LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
Į S A K Y M A S
DĖL ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. balandžio 6 d. Nr. ISAK-657
Vilnius
Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir įgyvendindamas Švietimo ir mokslo institucijų registro nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2004 m. lapkričio 29 d. įsakymu Nr. ISAK-1871 (Žin., 2004, Nr. 174-6459), 11.5 ir 14.11 punktus:
2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) teisės aktų nustatyta tvarka parengti ir iki 2006 m. rugpjūčio 1 d. pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Saugaus darbo su duomenimis taisykles, detalias darbo su duomenimis instrukcijas, procedūrų aprašymus bei paskirti duomenų saugos įgaliotinį.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro
2006 m. balandžio 6 d. įsakymu Nr. ISAK-657
ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Švietimo ir mokslo institucijų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančius saugų Registro duomenų tvarkymą. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.
2. Saugos nuostatai reglamentuoja saugų Registro duomenų tvarkymą automatizuotu būdu ir yra privalomi registro tvarkymo įstaigų darbuotojams ir asmenims, kuriems yra suteikta teisė tvarkyti Registro duomenis (toliau bendrai vadinami – registro tvarkytojai).
3. Saugos nuostatai parengti vadovaujantis Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), Tipiniais duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 (Žin., 2003, Nr. 76-3511), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, registro tvarkymo įstaigų veiklą, duomenų saugos valdymą.
4. Saugos nuostatai kartu su Saugaus darbo su duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu, Rizikos ataskaita, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).
II. REGISTRO APIBŪDINIMAS
6. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.
7. Registro funkcinę struktūrą sudaro:
7.1. duomenų administravimo posistemė – operatyvus ir kokybiškas Registro objektų – valstybinių, savivaldybių ir nevalstybinių švietimo, mokslo ir studijų veiklą vykdančių ar švietimo pagalbą teikiančių institucijų duomenų, automatizuotu būdu gaunamų iš Juridinių asmenų registro duomenų teikimo sutartyje nustatyta tvarka, administravimas, Registro duomenų bazės administravimas ir archyvo išorinėje laikmenoje formavimas nustatytu periodiškumu, skirtingų darbo teisių nustatymas asmenims, dirbantiems su Registro programine įranga;
7.2. duomenų įvedimo posistemė – iš Juridinių asmenų registro automatizuotu būdu gautų duomenų papildymas švietimo veiklą apibūdinančiais duomenimis. Šiuos duomenis švietimo institucijos apie save ir savo švietimo bei mokslo ir studijų veiklą vykdančius ar švietimo pagalbą teikiančius teritorinius padalinius siunčia duomenų registravimo kortelėse elektroniniu paštu, faksu, paštu arba duomenis pristato asmeniškai Švietimo ir mokslo ministerijai (aukštosios, kiti aukštojo mokslo studijas vykdantys subjektai, aukštesniosios, profesinio mokymo įstaigos, mokslinių tyrimų įstaigos) ar savivaldybių administracijoms (bendrojo lavinimo, neformaliojo švietimo mokyklos, švietimo pagalbos įstaigos). Registro tvarkytojai sutikrina švietimo institucijų pateiktus duomenis su jų steigimo ir registravimo dokumentuose nurodytaisiais, duomenis automatizuotu būdu įveda į Registrą;
7.3. duomenų perdavimo posistemė – Registro duomenų teikimas automatizuotu būdu Švietimo ir mokslo ministerijos registrams, duomenų bazėms, švietimo informacinėms sistemoms, valstybės ir savivaldybių institucijoms. Registro duomenys teikiami fiziniams ir juridiniams asmenims, kurie atlieka valstybės priskirtas funkcijas, susijusias su Registro duomenimis, ar Registro duomenų reikia jų tiesioginėms funkcijoms atlikti įstatymų ir kitų teisės aktų nustatyta tvarka.
10. Registro duomenų teikimą automatizuotu būdu valstybės Studijų ir mokymo programų, Licencijų, Išsilavinimo pažymėjimų blankų, Diplomų ir atestatų, Kvalifikacijos tobulinimo programų ir renginių, Mokinių ir Pedagogų registrams, valstybės švietimo kompiuterizuotosioms informacinėms sistemoms užtikrina Švietimo informacinių technologijų centras.
11. Duomenų sauga Registre užtikrinama vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597), Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“, Lietuvos Respublikos vidaus reikalų ministro 2003 m. liepos 16 d. įsakymu Nr. 1V-272 „Dėl Tipinių duomenų saugos nuostatų patvirtinimo“, Lietuvos standartu LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą, šiais Saugos nuostatais ir kitais teisės aktais.
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
12. Vadovaujančioji Registro tvarkymo įstaiga yra Švietimo ir mokslo ministerija.
Švietimo ir mokslo ministras tvirtina Registro nuostatus, metodines rekomendacijas, susijusias su Registro tvarkymu, Saugos nuostatus, saugumo politiką reglamentuojančius dokumentus – Saugaus darbo su duomenimis taisykles, Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, detalias darbo su duomenimis instrukcijas ir procedūrų aprašymus, prižiūri saugumo politiką reglamentuojančių teisės aktų parengimą ir jų įgyvendinimą.
13. Už Saugaus darbo su duomenimis taisyklių, Nenumatytų situacijų valdymo plano, Rizikos ataskaitos, detalių darbo su duomenimis instrukcijų ir procedūrų aprašymų parengimą ir pateikimą švietimo ir mokslo ministrui tvirtinti, už saugumo politiką reglamentuojančių teisės aktų įgyvendinimą atsako Registro tvarkymo įstaiga – Švietimo informacinių technologijų centras.
14. Registro saugos įgaliotinis yra Švietimo informacinių technologijų centro direktoriaus paskirtas darbuotojas.
16. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus ir turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.) ir turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
17. Registro tvarkytojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių rekomendacijų, registro tvarkymo instrukcijų nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.
18. Registro tvarkytojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, nedelsdami apie tai praneša Registro saugos įgaliotiniui.
19. Registro administratorius privalo išmanyti darbą su kompiuterių tinklais, turėti sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, užtikrinti jų saugumą saugumo politiką reglamentuojančių dokumentų nustatyta tvarka.
20. Esant nenumatytai situacijai, Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
22. Priemonės rizikos veiksniams išvengti išdėstomos švietimo ir mokslo ministro patvirtintoje Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, įvertinęs Bendrųjų duomenų saugos reikalavimų 10 punkte išdėstytus rizikos veiksnius.
23. Priemonės rizikos veiksniams išvengti taikomos Registro tvarkytojams, Registro administratoriui ir jų kompiuterinėms darbo vietoms, sistemos administravimo kompiuterinėms darbo vietoms.
V. REGISTRO TVARKYTOJŲ ATSAKOMYBĖ
25. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis privalo rūpintis Registro duomenų saugumu.
26. Registro duomenis tvarkyti gali asmenys, susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.
27. Registro tvarkytojų, Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.
28. Registro saugos įgaliotinis organizuoja Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VI. NUOSTATŲ ATNAUJINIMO TVARKA
30. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Švietimo informacinių technologijų centro direktoriui dėl saugumo politiką reglamentuojančių teisės aktų papildymo ar pakeitimo.
VII. BAIGIAMOSIOS NUOSTATOS
32. Saugos įgaliotinis, siekdamas užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, organizuoja auditą, kurio metu:
32.1. įvertinama saugumo politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
32.3. tikrinamos ne mažiau kaip 10 procentų Registro tvarkytojų, Registro administratoriaus kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;
32.4. peržiūrima Registro tvarkytojams, Registro administratoriui suteiktų teisių atitiktis jų atliekamoms funkcijoms;
33. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Švietimo informacinių technologijų centro direktorius.