LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRO

ĮSAKYMAS

 

DĖL KVALIFIKACIJOS TOBULINIMO PROGRAMŲ IR RENGINIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2010 m. kovo 2 d. Nr. V-273

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu ir įgyvendindamas Kvalifikacijos tobulinimo programų ir renginių registro nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2007 m. gruodžio 20 d. įsakymu Nr. ISAK-2524 (Žin., 2007, Nr. 137-5615; 2009, Nr. 35-1354), 14.2 punktą:

1. Tvirtinu Kvalifikacijos tobulinimo programų ir renginių registro duomenų saugos nuostatus (pridedama).

2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) per 3 mėnesius nuo šio įsakymo įsigaliojimo dienos:

2.1. parengti ir teikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Kvalifikacijos tobulinimo programų ir renginių registro saugaus elektroninės informacijos tvarkymo taisykles, Kvalifikacijos tobulinimo programų ir renginių registro veiklos tęstinumo valdymo planą, Kvalifikacijos tobulinimo programų ir renginių registro naudotojų administravimo taisykles;

2.2. parengti ir patvirtinti Kvalifikacijos tobulinimo programų ir renginių registro duomenų kopijų kūrimo tvarkos aprašą;

2.3. paskirti Kvalifikacijos tobulinimo programų ir renginių registro saugos įgaliotinį.

 

 

Švietimo ir mokslo ministras                               Gintaras Steponavičius

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2010 m. vasario 8 d. raštu Nr. 1D-906 (6)

 

_________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2010 m. kovo 2 d.

įsakymu Nr. V-273

 

KVALIFIKACIJOS TOBULINIMO PROGRAMŲ IR RENGINIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. Bendrosios nuostatos

 

1. Kvalifikacijos tobulinimo programų ir renginių registro (toliau – Registras) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, kaupti, apdoroti, saugoti Registro objektų duomenis, juos teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims.

2. Saugos nuostatai parengti pagal Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).

3. Saugos nuostatai privalomi visoms Registro tvarkymo įstaigoms, Registro duomenų tvarkytojams.

4. Saugos nuostatai nustato Registro saugos politiką (toliau – saugos politika). Saugos politiką įgyvendina Kvalifikacijos tobulinimo programų ir renginių registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Kvalifikacijos tobulinimo programų ir renginių registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Kvalifikacijos tobulinimo programų ir renginių registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), Registro duomenų kopijų kūrimo tvarkos aprašas.

5. Saugos politika vykdoma šiomis prioritetinėmis kryptimis:

5.1. įgyvendinant atliekamų veiksmų su Registro duomenimis automatinį stebėjimą ir įrašų kaupimą;

5.2. įgyvendinant prieigos teisių prie Registro duomenų suteikimą ir duomenų vartotojo tapatumo identifikavimą;

5.3. įgyvendinant Registro duomenų kopijavimą, archyve esančių duomenų saugą;

5.4. įgyvendinant Registro duomenų saugą nuo žalingos programinės įrangos poveikio;

5.5. įrengiant saugias Registrui tvarkyti skirtas patalpas ir kompiuterizuotas darbo vietas jose;

5.6. įgyvendinant Registro duomenų tvarkytojų kvalifikacijos tobulinimo sistemą;

5.7. įgyvendinant Registro duomenų vientisumą su švietimo ir mokslo registrais ir informacinėmis sistemomis;

5.8. įgyvendinant Registro duomenų saugos priemones nuo nesankcionuoto poveikio Registro programinei, techninei įrangai ir (ar) Registro programinės įrangos modifikavimo.

6. Vadovaujančioji registro tvarkymo įstaiga yra Lietuvos Respublikos švietimo ir mokslo ministerija (toliau – Ministerija), buveinės adresas: A. Volano g. 2/7, LT-01516 Vilnius.

7. Registro tvarkymo įstaigos yra Švietimo informacinių technologijų centras (toliau – ITC), buveinės adresas Suvalkų g. 1, LT-03113 Vilnius, ir kvalifikacijos tobulinimo institucijos (toliau – Institucijos), kurių pavadinimai, buveinės adresai nurodyti ITC interneto svetainėje, svetainės adresas www.itc.smm.lt (toliau kairiame meniu Registrai, DB/Kvalifikacijos tobulinimo programų ir renginių registras).

8. Švietimo ir mokslo ministras tvirtina Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. Ministerija prižiūri saugos politiką reglamentuojančių teisės aktų rengimą ir įgyvendinimą.

9. ITC direktorius skiria Registro saugos įgaliotinį (toliau – Saugos įgaliotinis). Švietimo ir mokslo ministrui tvirtinti teikiami Saugos įgaliotinio parengti Saugos nuostatų, Tvarkymo taisyklių, Valdymo plano, Administravimo taisyklių projektai turi būti nustatyta tvarka suderinami su Lietuvos Respublikos vidaus reikalų ministerija ir suinteresuotais Ministerijos administracijos padaliniais.

10. ITC direktorius turi:

10.1. pavesti Saugos įgaliotiniui organizuoti ir kontroliuoti saugos politiką reglamentuojančių teisės aktų įgyvendinimą Registro tvarkymo įstaigose;

10.2. paskirti Registro administratorių, pavesti jam užtikrinti Registro tarnybinės stoties saugų funkcionavimą, administruoti Registro duomenų bazę Saugos nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų nustatyta tvarka;

10.3. nustatyti reikalavimus Saugos įgaliotiniui, Registro administratoriui ir Registro duomenų tvarkytojų kvalifikacijai.

11. Saugos įgaliotinis turi:

11.1. teikti ITC direktoriui pasiūlymus dėl:

11.1.1. administratorių paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. įstaigos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

11.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus;

11.4. periodiškai inicijuoja Registro tvarkytojų mokymą Registro saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);

11.5. atlieka kitas ITC direktoriaus pavestas ir Saugos nuostatų jam priskirtas funkcijas.

12. Registro administratorius turi:

12.1. administruoti ir tvarkyti Registro duomenų bazę, užtikrinti tinkamą ir nepertraukiamą Registro veikimą;

12.2. užtikrinti Registro techninės ir programinės įrangos įdiegimą ir funkcionavimą;

12.3. automatiniu būdu atnaujinti Registro duomenų bazėje nacionalinius ir žinybinius klasifikatorius;

12.4. užtikrinti Registro tarnybinės stoties saugų funkcionavimą, administruoti Registro duomenų bazę Saugos nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų nustatyta tvarka;

12.5. atlikti funkcijas, susijusias su Registro naudotojų pasirengimo dirbti su Registru įvertinimu, jų teisėmis, Registrą sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, duomenų perdavimu tinklais), šių Registrą sudarančių komponentų sąranka, Registro pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu.

12.6. turi teisę patikrinti (peržiūrėti) Registro sąranką ir Registro būsenos rodiklius;

12.7. atlikti kitas ITC direktoriaus pavestas ir Saugos nuostatų jam priskirtas funkcijas.

13. Institucijų vadovai (jų įgalioti asmenys) turi paskirti Registro duomenų tvarkytojus, jiems pavesti tvarkyti Registro duomenis, užtikrinti Registro duomenų saugą ir saugos politiką ją reglamentuojančių teisės aktų nustatyta tvarka.

14. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172, Lietuvos standartu LST ISO/IEC 17799:2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.

 

II. REGISTRO DUOMENŲ SAUGOS VALDYMAS

 

15. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.3 punktu Registras priskiriamas trečiajai informacinės sistemos kategorijai, kuriame logiškai tarp savęs susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką valstybės institucijos ar įstaigos veiklai ir Registre tvarkomiems duomenims. Registro duomenis sudaro bendrieji, specifiniai (nurodyti Kvalifikacijos tobulinimo programų ir renginių registro nuostatuose) ir technologiniai (Registro duomenų tvarkytojo) duomenys.

16. Saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui ir prieinamumui.

17. Teisės aktų nustatyta tvarka ne rečiau kaip kartą per dvejus metus atliekant Registro informacinių technologijų saugos atitikties vertinimą:

17.1. įvertinama saugos politikos dokumentų ir realios informacijos saugos situacijos atitiktis;

17.2. inventorizuojama Registro techninė ir programinė įranga;

17.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Registro tvarkytojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;

17.4. patikrinama (įvertinama) Registro tvarkytojams suteiktų teisių ir vykdomų funkcijų atitiktis;

17.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus saugos incidentui.

18. Atlikus Saugos nuostatų 17 punkte nurodytą saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas (toliau – Planas), kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ITC direktorius, įgaliotas švietimo ir mokslo ministro.

19. Saugos įgaliotinis turi:

19.1. atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoti Registro rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį Registro rizikos vertinimą. Registro vadovaujančios tvarkymo įstaigos rašytiniu pavedimu Registro rizikos vertinimą gali atlikti Saugos įgaliotinis;

19.2. išdėstyti Registro rizikos įvertinimą Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

19.2.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

19.2.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų keitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdymai, saugumo pažeidimai, vagystės ir kita);

19.2.3. nenugalima jėga (force majeure);

19.3. per 10 kalendorinių dienų, patvirtinus Rizikos įvertinimo ataskaitą (toliau – Ataskaita), parengti Planą, kuriame nurodyti rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Planą tvirtina ITC direktorius, įgaliotas švietimo ir mokslo ministro;

19.4. patvirtintas Ataskaitos ir Plano kopijas paštu išsiųsti Registro vadovaujančiai tvarkymo įstaigai ir Registro tvarkymo įstaigoms, nuolat kontroliuoti Plane nurodytų priemonių vykdymą.

20. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms savivaldybių administracijose ir ITC tikėtumui vertinti turi būti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:

20.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

20.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

20.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

20.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

20.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

21. Registro duomenų tvarkytojų darbo su Registro duomenimis tvarką nustato Tvarkymo taisyklės.

22. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos Registro tvarkymo įstaigose turi būti naudojamos programinės priemonės (viena iš jų) – Symantec Norton Antivirus, McAfee, Virus Scan, Panda AntiVirus, Dr. Web, Kaspersky AntiVirus, atnaujinamos ne rečiau kaip kartą per mėnesį.

23. Prieiga prie kompiuterių ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo leidžiama tik Registro administratoriui, atsakingam už kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotojų serverių (proxy) administravimą ir priežiūrą.

24. Registro tvarkymo įstaigos, siekdamos saugiai rinkti, apdoroti, kaupti, saugoti, teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims Registro objektų duomenis, turi naudoti programinės ir techninės įrangos saugos priemones, kuriose:

24.1. realizuota galimybė Registro duomenų tvarkytojams naudoti tik legalią programinę įrangą;

24.2. realizuota Registro duomenų tvarkytojams prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;

24.3. realizuota prievolė Registro duomenų tvarkytojams reguliariai keisti slaptažodžius;

24.4. realizuota galimybė identifikuoti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti;

24.5. realizuota galimybė visas užklausas į Registro duomenų bazę fiksuoti programiniu būdu;

24.6. apribotas programinės įrangos, nesusijusios su Registro tvarkymo įstaigų veikla ar funkcijomis (žaidimai, bylų siuntimo, interneto pokalbių programos ir kt.), naudojimas;

24.7. stacionarūs kompiuteriai gali būti naudojami tik Registro tvarkymo įstaigų patalpose nustatytoms Registro tvarkymo funkcijoms vykdyti. Kompiuteriuose įdiegti prisijungimo ribojimai apsaugo nuo nesankcionuotų veiksmų su Registro duomenimis. Nešiojamieji kompiuteriai naudojami tik Registro reprezentaciniams tikslams ir neturi jokių prieigų prie Registro duomenų;

24.8. viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant HTTPS (Hypertext Transfer Protocol Secure) protokolą arba šifravimą.

25. Saugos įgaliotinis, Registro administratorius turi organizuoti Registro tvarkymo įstaigose ir ITC Registro programinės, techninės įrangos saugos priemonių įgyvendinimą.

26. Registro administratoriaus parengtame Registro duomenų kopijų kūrimo tvarkos apraše nurodoma:

26.1. Registro duomenų kopijų kūrimo periodiškumas;

26.2. Registro duomenų kopijų saugojimo priemonės, būdai ir vieta;

26.3. Registro duomenų iš kopijų atkūrimo tvarka;

26.4. Registro duomenų kopijų naikinimo tvarka;

26.5. asmens, atsakingo už Registro duomenų kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą, teisės ir pareigos.

Registro administratorius parengtą Registro duomenų kopijų kūrimo tvarkos aprašą tvirtina ITC direktorius.

 

IV. Reikalavimai Personalui

 

27. Registro objektų duomenims saugiai rinkti, kaupti, apdoroti, saugoti ir juos teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims gali asmenys, susipažinę su Registro nuostatais, registrų ir informacinių sistemų saugos politiką reglamentuojančiais teisės aktais.

28. Saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

29. Registro duomenų tvarkytojai turi:

29.1. turėti darbo su kompiuteriu įgūdžių;

29.2. žinoti registrų ir informacinių sistemų saugos politiką reglamentuojančių teisės aktų reikalavimus.

30. Registro administratorius turi:

30.1. išmanyti darbą su kompiuterių tinklais;

30.2. turėti Registrui tvarkyti naudojamų sisteminių programinių priemonių Windows, Unix, MS SQL Server, SQLXML administravimo patirties;

30.3. mokėti administruoti registrų ir informacinių sistemų duomenų bazes.

31. Saugos įgaliotinis turi nuolat organizuoti Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, supažindinti su Registro nuostatais, registrų ir informacinių sistemų saugos politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais, priminti apie saugumo problematiką (pavyzdžiui, priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

 

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU DOKUMENTAIS PRINCIPAI

 

32. Kvalifikacijos tobulinimo programų ir renginių registro tvarkytojai ir administratorius ne rečiau kaip kartą per metus supažindinami su Registro nuostatais, Saugos nuostatais, registrų ir informacinių sistemų saugos politiką įgyvendinančiais teisės aktais pasirašytinai. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą. Registro naudotojus su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Saugos įgaliotinis.

33. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius, pažeidę saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

VI. Baigiamosios nuostatos

 

34. Saugos nuostatai ir kiti saugos politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

35. Registro tvarkymo įstaigos privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

36. Duomenys apie Registro duomenų tvarkytojų, Registro administratoriaus atliktus veiksmus su Registro duomenimis saugomi 10 metų.

37. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius, pažeidę Saugos nuostatų, kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

 

_________________