ŠVIS duomenų saugos nuostatai0622tvirtinti.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL ŠVIETIMO VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2017 m. birželio 27 d. Nr. V-528

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 punktu:

1. T v i r t i n u Švietimo valdymo informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u Švietimo informacinių technologijų centrui per 3 mėnesius nuo šio įsakymo įsigaliojimo:

2.1. pateikti švietimo ir mokslo ministrui tvirtinti Švietimo valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Švietimo valdymo informacinės sistemos veiklos tęstinumo valdymo planą, Švietimo valdymo informacinės sistemos naudotojų administravimo taisykles;

2.2. paskirti Švietimo valdymo informacinės sistemos saugos įgaliotinį.

Švietimo ir mokslo ministrė Jurgita Petrauskienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-06-16 raštu Nr. 1D-3280

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie

Lietuvos Respublikos krašto apsaugos ministerijos

2017-03-20 raštu Nr. IS-223

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. birželio 27 d.

įsakymu Nr. V-528

ŠVIETIMO valdymo INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Švietimo valdymo informacinės sistemos (toliau – ŠVIS) elektroninės informacijos saugos politiką.

2. ŠVIS elektroninės informacijos saugos politikos tikslas – užtikrinti ŠVIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

3. ŠVIS saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Švietimo valdymo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2016 m. lapkričio 16 d. nutarimu Nr. 1152 „Dėl Švietimo valdymo informacinės sistemos nuostatų patvirtinimo“ (toliau – ŠVIS nuostatai), Lietuvos Respublikos standartuose LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.

4. ŠVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų ŠVIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2. ŠVIS elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3. ŠVIS tvarkymo kontrolė;

4.4. ŠVIS paslaugų ir naudojimosi ŠVIS elektronine informacija kontrolės užtikrinimas;

4.5. ŠVIS tvarkomų asmens duomenų apsauga;

4.6. ŠVIS veiklos tęstinumo užtikrinimas.

5. Saugos nuostatai taikomi ŠVIS valdytojui – Lietuvos Respublikos švietimo ir mokslo ministerijai, A.Volano g. 2, 01516 Vilnius (toliau – Švietimo ir mokslo ministerija), ŠVIS tvarkytojui – Švietimo informacinių technologijų centrui, Suvalkų g. 1, 03106 Vilnius, ŠVIS saugos įgaliotiniui ir ŠVIS administratoriui.

6. ŠVIS valdytojas atlieka ŠVIS nuostatuose nustatytas funkcijas, taip pat:

6.1. tvirtina Saugos nuostatus ir ŠVIS saugos politiką įgyvendinančius dokumentus;

6.2. priima sprendimus dėl ŠVIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

6.3. priima sprendimus dėl ŠVIS techninių ir programinių priemonių, būtinų ŠVIS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

6.4. nagrinėja ŠVIS tvarkytojo pasiūlymus dėl ŠVIS saugos tobulinimo ir priima dėl jų sprendimus;

6.5. vykdo kitas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo priskirtas funkcijas.

7. ŠVIS tvarkytojas:

7.1. pagal kompetenciją atsako už ŠVIS elektroninės informacijos tvarkymo teisėtumą ir saugą;

7.2. užtikrina tinkamų organizacinių ir techninių priemonių, skirtų elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;

7.3. pagal kompetenciją vykdo reikalavimus, nustatytus ŠVIS saugos dokumentuose;

7.4. pagal kompetenciją teikia ŠVIS valdytojai siūlymus dėl Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų projektų priėmimo, keitimo;

7.5. užtikrina, kad ŠVIS naudotojai, turintys teisę naudotis ŠVIS elektronine informacija, laikytųsi reikalavimų, nustatytų Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose;

7.6. atlieka ŠVIS duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą ŠVIS veikimą;

7.7. skiria ŠVIS sisteminės priežiūros ir tvarkymo administratorius, paveda jiems vykdyti ŠVIS administravimo funkcijas, nustatytas ŠVIS nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose;

7.8. atlieka kitas ŠVIS valdytojo pavestas ŠVIS nuostatuose, Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose jam priskirtas funkcijas.

8. ŠVIS saugos įgaliotinis:

8.1. atsako už tinkamą ŠVIS elektroninės informacijos saugos priemonių įgyvendinimą;

8.2. teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS sisteminės priežiūros ir tvarkymo administratoriaus paskyrimo ir reikalavimų jiems nustatymo;

8.3. teikia ŠVIS tvarkytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;

8.4. teikia ŠVIS valdytojui siūlymus dėl Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų priėmimo arba keitimo;

8.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių ŠVIS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

8.6. organizuoja ŠVIS rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;

8.7. teikia sisteminės priežiūros ir tvarkymo administratoriams ir ŠVIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų įgyvendinimu;

8.8. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems ŠVIS tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

8.9. supažindina sisteminės priežiūros ir tvarkymo administratorius ir ŠVIS naudotojus su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja ŠVIS naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

8.10. atlieka kitas ŠVIS tvarkytojo vadovo pavestas, Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose jam priskirtas funkcijas.

9. ŠVIS administratorių funkcijos::

9.1. ŠVIS sisteminės priežiūros administratorius:

9.1.1. užtikrina ŠVIS techninės ir programinės įrangos įdiegimą ir funkcionavimą;

9.1.2. diegia ir prižiūri programinę įrangą, reikalingą ŠVIS naudotojų funkcijoms vykdyti;

9.1.3. suteikia teisę ŠVIS naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;

9.1.4. užtikrina ŠVIS duomenų bazėje naudojamų klasifikatorių atnaujinimą automatiniu būdu;

9.1.5. užtikrina ŠVIS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato ŠVIS pažeidžiamas vietas;

9.1.6. užtikrina sąveikos su susijusiais registrais ir informacinėmis sistemomis technologinį funkcionavimą;

9.1.7. užtikrina, kad ŠVIS elektroninė informacija, gauta iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinama ir atitiktų susijusiuose registruose ir informacinėse sistemose esančią elektroninę informaciją;

9.1.8. pagal kompetenciją dalyvauja, vykdant saugumo reikalavimų įgyvendinimo stebėseną;

9.1.9. pagal kompetenciją teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

9.1.10. informuoja ŠVIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

9.1.11. atsako už ŠVIS duomenų bazės saugų atsarginių kopijų darymą ir archyve esančių kopijų saugojimą;

9.1.12. atlieka kitas ŠVIS tvarkytojo vadovo, ŠVIS saugos įgaliotinio pavestas, Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas;

9.2. ŠVIS tvarkymo administratorius:

9.2.1. administruoja ir tvarko ŠVIS duomenų bazę, užtikrina tinkamą ir nepertraukiamą ŠVIS veikimą;

9.2.2. administruoja ŠVIS naudotojų prieigą prie ŠVIS elektroninės informacijos – suteikia jiems teises ir identifikuoja tapatumą;

9.2.3. administruoja ŠVIS naudotojų veiksmų automatinį stebėjimą;

9.2.4. informuoja gavėjus, kuriems buvo perduota neteisinga, netiksli, neišsami ŠVIS elektroninė informacija, apie ištaisytus netikslumus;

9.2.5. pagal kompetenciją dalyvauja, vykdant duomenų saugos reikalavimų įgyvendinimo stebėseną;

9.2.6. pagal kompetenciją teikia ŠVIS tvarkytojo vadovui siūlymus dėl ŠVIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

9.2.7. informuoja ŠVIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

9.2.8. atlieka kitas ŠVIS tvarkytojo vadovo, ŠVIS saugos įgaliotinio pavestas, Saugos nuostatuose ir ŠVIS saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas.

10. Teisės aktai, kuriais vadovaujamasi tvarkant ŠVIS elektroninę informaciją ir užtikrinant jos saugumą:

10.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

10.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

10.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

10.7. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

10.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.9. Lietuvos standartai LST ISO/IEC 27002:2014, LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;

10.10. Saugos nuostatai, ŠVIS saugos politiką įgyvendinantys dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II SKYRIUS

ŠVIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1 ir 9.2 papunkčiais, ŠVIS tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai. Priskyrimo šiai elektroninės informacijos svarbos kategorijai kriterijai: ŠVIS elektroninės informacijos praradimas gali pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus ir lemti, kad nebus atliekama svarbi funkcija ministrui pavestoje valdymo srityje.

12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.3 papunkčiu, ŠVIS priskiriamas trečiajai informacinių sistemų kategorijai. Priskyrimo šiai informacinių sistemų kategorijai kriterijus – ŠVIS apdorojama vidutinės svarbos elektroninė informacija.

13. ŠVIS saugos įgaliotinis:

13.1. atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja ŠVIS rizikos įvertinimą. Pasikeitus ŠVIS duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis ŠVIS rizikos įvertinimas;

13.2. ŠVIS rizikos įvertinimą išdėsto ŠVIS įvertinimo ataskaitoje. ŠVIS įvertinimo ataskaita rengiama, atsižvelgus į rizikos veiksnius, galinčius turėti ar turinčius įtakos ŠVIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę, galimus rizikos valdymo būdus. Svarbiausieji rizikos veiksniai yra šie:

13.2.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

13.2.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis elektronine informacija, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

13.2.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;

13.3. patvirtintą Rizikos įvertinimo ataskaitos kopiją paštu arba elektroniniu paštu išsiunčia ŠVIS valdytojui.

14. ŠVIS tvarkytojo vadovui patvirtinus ŠVIS rizikos įvertinimo ataskaitą, prireikus rengiamas ŠVIS rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame numatomos techninės ir administracinės veiksnius šalinančios priemonės, priemonių vykdymo terminai, vykdytojai ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Švietimo valdymo informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą tvirtina ŠVIS valdytojas.

15. ŠVIS elektroninei informacijai, techninei, programinei įrangai, patalpoms ŠVIS tvarkytojo įstaigoje vertinti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:

15.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

15.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

15.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

15.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

15.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

16. ŠVIS saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius ŠVIS elektroninės informacijos vientisumui ir prieinamumui.

17. ŠVIS elektroninės informacijos saugos priemonių parinkimo pagrindiniai principai yra tokie:

17.1. saugos priemonės turi būti valdomos centralizuotai;

17.2. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

17.3. likutinė rizika turi būti sumažinta iki priimtino lygio;

17.4. kur galima, būtina įdiegti prevencines informacijos saugos priemones;

17.5. ŠVIS veiklos tęstinumo ir elektroninės informacijos sauga turi būti užtikrinama, patiriant kuo mažiau išlaidų.

18. Siekiant įvertinti ŠVIS saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas ŠVIS informacinių technologijų saugos atitikties vertinimas:

18.1. įvertinama ŠVIS saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

18.2. inventorizuojama ŠVIS techninė ir programinė įranga;

18.3. patikrinama (įvertinama) ŠVIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis ŠVIS saugos dokumentams;

18.4. įvertinamas pasirengimas užtikrinti ŠVIS veiklos tęstinumą, įvykus saugos incidentui.

19. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama ŠVIS informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama ŠVIS tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ŠVIS valdytojo vadovas.

20. ŠVIS rizikos įvertinimo ataskaitos, Švietimo valdymo informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių plano, ŠVIS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas ŠVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

III SKYRIUS

ŠVIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

21. Programinės įrangos, skirtos ŠVIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

21.1. ŠVIS tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

21.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose tarnybinės stoties rinkmenose ir visuose kompiuterių tinklo kompiuteriuose;

21.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

21.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 16 valandų.

22. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

22.1. turi būti naudojama tik legali, ŠVIS funkcijoms vykdyti būtina programinė įranga;

22.2. programinė įranga turi būti nuolatos atnaujinama, laikantis gamintojo reikalavimų;

22.3. programinę įrangą diegti, šalinti ir konfigūruoti gali tik ŠVIS sisteminės priežiūros ir tvarkymo administratorius;

22.4. turi būti įdiegta prieigos prie ŠVIS elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;

22.5. turi būti įgyvendinta prievolė ne rečiau kaip kas tris mėnesius keisti slaptažodžius;

22.6. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie ŠVIS elektroninės informacijos, atliktus veiksmus.

23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

23.1. ŠVIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

23.2. ŠVIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS);

23.3. informacinės sistemos tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių ŠVIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

24. Leistinos kompiuterių naudojimo ribos:

24.1. stacionarūs ir nešiojamieji ŠVIS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi ŠVIS duomenys ir ŠVIS informacija;

24.2. nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai gali būti naudojami tik suvestiniams (viešiems) ŠVIS duomenims ir negali būti naudojami ŠVIS duomenims registruoti, kaupti ir apdoroti;

24.3. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti naudojamas įjungimo slaptažodis;

24.4. ŠVIS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo;

24.5. kai nešiojamieji kompiuteriai nenaudojami, jie turi būti saugomi saugioje vietoje;

24.6. ŠVIS tvarkytojo stacionarų kompiuterį prijungti prie ŠVIS kompiuterių tinklo gali tik ŠVIS sisteminės priežiūros ir tvarkymo administratorius.

25. Metodai, kuriais užtikrinamas saugus ŠVIS elektroninės informacijos teikimas ir (ar) gavimas:

25.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;

25.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

25.3. prieigos prie ŠVIS elektroninės informacijos teises gali suteikti tik ŠVIS sisteminės priežiūros ir tvarkymo administratorius. ŠVIS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

25.4. prieiga prie ŠVIS elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie ŠVIS elektroninės informacijos valdymas apibrėžtas Švietimo valdymo informacinės sistemos naudotojų administravimo taisyklėse;

25.5. pasibaigus ŠVIS naudotojo darbo sutarčiai, teisė naudotis ŠVIS elektronine informacija turi būti panaikinta. ŠVIS naudotojui prieiga prie ŠVIS turi būti ribojama ar sustabdoma, kai vyksta ŠVIS naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

26. ŠVIS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai ŠVIS duomenų bazei. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik sisteminės priežiūros ir tvarkymo administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Švietimo valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

27. ŠVIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jo paskyrimo praėję mažiau kaip vieneri metai.

28. ŠVIS saugos įgaliotinis turi:

28.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

28.2. sugebėti vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;

28.3. tobulinti kvalifikaciją elektroninės informacijos saugos srityje;

28.4. savo darbe vadovautis Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

29. ŠVIS sistemų priežiūros ir tvarkymo administratorius turi:

29.1. išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

29.2. mokėti administruoti ir prižiūrėti duomenų bazes;

29.3. būti susipažinęs su ŠVIS nuostatais, Saugos nuostatais, ŠVIS saugos politiką įgyvendinančiais dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

30. ŠVIS naudotojai turi:

30.1. turėti pagrindinius darbo kompiuteriu įgūdžius;

30.2. mokėti tvarkyti ŠVIS elektroninę informaciją ŠVIS nuostatų nustatyta tvarka;

30.3. būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

31. ŠVIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ŠVIS saugos įgaliotiniui.

32. ŠVIS elektroninę informaciją tvarkyti ir teikti ŠVIS nuostatuose nurodytiems ŠVIS duomenų gavėjams gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti ŠVIS elektroninę informaciją ŠVIS nuostatuose, ŠVIS funkcinėje sistemos specifikacijoje, ŠVIS naudojimo ir administravimo instrukcijoje nurodyta tvarka ir susipažinę su Saugos nuostatų ir ŠVIS saugos politiką įgyvendinančių dokumentų reikalavimais.

33. ŠVIS saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja ŠVIS naudotojų mokymą elektroninės informacijos saugos klausimais, periodiškai įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas).

V SKYRIUS

ŠVIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

34. ŠVIS naudotojus su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina ŠVIS saugos įgaliotinis. ŠVIS saugos įgaliotinis, ŠVIS naudotojai, ŠVIS sisteminės priežiūros ir tvarkymo administratorius, pažeidę Saugos nuostatų reikalavimus, atsako teisės aktų nustatyta tvarka.

35. Pakartotinai su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais ŠVIS naudotojai supažindinami jiems pasikeitus.

36. Saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, skelbiami ŠVIS tvarkytojo interneto svetainėje.

37. Už ŠVIS naudotojų mokymo organizavimą atsakingas ŠVIS saugos įgaliotinis.

38. ŠVIS naudotojų supažindinimo su Saugos nuostatais ir ŠVIS saugos politiką įgyvendinančiais dokumentais tvarka nustatyta Švietimo valdymo informacinės sistemos naudotojų administravimo taisyklėse.

39. Saugos nuostatai ir ŠVIS saugos politiką įgyvendinantys dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis atsakingas, kad ŠVIS naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

40. ŠVIS tvarkytojas privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, nustatytas organizacines, technines ir kitas priemones.

41. Duomenys apie ŠVIS naudotojų, ŠVIS sisteminės priežiūros ir tvarkymo administratoriaus atliktus veiksmus su ŠVIS elektronine informacija saugomi ne trumpiau nei vienerius metus.

__________________________