LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
Į S A K Y M A S
DĖL DIPLOMŲ IR ATESTATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. spalio 8 d. Nr. ISAK-1979
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu ir įgyvendindama Diplomų ir atestatų registro nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2007 m. rugpjūčio 10 d. įsakymu Nr. ISAK-1629 (Žin., 2007, Nr. 91-3657), 11.5 punktą:
2. Skiriu Diplomų ir atestatų registro saugos įgaliotiniu Švietimo informacinių technologijų centro Bendrojo skyriaus vedėją Tomą Pleckevičių.
3. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) per 3 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Diplomų ir atestatų registro saugaus elektroninės informacijos tvarkymo taisykles, Diplomų ir atestatų registro veiklos tęstinumo valdymo planą, Diplomų ir atestatų registro naudotojų administravimo taisykles.
ŠVIETIMO IR MOKSLO MINISTRĖ ROMA ŽAKAITIENĖ
SUDERINTA
Lietuvos Respublikos
vidaus reikalų ministerijos
2007 m. spalio 4 d. raštu Nr. 1D-7672(13)
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2007 m. spalio 8 d. įsakymu
Nr. ISAK-1979
DIPLOMŲ IR ATESTATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Diplomų ir atestatų registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti Diplomų ir atestatų registro (toliau – Registras) objektų duomenis, juos teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.
2. Saugos nuostatai parengti pagal Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).
3. Saugos nuostatai privalomi Registro tvarkymo įstaigoms ir jų paskirtiems tvarkyti Registro duomenis fiziniams asmenims.
4. Registro saugumo politiką (toliau – saugumo politika) apima Saugos nuostatai, Diplomų ir atestatų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Diplomų ir atestatų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Diplomų ir atestatų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), kiti teisės aktai, reglamentuojantys Registro duomenų tvarkymo teisėtumą ir saugos valdymą.
5. Saugumo politika vykdoma šiomis prioritetinėmis kryptimis:
5.2. įgyvendinant prieigos teisių prie Registro duomenų suteikimą ir duomenų vartotojo tapatumo identifikavimą;
5.7. įgyvendinant Registro duomenų integralumą su švietimo ir mokslo registrais ir informacinėmis sistemomis;
6. Vadovaujančioji registro tvarkymo įstaiga yra Lietuvos Respublikos švietimo ir mokslo ministerija (toliau – Ministerija), buveinės adresas – A. Volano g. 2/7, LT-01516 Vilnius. Vadovaujančioji registro tvarkymo įstaiga yra ir Registro duomenų valdytoja.
7. Registro tvarkymo įstaigos yra Ministerija, aukštosios, profesinės, bendrojo lavinimo vidurinės mokyklos.
8. Švietimo ir mokslo ministras paskiria Registro saugos įgaliotinį (toliau – Saugos įgaliotinis), tvirtina Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. Ministerija prižiūri Registro saugumo politiką reglamentuojančių teisės aktų parengimą ir įgyvendinimą. Ministerija kompiuterinį duomenų tvarkymą paveda vykdyti Registro tvarkytojui. Registro tvarkytojas yra Švietimo informacinių technologijų centras.
9. Švietimo informacinių technologijų centro direktorius turi:
9.1. pavesti Saugos įgaliotiniui organizuoti ir kontroliuoti saugumo politiką reglamentuojančių teisės aktų įgyvendinimą savivaldybių administracijose ir Švietimo informacinių technologijų centre;
9.2. paskirti Registro administratorių, jam pavesti užtikrinti Registro tarnybinės stoties saugų funkcionavimą, administruoti Registro duomenų bazę Saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka;
10. Aukštųjų, profesinių, bendrojo lavinimo vidurinių mokyklų vadovai (jų įgalioti asmenys) ir Švietimo informacinių technologijų centro direktorius turi paskirti registro duomenų tvarkytojus, jiems pavesti tvarkyti Registro duomenis, užtikrinti Registro duomenų saugą saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka.
11. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Lietuvos standartu LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.
II. REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registro duomenis sudaro bendrieji (nurodyti Diplomų ir atestatų registro nuostatuose) ir technologiniai (Registro duomenų tvarkytojo) duomenys.
13. Saugos įgaliotinis turi:
13.1. Vieną kartą per kalendorinius metus įvertinti rizikos veiksnių tikėtinumą Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms ne mažiau kaip 5 proc. Registro tvarkymo įstaigų ir Švietimo informacinių technologijų centre, išnagrinėti įrašus rizikos veiksnių tikėtinumo registravimo žurnale, parengti pirmojo pusmečio – iki liepos mėnesio 10 dienos, antrojo pusmečio – iki kitų metų sausio mėnesio 10 dienos Rizikos ataskaitą. Rizikos ataskaitą tvirtina Švietimo informacinių technologijų centro direktorius;
13.2. per 10 kalendorinių dienų, patvirtinus Rizikos ataskaitą, parengti Trūkumų šalinimo planą (toliau – Planas), Plane nurodyti rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Planą tvirtina Švietimo informacinių technologijų centro direktorius;
14. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms aukštosiose, profesinėse, bendrojo lavinimo vidurinėse mokyklose ir Švietimo informacinių technologijų centre tikėtumui vertinti turi būti naudojama penkiabalė rizikos veiksnių tikėtinumo ir žalos vertinimo metodika:
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
15. Registro duomenų tvarkytojų darbo su Registro duomenimis ir registravimo dokumentais tvarka nurodyta Diplomų ir atestatų registro nuostatuose.
16. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos Registro tvarkymo įstaigose turi būti naudojamos programinės priemonės (viena iš jų): Symantec Norton Antivirus, McAfee, Virus Scan, Panda AntiVirus, Kaspersky AntiVirus, atnaujinamos ne rečiau kaip kartą per mėnesį.
17. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims Registro tvarkymo įstaigose turi būti naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:
17.1. realizuota galimybė Registro duomenų tvarkytojams ir Registro duomenų vartotojams naudoti tik galiojančią programinę įrangą;
17.2. realizuota Registro duomenų tvarkytojams ir Registro duomenų vartotojams prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;
17.3. realizuota galimybė Registro duomenų tvarkytojams ir Registro duomenų vartotojams ne rečiau kaip kartą per pusmetį atnaujinti slaptažodžius;
17.5. realizuota galimybė nustatyti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti;
18. Saugos įgaliotinis, Registro administratorius turi organizuoti aukštosiose, profesinėse, bendrojo lavinimo vidurinėse mokyklose ir Švietimo informacinių technologijų centre Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą.
19. Registro duomenų kopijų kūrimo tvarkos apraše, patvirtintame Švietimo informacinių technologijų centro direktoriaus, turi būti nurodoma:
IV. REIKALAVIMAI PERSONALUI
20. Registro objektų duomenims saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų vartotojams gali asmenys, susipažinę su Diplomų ir atestatų registro nuostatais, registrų ir informacinių sistemų saugumo politiką reglamentuojančiais teisės aktais.
21. Saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus, turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
22. Saugos įgaliotinis turi:
22.1. vertinti rizikos veiksnių tikėtinumus ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;
23. Registro administratorius turi:
23.2. turėti Registrui tvarkyti naudojamų sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo patirties;
V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
VI. BAIGIAMOSIOS NUOSTATOS
26. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.
27. Registro tvarkymo įstaigos privalo įgyvendinti šiuose Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.
28. Saugos įgaliotinis, Registro duomenų tvarkytojai, Registro administratorius raštu įsipareigoja nepažeisti šių Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.
29. Duomenys apie Registro duomenų tvarkytojų, Registro administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.