LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
Į S A K Y M A S
DĖL LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. balandžio 28 d. Nr. ISAK-814
Vilnius
Vadovaudamasis Bendrųjų duomenų saugos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 6 punktu ir įgyvendindamas Licencijų registro nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. sausio 24 d. įsakymu Nr. ISAK-100 (Žin., 2005, Nr. 12-403), 9.4 punktą:
2. Pavedu Švietimo informacinių technologijų centrui (direktorius Vaino Brazdeikis) teisės aktų nustatyta tvarka parengti ir iki 2006 m. rugpjūčio 1 d. pateikti Lietuvos Respublikos švietimo ir mokslo ministrui tvirtinti Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, Saugaus darbo su duomenimis taisykles, detalias darbo su duomenimis instrukcijas, procedūrų aprašymus bei paskirti duomenų saugos įgaliotinį.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2006 m. balandžio 28 d. įsakymu
Nr. ISAK-814
LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Licencijų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančius saugų Registro duomenų tvarkymą. Saugos nuostatų tikslas – sudaryti sąlygas automatizuotu būdu saugiai tvarkyti Registro duomenis.
2. Saugos nuostatai reglamentuoja saugų Registro duomenų tvarkymą automatizuotu būdu ir yra privalomi registro tvarkymo įstaigų darbuotojams ir asmenims, kuriems suteikta teisė tvarkyti Registro duomenis (toliau bendrai vadinami – registro tvarkytojai).
3. Saugos nuostatai kartu su Saugaus darbo su duomenimis taisyklėmis, Nenumatytų situacijų valdymo planu, Rizikos ataskaita, detaliomis darbo su duomenimis instrukcijomis ir procedūrų aprašymais apibrėžia Registro duomenų saugumo politiką (toliau – saugumo politika).
II. REGISTRO APIBŪDINIMAS
5. Registras priskiriamas trečiajai informacinės sistemos kategorijai. Registrą sudaro bendrieji (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.
6. Registro funkcinę struktūrą sudaro:
6.1. duomenų administravimo posistemis – operatyvus ir kokybiškas duomenų apie Registro objektus (licencijas vykdyti formaliojo profesinio mokymo programas ir leidimus vykdyti aukštojo mokslo studijas) administravimas, Registro duomenų bazės administravimas ir archyvo išorinėje laikmenoje formavimas nustatytu periodiškumu, skirtingų darbo teisių nustatymas asmenims, dirbantiems su Registro programine įranga;
6.2. duomenų įvedimo posistemis – duomenų apie Registro objektus įvedimas. Šiuos duomenis duomenų teikėjai teikia registro tvarkymo įstaigai švietimo ir mokslo ministro nustatyta tvarka paraiškose. Registro tvarkytojai sutikrina duomenų teikėjų pateiktus duomenis su susijusiuose registruose pateiktais duomenimis Registro nuostatų nustatyta tvarka ir duomenis automatizuotu būdu įveda į Registrą;
6.3. duomenų perdavimo posistemis – Registro duomenų teikimas švietimo informacinėms sistemoms, valstybės ir savivaldybių institucijoms. Registro duomenys teikiami fiziniams ir juridiniams asmenims, kurie atlieka valstybės priskirtas funkcijas, susijusias su Registro duomenimis, ar Registro duomenų reikia jų tiesioginėms funkcijoms atlikti įstatymų ir kitų teisės aktų nustatyta tvarka.
9. Registro duomenų teikimą automatizuotu būdu valstybės švietimo kompiuterizuotosioms informacinėms sistemoms užtikrina Švietimo informacinių technologijų centras.
10. Saugų Registro duomenų tvarkymą reglamentuoja:
10.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
10.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);
10.3. Lietuvos standartas LST ISO/IEC 17799: 2005, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
12. Švietimo ir mokslo ministras tvirtina Registro nuostatus, metodines rekomendacijas, susijusias su Registro tvarkymu, Saugos nuostatus, saugumo politiką reglamentuojančius dokumentus – Saugaus darbo su duomenimis taisykles, Nenumatytų situacijų valdymo planą, Rizikos ataskaitą, detalias darbo su duomenimis instrukcijas ir procedūrų aprašymus, prižiūri saugumo politiką reglamentuojančių teisės aktų parengimą ir jų įgyvendinimą.
13. Už Saugaus darbo su duomenimis taisyklių, Nenumatytų situacijų valdymo plano, Rizikos ataskaitos, detalių darbo su duomenimis instrukcijų ir procedūrų aprašymų parengimą ir pateikimą švietimo ir mokslo ministrui tvirtinti, už saugumo politiką reglamentuojančių teisės aktų įgyvendinimą atsako Registro tvarkymo įstaiga – Švietimo informacinių technologijų centras.
14. Registro saugos įgaliotinis yra Švietimo informacinių technologijų centro direktoriaus paskirtas darbuotojas.
16. Registro saugos įgaliotinis privalo išmanyti pagrindinius informacijos saugos principus ir turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.) ir turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
17. Registro tvarkytojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų, metodinių rekomendacijų, registro tvarkymo instrukcijų nustatyta tvarka ir būti susipažinę su saugumo politiką reglamentuojančiais dokumentais.
18. Registro tvarkytojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, nedelsdami apie tai praneša Registro saugos įgaliotiniui.
19. Registro administratorius privalo išmanyti darbą su kompiuterių tinklais, turėti sisteminių programinių priemonių Windows, Unix, Informix, Oracle administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, užtikrinti jų saugumą saugumo politiką reglamentuojančių dokumentų nustatyta tvarka.
20. Esant nenumatytai situacijai, Registro saugos įgaliotinio, Registro administratoriaus, Registro tvarkytojų veiksmus reglamentuoja Nenumatytų situacijų valdymo planas.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
22. Priemonės rizikos veiksniams išvengti išdėstomos švietimo ir mokslo ministro patvirtintoje Rizikos ataskaitoje, kurią rengia Registro saugos įgaliotinis, įvertinęs Bendrųjų duomenų saugos reikalavimų 10 punkte išdėstytus rizikos veiksnius.
23. Priemonės rizikos veiksniams išvengti taikomos Registro tvarkytojams, Registro administratoriui ir jų kompiuterinėms darbo vietoms, sistemos administravimo kompiuterinėms darbo vietoms.
V. REGISTRO TVARKYTOJŲ ATSAKOMYBĖ
25. Registro tvarkytojai, Registro administratorius, Registro saugos įgaliotinis privalo rūpintis Registro duomenų saugumu.
26. Registro duomenis tvarkyti gali asmenys, susipažinę su saugumo politiką reglamentuojančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.
27. Registro tvarkytojų, Registro administratoriaus supažindinimą su saugumo politiką reglamentuojančiais teisės aktais organizuoja Registro saugos įgaliotinis.
28. Registro saugos įgaliotinis organizuoja Registro tvarkytojų, Registro administratoriaus kvalifikacijos tobulinimą duomenų saugos klausimais, nuolat jiems primena apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VI. NUOSTATŲ ATNAUJINIMO TVARKA
30. Registro saugos įgaliotinis, siekdamas užtikrinti Registro duomenų saugumą, teikia siūlymus Švietimo informacinių technologijų centro direktoriui dėl saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
VII. BAIGIAMOSIOS NUOSTATOS
32. Saugos įgaliotinis, siekdamas užtikrinti saugumo politiką reglamentuojančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, organizuoja auditą, kurio metu:
32.1. įvertinama saugumo politiką reglamentuojančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
32.3. tikrinama Registro tvarkytojų, Registro administratoriaus kompiuterizuotų darbo vietų programinė įranga ir jos konfigūracija;
32.4. peržiūrima Registro tvarkytojams, Registro administratoriui suteiktų teisių ir jų atliekamų funkcijų atitiktis;