomenų teikimą automatizuotu būdu Švietimo ir mokslo institucijų, Licencijų, Išsilavinimo pažymėjimų blankų, Diplomų ir atestatų registrams, valstybės švietimo kompiuterizuotosioms informacinėms sistemoms užtikrina Švietimo informacinių technologijų centras.
10. Saugų Registro duomenų tvarkymą reglamentuoja:
10.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
10.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);
10.3. Lietuvos standartas LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
12. Švietimo ir mokslo ministras tvirtina metodines rekomendacijas, susijusias su Registro tvarkymu, Saugos nuostatus, saugumo politiką reglamentuojančius dokumentus – Saugaus darbo su duomenimis taisykles, Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, detalias darbo su duomenimis instrukcijas ir procedūrų aprašymus, prižiūri saugumo politiką reglamentuojančių teisės aktų parengimą ir jų įgyvendinimą.
13. Už Saugaus darbo su duomenimis taisyklių, Nenumatytų situacijų valdymo plano, Rizikos ataskaitos, detalių darbo su duomenimis instrukcijų ir procedūrų aprašymų parengimą ir pateikimą švietimo ir mokslo ministrui tvirtinti, už saugumo politiką reglamentuojančių teisės aktų įgyvendinimą atsako Registro tvarkytojas – Švietimo informacinių technologijų centras.
14. Registro saugos įgaliotinis yra Švietimo informacinių technologijų centro direktoriaus paskirtas darbuotojas.
16. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus ir turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.) ir turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
17. Registro tvarkytojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių rekomendacijų, Registro tvarkymo instrukcijų nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.
18. Registro tvarkytojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, nedelsdami apie tai praneša Registro saugos įgaliotiniui.
19. Registro administratorius privalo išmanyti darbą su kompiuterių tinklais, turėti sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, užtikrinti jų saugumą saugumo politiką reglamentuojančių dokumentų nustatyta tvarka.
20. Esant nenumatytai situacijai, Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
22. Priemonės rizikos veiksniams išvengti išdėstomos švietimo ir mokslo ministro patvirtintoje Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, įvertinęs Bendrųjų duomenų saugos reikalavimų 10 punkte išdėstytus rizikos veiksnius.
23. Priemonės rizikos veiksniams išvengti taikomos Registro tvarkytojams, Registro administratoriui ir jų kompiuterinėms darbo vietoms, sistemos administravimo kompiuterinėms darbo vietoms.
V. REGISTRO TVARKYTOJŲ ATSAKOMYBĖ
25. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis privalo rūpintis Registro duomenų saugumu.
26. Registro duomenis tvarkyti gali asmenys, susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.
27. Registro tvarkytojų, Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.
28. Registro saugos įgaliotinis organizuoja Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VI. NUOSTATŲ ATNAUJINIMO TVARKA
30. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Švietimo informacinių technologijų centro direktoriui dėl saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
VII. BAIGIAMOSIOS NUOSTATOS
32. Saugos įgaliotinis, siekdamas užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, organizuoja auditą, kurio metu:
32.1. įvertinama saugumo politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
32.3. tikrinamos Registro tvarkytojų, Registro administratoriaus kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;
32.4. peržiūrima Registro tvarkytojams, Registro administratoriui suteiktų teisių ir jų atliekamų funkcijų atitiktis;
33. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Švietimo informacinių technologijų centro direktorius.