LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
ĮSAKYMAS
DĖL ŠVIETIMO VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2017 m. birželio 27 d. Nr. V-528
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 punktu:
2. P a v e d u Švietimo informacinių technologijų centrui per 3 mėnesius nuo šio įsakymo įsigaliojimo:
2.1. pateikti švietimo ir mokslo ministrui tvirtinti Švietimo valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Švietimo valdymo informacinės sistemos veiklos tęstinumo valdymo planą, Švietimo valdymo informacinės sistemos naudotojų administravimo taisykles;
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2017 m. birželio 27 d.
įsakymu Nr. V-528
ŠVIETIMO valdymo INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Švietimo valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Švietimo valdymo informacinės sistemos (toliau – ŠVIS) elektroninės informacijos saugos politiką.
2. ŠVIS elektroninės informacijos saugos politikos tikslas – užtikrinti ŠVIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.
3. ŠVIS saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Švietimo valdymo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2016 m. lapkričio 16 d. nutarimu Nr. 1152 „Dėl Švietimo valdymo informacinės sistemos nuostatų patvirtinimo“ (toliau – ŠVIS nuostatai), Lietuvos Respublikos standartuose LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.
4. ŠVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų ŠVIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;
5. Saugos nuostatai taikomi ŠVIS valdytojui – Lietuvos Respublikos švietimo ir mokslo ministerijai, A.Volano g. 2, 01516 Vilnius (toliau – Švietimo ir mokslo ministerija), ŠVIS tvarkytojui – Švietimo informacinių technologijų centrui, Suvalkų g. 1, 03106 Vilnius, ŠVIS saugos įgaliotiniui ir ŠVIS administratoriui.
6. ŠVIS valdytojas atlieka ŠVIS nuostatuose nustatytas funkcijas, taip pat:
6.2. priima sprendimus dėl ŠVIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;
6.3. priima sprendimus dėl ŠVIS techninių ir programinių priemonių, būtinų ŠVIS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
7. ŠVIS tvarkytojas:
7.2. užtikrina tinkamų organizacinių ir techninių priemonių, skirtų elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;
7.4. pagal kompetenciją teikia ŠVIS valdytojai siūlymus dėl Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų projektų priėmimo, keitimo;
7.5. užtikrina, kad ŠVIS naudotojai, turintys teisę naudotis ŠVIS elektronine informacija, laikytųsi reikalavimų, nustatytų Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose;
7.7. skiria ŠVIS sisteminės priežiūros ir tvarkymo administratorius, paveda jiems vykdyti ŠVIS administravimo funkcijas, nustatytas ŠVIS nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose;
8. ŠVIS saugos įgaliotinis:
8.2. teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS sisteminės priežiūros ir tvarkymo administratoriaus paskyrimo ir reikalavimų jiems nustatymo;
8.3. teikia ŠVIS tvarkytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;
8.4. teikia ŠVIS valdytojui siūlymus dėl Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų priėmimo arba keitimo;
8.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių ŠVIS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);
8.7. teikia sisteminės priežiūros ir tvarkymo administratoriams ir ŠVIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų įgyvendinimu;
8.8. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems ŠVIS tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
8.9. supažindina sisteminės priežiūros ir tvarkymo administratorius ir ŠVIS naudotojus su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja ŠVIS naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
9. ŠVIS administratorių funkcijos::
9.1. ŠVIS sisteminės priežiūros administratorius:
9.1.3. suteikia teisę ŠVIS naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;
9.1.5. užtikrina ŠVIS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato ŠVIS pažeidžiamas vietas;
9.1.6. užtikrina sąveikos su susijusiais registrais ir informacinėmis sistemomis technologinį funkcionavimą;
9.1.7. užtikrina, kad ŠVIS elektroninė informacija, gauta iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinama ir atitiktų susijusiuose registruose ir informacinėse sistemose esančią elektroninę informaciją;
9.1.9. pagal kompetenciją teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
9.1.10. informuoja ŠVIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
9.1.11. atsako už ŠVIS duomenų bazės saugų atsarginių kopijų darymą ir archyve esančių kopijų saugojimą;
9.2. ŠVIS tvarkymo administratorius:
9.2.2. administruoja ŠVIS naudotojų prieigą prie ŠVIS elektroninės informacijos – suteikia jiems teises ir identifikuoja tapatumą;
9.2.4. informuoja gavėjus, kuriems buvo perduota neteisinga, netiksli, neišsami ŠVIS elektroninė informacija, apie ištaisytus netikslumus;
9.2.6. pagal kompetenciją teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
9
9.2.7. informuoja ŠVIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
10. Teisės aktai, kuriais vadovaujamasi tvarkant ŠVIS elektroninę informaciją ir užtikrinant jos saugumą:
10.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
10.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;
10.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
10.7. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;
10.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
10.9. Lietuvos standartai LST ISO/IEC 27002:2014, LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;
II SKYRIUS
ŠVIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
11. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1 ir 9.2 papunkčiais, ŠVIS tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai. Priskyrimo šiai elektroninės informacijos svarbos kategorijai kriterijai: ŠVIS elektroninės informacijos praradimas gali pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus ir lemti, kad nebus atliekama svarbi funkcija ministrui pavestoje valdymo srityje.
12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.3 papunkčiu, ŠVIS priskiriamas trečiajai informacinių sistemų kategorijai. Priskyrimo šiai informacinių sistemų kategorijai kriterijus – ŠVIS apdorojama vidutinės svarbos elektroninė informacija.
13. ŠVIS saugos įgaliotinis:
13.1. atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja ŠVIS rizikos įvertinimą. Pasikeitus ŠVIS duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis ŠVIS rizikos įvertinimas;
13.2. ŠVIS rizikos įvertinimą išdėsto ŠVIS įvertinimo ataskaitoje. ŠVIS įvertinimo ataskaita rengiama, atsižvelgus į rizikos veiksnius, galinčius turėti ar turinčius įtakos ŠVIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę, galimus rizikos valdymo būdus. Svarbiausieji rizikos veiksniai yra šie:
13.2.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
13.2.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis elektronine informacija, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
13.2.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;
14. ŠVIS tvarkytojo vadovui patvirtinus ŠVIS rizikos įvertinimo ataskaitą, prireikus rengiamas ŠVIS rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame numatomos techninės ir administracinės veiksnius šalinančios priemonės, priemonių vykdymo terminai, vykdytojai ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Švietimo valdymo informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą tvirtina ŠVIS valdytojas.
15. ŠVIS elektroninei informacijai, techninei, programinei įrangai, patalpoms ŠVIS tvarkytojo įstaigoje vertinti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:
16. ŠVIS saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius ŠVIS elektroninės informacijos vientisumui ir prieinamumui.
17. ŠVIS elektroninės informacijos saugos priemonių parinkimo pagrindiniai principai yra tokie:
18. Siekiant įvertinti ŠVIS saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas ŠVIS informacinių technologijų saugos atitikties vertinimas:
18.3. patikrinama (įvertinama) ŠVIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis ŠVIS saugos dokumentams;
19. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama ŠVIS informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama ŠVIS tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ŠVIS valdytojo vadovas.
20. ŠVIS rizikos įvertinimo ataskaitos, Švietimo valdymo informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių plano, ŠVIS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas ŠVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
III SKYRIUS
ŠVIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Programinės įrangos, skirtos ŠVIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
21.1. ŠVIS tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;
21.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose tarnybinės stoties rinkmenose ir visuose kompiuterių tinklo kompiuteriuose;
21.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;
22. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
22.3. programinę įrangą diegti, šalinti ir konfigūruoti gali tik ŠVIS sisteminės priežiūros ir tvarkymo administratorius;
22.4. turi būti įdiegta prieigos prie ŠVIS elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;
23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
23.1. ŠVIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;
23.2. ŠVIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS);
24. Leistinos kompiuterių naudojimo ribos:
24.1. stacionarūs ir nešiojamieji ŠVIS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi ŠVIS duomenys ir ŠVIS informacija;
24.2. nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai gali būti naudojami tik suvestiniams (viešiems) ŠVIS duomenims ir negali būti naudojami ŠVIS duomenims registruoti, kaupti ir apdoroti;
24.3. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti naudojamas įjungimo slaptažodis;
24.4. ŠVIS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo;
25. Metodai, kuriais užtikrinamas saugus ŠVIS elektroninės informacijos teikimas ir (ar) gavimas:
25.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;
25.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
25.3. prieigos prie ŠVIS elektroninės informacijos teises gali suteikti tik ŠVIS sisteminės priežiūros ir tvarkymo administratorius. ŠVIS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
25.4. prieiga prie ŠVIS elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie ŠVIS elektroninės informacijos valdymas apibrėžtas Švietimo valdymo informacinės sistemos naudotojų administravimo taisyklėse;
25.5. pasibaigus ŠVIS naudotojo darbo sutarčiai, teisė naudotis ŠVIS elektronine informacija turi būti panaikinta. ŠVIS naudotojui prieiga prie ŠVIS turi būti ribojama ar sustabdoma, kai vyksta ŠVIS naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
26. ŠVIS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai ŠVIS duomenų bazei. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik sisteminės priežiūros ir tvarkymo administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Švietimo valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
27. ŠVIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jo paskyrimo praėję mažiau kaip vieneri metai.
28. ŠVIS saugos įgaliotinis turi:
28.2. sugebėti vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;
29. ŠVIS sistemų priežiūros ir tvarkymo administratorius turi:
30. ŠVIS naudotojai turi:
31. ŠVIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ŠVIS saugos įgaliotiniui.
32. ŠVIS elektroninę informaciją tvarkyti ir teikti ŠVIS nuostatuose nurodytiems ŠVIS duomenų gavėjams gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti ŠVIS elektroninę informaciją ŠVIS nuostatuose, ŠVIS funkcinėje sistemos specifikacijoje, ŠVIS naudojimo ir administravimo instrukcijoje nurodyta tvarka ir susipažinę su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų reikalavimais.
V SKYRIUS
ŠVIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
34. ŠVIS naudotojus su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina ŠVIS saugos įgaliotinis. ŠVIS saugos įgaliotinis, ŠVIS naudotojai, ŠVIS sisteminės priežiūros ir tvarkymo administratorius, pažeidę Saugos nuostatų reikalavimus, atsako teisės aktų nustatyta tvarka.
35. Pakartotinai su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais ŠVIS naudotojai supažindinami jiems pasikeitus.
36. Saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, skelbiami ŠVIS tvarkytojo interneto svetainėje.
38. ŠVIS naudotojų supažindinimo su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais tvarka nustatyta Švietimo valdymo informacinės sistemos naudotojų administravimo taisyklėse.
39. Saugos nuostatai ir ŠVIS saugos politiką įgyvendinantys dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis atsakingas, kad ŠVIS naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
40. ŠVIS tvarkytojas privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, nustatytas organizacines, technines ir kitas priemones.