Isakymoprojektasdel paketopasirašymui.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

2017 m. birželio 12 d. Nr. V-470

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais:

1. T v i r t i n u pridedamus:

1.1. Švietimo ir mokslo institucijų registro saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Švietimo ir mokslo institucijų registro naudotojų administravimo taisykles;

1.3. Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo planą.

2. P a v e d u:

2.1. Švietimo ir mokslo ministerijos Informacinių sistemų ir dokumentų valdymo skyriui pateikti patvirtintų Švietimo ir mokslo institucijų registro saugaus elektroninės informacijos tvarkymo taisyklių, Švietimo ir mokslo institucijų registro naudotojų administravimo taisyklių ir Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo plano dokumentų kopijas Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS) ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo šios informacinės sistemos nuostatų nustatyta tvarka;

2.2. Švietimo informacinių technologijų centrui organizuoti Švietimo ir mokslo institucijų registro saugaus elektroninės informacijos tvarkymo taisyklių, Švietimo ir mokslo institucijų registro naudotojų administravimo taisyklių ir Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo plano įgyvendinimą.

Švietimo ir mokslo ministrė Jurgita Petrauskienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017 06 01 raštu Nr. 1D-2968

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. birželio mėn. 12 d.

įsakymu Nr. V-470

ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo ir mokslo institucijų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Švietimo ir mokslo institucijų registro (toliau – Registras) tvarkytojų, jų vadovų paskirtų tvarkyti Registro duomenis fizinių asmenų, Registro naudotojų, Registro administratoriaus, Registro saugos įgaliotinio veiksmus, užtikrinančius saugų Registro kompiuterinės, programinės įrangos funkcionavimą, Registro duomenų tvarkymą ir teikimą.

2. Tvarkymo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms reikalavimais, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Švietimo ir mokslo institucijų registro nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2004 m. lapkričio 29 d. įsakymo Nr. ISAK-1871 „Dėl Švietimo ir mokslo institucijų registro“ (toliau – Švietimo ir mokslo institucijų registro nuostatai), Švietimo ir mokslo institucijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 6 d. įsakymu Nr. ISAK-657 „Dėl Švietimo ir mokslo institucijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo ir mokslo institucijų registro duomenų saugos nuostatai).

3. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo ir mokslo institucijų registro nuostatuose, Švietimo ir mokslo institucijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Registro informacija prieinama tik registruotiems naudotojams pagal jiems priskirtas teises. Registro informaciją gali tvarkyti Registro tvarkytojo paskirti fiziniai asmenys, tik susipažinę su savo pareigybių aprašymuose nurodytomis funkcijomis, skirtomis savo veiksmams atlikti.

5. Už Registro duomenų saugų tvarkymą atsakingi Registro tvarkytojai, jo vadovų paskirti tvarkyti Registro duomenis fiziniai asmenys, Registro naudotojai, Registro administratorius.

6. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Registro saugos įgaliotinis.

7. Tvarkymo taisyklės taikomos Registro valdytojui, Registro tvarkytojams, visiems Registro naudotojams, Registro duomenų valdymo įgaliotiniui, Registro saugos įgaliotiniui ir Registro administratoriui.

8. Registre tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas Švietimo ir mokslo institucijų registro nuostatų 20, 21, 22 punktuose.

9. Registro tvarkoma informacija yra skirstoma į šias grupes:

9.1. Registro administratoriaus tvarkoma informacija;

9.2. Registro tvarkytojų tvarkoma informacija.

10. Registro administratorius atsakingas už šios informacijos tvarkymą:

10.1. klasifikatoriai;

10.2. naudotojų duomenys;

10.3. naudotojų vaidmenys;

10.4. naudotojų teisės;

10.5. Registro internetinės svetainės titulinio puslapio www.smir.smm.lt turinys (naujienos, dažnai užduodami klausimai, dokumentai ir kt.);

10.6. duomenų gavimo iniciavimo ir teikimo duomenys;

10.7. duomenų teikimą aprašantys duomenys;

10.8. duomenų paklausimo ir perdavimo laikas;

10.9. kiti techniniai duomenys duomenų teikimo stebėsenai atlikti.

11. Registro tvarkytojai atsakingi už Švietimo ir mokslo institucijų registro nuostatų 20, 21 punktuose aprašytų duomenų ir informacijos tvarkymą, Registro administratorius atsakingas už Švietimo ir mokslo institucijų registro duomenų saugos nuostatų 11 punkte nurodytų funkcijų atlikimą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

12. Registro duomenys nuolat apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis nuo duomenų praradimo, iškraipymo ar duomenų sunaikinimo.

13. Registro kompiuterinės įrangos saugos užtikrinimo priemonės:

13.1. visus įrangos pakeitimus turi atlikti Registro tvarkytojo vadovo paskirti fiziniai asmenys;

13.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

13.3. kompiuterinės įrangos gedimai registruojami žurnale;

13.4. pagrindinė registro kompiuterinė įranga ir duomenų perdavimo tinklo elementai turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą nuo elektros energijos dingimo;

13.5. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo elementai ir ryšio linijos turi būti dubliuoti;

13.6. kompiuterinės įrangos būklė nuolat stebima.

14. Registro sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra:

14.1. naudojama tik legali, įteisinta ir darbo funkcijoms atlikti reikalinga Registro programinė įranga;

14.2. teisę dirbti su Registro tarnybinės stoties administravimo programine įranga turintis Registro administratorius arba jį pavaduojantis asmuo;

14.3. slaptažodžiai, suteikiantys teisę dirbti su Registro tarnybinės stoties administravimo programine įranga, žinomi tik Registro administratoriui arba jį pavaduojančiam asmeniui;

14.4. Registro programinis kodas apsaugotas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės, kaip ir Registro duomenims. Naudojama specializuota kovos su virusais programinė priemonė, atnaujinama ne rečiau kaip kartą per savaitę;

14.5. taikomos programinės priemonės, skirtos Registro naudotojų tapatybei ir veiksmams su Registro duomenimis nustatyti. Vykdoma Registro naudotojų ketinimų ir veiksmų su Registro duomenimis apskaita. Registro naudotojai duomenis pasiekia internetu per „ugniasienę“ (angl. – firewall);

14.6. Registro naudotojo veiksmai su Registro duomenimis ar bandymai juos atlikti registruojami programiniu būdu. Suteikiama prieigos prie Registro duomenų teisė atlikti veiksmus tik su jam priskirtų Registro objektų duomenimis;

14.7. Registro programinė įranga apsaugota nuo pagrindinių per tinklą vykdomų atakų;

15. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

15.1. Registro duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

15.2. iš nutolusių darbo vietų prie Registro jungiamasi per IP VPN (virtualus privatus tinklas);

15.3. naudojami tik saugūs ir patikimi Registro duomenų perdavimo tinklais protokolai;

15.4. kontroliuojamas išorinis prisijungimas prie vidinio Registro duomenų perdavimo tinklo.

16. Saugos užtikrinimo bendrosioms Registro patalpoms priemonės:

16.1. patalpų rakinimas;

16.2. veikianti patekimo į patalpas kontrolės sistema;

16.3. įrengta signalizacija;

16.4. gaisro gesinimo priemonės nuolat tikrinamos.

17. Registro saugos užtikrinimo priemonės patalpoms, kuriose yra Registro tarnybinės stoties administravimo programinė įranga, yra:

17.1. patalpose įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

17.2. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

17.3. patalpos, atitinkančios priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

17.4. patalpos rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

17.5. asmenys, nesusiję su Registro duomenų tvarkymu, patekti į Registro tarnybinių stočių patalpas gali tik Registro sisteminio administratoriaus, administratorių pavaduojančio asmens lydimi;

17.6. patekimas į Registro tarnybinių stočių patalpas registruojamas.

18. Elektroniniame žurnale įrašomi duomenys apie Registro tarnybinių stočių, Registro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Registro tarnybinėse stotyse, Registro taikomojoje programinėje įrangoje, visus Registro naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Įrašai analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne ilgiau nei 1 metus.

19. Registro informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per du metus.

20. Registro toleruotinas neveikimo laikas yra 16 val.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

21. Registro naudotojai įveda, keičia, atnaujina, naikina Registro duomenis pagal nustatytą jų teisių lygmenį.

22. Registro naudotojų tapatybė ir jų veiksmai su Registro duomenimis atpažįstami programinėmis priemonėmis, įrašomi Registro duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Registro administratoriui arba jį pavaduojančiam asmeniui.

23. Registro duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, ketinimus ar veiksmus Registro programinei įrangai ir duomenims.

24. Registro naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

25. Registro duomenų kopijavimas atliekamas kiekvieną darbo dieną:

25.1. duomenų kopijų darymas fiksuojamas duomenų kopijų darymo žurnale;

25.2. elektroninė informacija kopijose užšifruota ir neleidžia panaudoti kopijų elektroninei informacijai atkurti neteisėtu būdu;

25.3. duomenų kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

25.4. patekimas į patalpas, kuriose laikomos kopijos, registruojamas žurnale.

26. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, duomenų gavimo iš jų tvarka nustatyta Švietimo ir mokslo institucijų registro nuostatuose.

27. Registro administratorius atsako už Registro duomenų kopijavimo saugą ir duomenų atkūrimą iš Registro duomenų kopijų.

28. Registro saugos įgaliotinis atsako už Registro duomenų kopijų saugojimo kontrolę.

29. Prarasti Registro duomenys atkuriami iš Registro duomenų kopijų.

30. Registro duomenų atkūrimo iš kopijų bandymai atliekami ne rečiau kaip kartą per metus.

31. Registro duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:

31.1. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, neteisėtos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui arba Registro saugos įgaliotiniui.

31.2. Registro administratorius nedelsdamas turi imtis veiksmų neteisėtai veiklai su Registro duomenimis užkirsti;

31.3. Registro administratorius apie Tvarkymo taisyklių 31.1 papunktyje nurodytus pažeidimus informuoja Registro saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą (konfidencialumą, vientisumą ar prieinamumą), Registro saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

32. Registro programinės įrangos keitimo, atnaujinimo, Registro kompiuterinės įrangos keitimo (toliau – pokyčiai) tvarka:

32.1. Registro naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

32.2. Registro programinės įrangos pokyčiai įgyvendinami tik atlikus jos testavimą;

32.3. įgyvendinant Registro programinės įrangos pokyčius, kurių metu galimi veikimo sutrikimai, ne vėliau kaip prieš dvi darbo dienas iki planuojamų Registro programinės įrangos pokyčių vykdymo pradžios, Registro naudotojai informuojami apie pokyčių pradžią ir galimus veiklos sutrikimus;

32.4. jei yra sudaroma paslaugų teikimo sutartis dėl Registro papildomo funkcionalumo kūrimo ar modernizavimo (toliau – sutartis), Registro pokyčių įgyvendinimo sąlygos nustatomos sutartyje;

32.5. Registro administratorius arba jį pavaduojantis asmuo supažindina Registro naudotojus su Registro pokyčiais.

33. Registro pokyčių valdymo tvarka:

33.1. Registro valdytojas užtikrina Registro pokyčių planavimą, apimantį pokyčių identifikavimą, valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas), pokyčių prioritetų nustatymo (eiliškumas) procesus;

33.2. pokyčiai identifikuojami, nustačius Registro naudotojų, Registro administratoriaus ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas, ir kitais gerosios praktikos įvardinamais atvejais;

33.3. pokyčius turi teisę inicijuoti Registro duomenų valdymo įgaliotinis, Registro saugos įgaliotinis ar Registro administratorius, o įgyvendinti – Registro administratorius arba sutartį sudaręs paslaugų teikėjas;

33.4. visi potencialūs pokyčiai registruojami, įvertinus ir Registro valdytojui patvirtinus įtakos vertinimą ir prioritetą, ir atliekami tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;

33.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Registro darbą, turi būti suderinti su Registro tvarkytoju bei Registro duomenų valdymo įgaliotiniu;

33.6. prieš atlikdamas Registro pokyčius, kurių metu gali iškilti grėsmė duomenų ir Registro konfidencialumui, vientisumui ar pasiekiamumui, sutartį sudaręs paslaugų teikėjas ir (arba) Registro administratorius privalo pokyčius patikrinti Registro testinėje aplinkoje;

33.7. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kuri atskirta nuo eksploatuojamo Registro;

33.8. atlikę vykdomų Registro pokyčių testavimą sutartį sudaręs paslaugų teikėjas ir (arba) Registro administratorius gali pradėti įgyvendinti Registro pokyčius tik gavę patvirtinimą ir suderinę pokyčio diegimo grafiką su Registro tvarkytoju;

33.9. planuodamas Registro pokyčius, kurių metu galimi Registro veikimo sutrikimai, sutartį sudaręs paslaugų teikėjas ir (arba) Registro administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki Registro pokyčių vykdymo pradžios elektroniniu paštu informuoti Registro duomenų valdymo ir saugos įgaliotinius, kitus administratorius ir vidinius registro naudotojus apie tokių darbų pradžią ir galimus Registro veikimo sutrikimus.

34. Registro naudotojų pareigoms atlikti nešiojamų kompiuterių naudojimo tvarka:

34.1. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose; kelionės metu nešiojamieji kompiuteriai turi būti saugomi;

34.2. visi nešiojamieji kompiuteriai turi būti apsaugoti saugiais slaptažodžiais, vadovaujantis prieigos valdymo procedūra. Kompiuterio išdavimo metu turi būti nedelsiant pakeistas standartinis ar prieš tai nustatytas slaptažodis;

34.3. prieš perduodant nešiojamąjį kompiuterį Registro naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

34.4. nešiojamojo kompiuterio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami.

IV SKYRIUS

REIKALAVIMAI, KELIAMI REGISTRO FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

35. Sutartyje nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Registro programinę įrangą, naudodamas:

35.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

35.2. sertifikuotą sisteminę programinę įrangą;

35.3. Registro testinės duomenų bazės duomenis (Registro taikomajai programinei įrangai) modifikuoti.

36. Prieigos prie Registro išteklių teises – matyti Registro duomenis, atlikti Registro užklausas ir vykdyti veiksmus su Registro duomenimis – Registro administratorius suteikia tik paslaugų teikėjo įgaliotam fiziniam asmeniui sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti. Paslaugų teikėjui suteikiamas tik toks prieigos lygmuo, kuris yra būtinas sutartiniams įsipareigojimams įvykdyti, laikantis visų Registro saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Sutartyje privalo būti apibrėžti konfidencialios informacijos išsaugojimo įsipareigojimai, kurie galioja ir pasibaigus sutarties galiojimo terminui.

37. Registro administratorius atsako už Registro kompiuterinių, programinių paslaugų teikėjams prieigos prie Registro išteklių suteikimą ir panaikinimą.

38. Registro administratorius, suteikdamas prieigos prie Registro išteklių teises, paslaugų teikėjo įgaliotąjį fizinį asmenį supažindina su prieigos prie Registro duomenų sąlygomis.

39. Pasibaigus prieigos prie Registro išteklių teisėms, atsiradus kitoms aplinkybėms, Registro administratorius nedelsdamas panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie Registro duomenų teisę ir apie tai nedelsdamas raštiškai ar elektroniniu paštu jį informuoja.

_________________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. d.

įsakymu Nr. V-

ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo ir mokslo institucijų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Švietimo ir mokslo institucijų registro (toliau – Registras) naudotojų ir administratorių teises ir pareigas, Registro naudotojų administravimo principus ir tvarką, jų veiksmų kontrolę.

2. Administravimo taisyklės parengtos pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Švietimo ir mokslo institucijų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 6 d. įsakymu Nr. ISAK-657 „Dėl Švietimo ir mokslo institucijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo ir mokslo institucijų registro duomenų saugos nuostatai).

3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo ir mokslo institucijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Už Administravimo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis. Už Administravimo taisyklių įgyvendinimą atsako Registro administratorius.

5. Registro naudotojų – įgaliojimų, teisių, pareigų, jų supažindinimo su saugos dokumentais tvarka ir saugaus Registro tvarkomų duomenų teikimo Registro naudotojams kontrolės tvarkos principai paremti Registro duomenų saugumu, stabilumu, operatyvumu.

6. Administravimo taisyklės taikomos visiems Registro naudotojams, Registro administratoriui ir Registro saugos įgaliotiniui.

II SKYRIUS

REGISTRO NAUDOTOJŲ IR REGISTRO ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. Registro naudotojai gali naudotis tik tomis Registro dalimis ir jo apdorojamais duomenimis, prie kurių prieigą jiems suteikė administratorius.

8. Registro naudotojų įregistravimą ir administravimą vykdo Švietimo informacinių technologijų centro (toliau – ITC) Registro administratorius, kuris registruoja Registro naudotojus.

9. Registro naudotojų prieigos prie Registro duomenų principai:

9.1. prieiga suteikiama tik prie tų Registro duomenų ir tokia apimtimi, kuri reikalinga Registro naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

9.2. Registro duomenis gali keisti (sukurti, papildyti, taisyti ar panaikinti) tik tokią teisę turintys Registro naudotojai;

9.3. prieiga prie Registro duomenų ir teisė ją keisti suteikiama tik atlikus Registro naudotojo atpažinimą ir patvirtinus jo tapatybę.

10. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, neteisėtos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui arba Registro saugos įgaliotiniui.

11. Registro naudotojai turi teisę reikalauti iš Registro administratoriaus užtikrinti deramą jų naudojamo Registro ir jo apdorojamų duomenų apsaugos lygį, gauti informaciją apie taikomas apsaugos priemones ir rekomenduoti papildomas apsaugos priemones.

12. Registro administratorius turi teisę:

12.1. matyti institucijų visus duomenis;

12.2. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus;

12.3. stebėti funkcionavimą ir šalinti netikslumus;

12.4. kurti Registro naudotojų prisijungimus.

13. Registro naudotojai turi teisę:

13.1. matyti savo institucijos duomenis;

13.2. tvarkyti savo institucijos duomenis;

13.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus.

14. Registro administratoriaus, Registro naudotojų veiksmai, duomenų registravimo, duomenų koregavimo veiksmai nurodyti Švietimo ir mokslo institucijų registro nuostatuose, patvirtintuose Lietuvos Respublikos švietimo ir mokslo ministro 2004 m. lapkričio 29 d. įsakymo Nr. ISAK-1871 „Dėl Švietimo ir mokslo institucijų registro“, Švietimo ir mokslo institucijų registro duomenų saugos nuostatuose.

15. Registro administratoriaus, Registro naudotojų veiksmų registravimas vyksta automatiškai, tam sukurtomis programinės įrangos priemonėmis. Yra fiksuojami visi naudotojų atlikti veiksmai.

16. Už Registro naudotojų supažindinimą su Švietimo ir mokslo institucijų registro duomenų saugos nuostatais, Švietimo ir mokslo institucijų registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo planu, Administravimo taisyklėmis atsakingas Registro saugos įgaliotinis. Registro saugos įgaliotinis naujai paskirtus Registro naudotojus pasirašytinai supažindina su Registro saugos dokumentais. Registro naudotojas gali dirbti su Registro elektronine informacija tik pasirašytinai susipažinęs su Registro saugos dokumentais. Jei Registro saugos dokumentuose atsiranda pakeitimų, Registro saugos įgaliotinis su jais supažindina visus Registro naudotojus.

17. Registro saugos įgaliotinis duomenų saugos klausimais ne rečiau kaip kartą per metus Registro administratoriui ir Registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) supažindina šiuos asmenis su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais.

18. Registro tvarkytojo vadovas sudaro galimybes Registro administratoriui, Registro naudotojams dalyvauti Registro saugos įgaliotinio organizuojamuose elektroninės informacijos saugos renginiuose.

19. Registro saugos įgaliotinis nedelsdamas siunčia Registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) priimtus naujus elektroninės informacijos saugos teisės aktus ir jų pakeitimus, informuoja apie šiems asmenims organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, priimtiems naujiems Registro naudotojams siunčia atmintines.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

20. Visi Registro naudotojai, dirbantys su Registro duomenimis, privalo turėti leidimą dirbti su Registru (prisijungimo vardą ir slaptažodį). Unikalus naudotojo vardas ir slaptažodis Registro naudotojui perduodami asmeniškai arba siunčiami elektroniniu paštu užšifruotame dokumente. Nutraukus darbo santykius su Registro naudotoju, atitinkamos įstaigos vadovas ar personalo skyrius (ar padalinys (asmuo), atsakingas už personalą) informuoja el. paštu ir / ar paprastu paštu apie tai Registro administratorių, kuris panaikina Registro naudotojo prisijungimo vartotojo vardą ir slaptažodį.

21. Registro administratorius, vadovaudamasis ITC direktoriaus tvirtinama Leidimų dirbti su registro asmens duomenimis išdavimo tvarka, pagal rašytinį prašymą Registro naudotojui suteikia unikalų prisijungimo prie Registro vardą ir pirminį slaptažodį, kurį perduoda Registro naudotojui asmeniškai arba išsiunčia elektroniniu paštu.

22. Registro naudotojo tapatybė nustatoma vadovaujantis naudotojo pateikta prašymo suteikti prisijungimą prie Registro anketa, kuri yra tvirtinama ITC direktoriaus Leidimų dirbti su registro asmens duomenimis išdavimo tvarkoje. Registro naudotojui jungiantis prie Registro, jo tapatybė nustatoma pagal unikalų Registro naudotojo prisijungimo vardą, patvirtinamą asmeniniu slaptažodžiu.

23. Unikalus prisijungimo vardas ir pirminis slaptažodis žinomi tik Registro administratoriui ir Registro naudotojui.

24. Suteiktas naudotojo vardas nekeičiamas ir negali būti suteiktas kitam Registro naudotojui.

25. Pirmo prisijungimo prie Registro metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

26. Registro naudotojo slaptažodžiui yra keliami šie reikalavimai:

26.1. slaptažodis formuojamas iš raidžių, skaičių ir specialiųjų simbolių;

26.2. slaptažodžiui neturi būti naudojama asmeninio pobūdžio informacija;

26.3. draudžiama slaptažodžius atskleisti tretiems asmenims;

26.4. Registro dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

26.5. Slaptažodžiai negali būti saugomi atviru tekstu;

26.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 3 kartai. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, Registras turi užsirakinti ir neleisti Registro naudotojui identifikuotis. Atblokuoti Registro naudotojo prisijungimą gali tik Registro administratorius.

27. Papildomi reikalavimai Registro naudotojų slaptažodžiams:

27.1. gavęs Registro administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Registro, nedelsdamas slaptažodį pakeisti ir jį įsiminti;

27.2. privalo keisti slaptažodį ne rečiau kaip kartą per 3 mėnesius;

27.3. slaptažodį turi sudaryti ne mažiau kaip 6 simboliai, kurie negali kartotis;

27.4. keisdamas slaptažodį, turi bent kartą slaptažodį pakartoti;

27.5. neturi teisės palikti užrašyto slaptažodžio matomoje vietoje;

27.6. pamiršęs slaptažodį, privalo kreiptis į Registro administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį;

27.7. įtaręs, kad tretieji asmenys žino jo slaptažodį, nedelsdamas privalo slaptažodį pakeisti.

28. Naujai paskirtam Registro naudotojui Registro administratorius suteikia naują prisijungimo vardą ir pirminį slaptažodį.

29. Registro administratorius nedelsdamas blokuoja netekusio teisės dirbti su Registro duomenimis Registro naudotojo prisijungimo vardą ir slaptažodį.

30. Nuotoliniam prisijungimui prie Registro išoriniams naudotojams papildomi reikalavimai nekeliami. Nuotolinis prisijungimas galimas tik saugiu HTTP protokolu – HTTPS. Priklausomai nuo informacijos pateikimo į Registrą būdo, nuotolinis prisijungimas papildomai gali būti kontroliuojamas pagal prie Registro besijungiančio kompiuterio IP adresą.

__________________________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. d.

įsakymu Nr. V-

ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo ir mokslo institucijų registro veiklos tęstinumo valdymo planas (toliau – Planas) nustato Švietimo ir mokslo institucijų registro (toliau – Registras) tvarkytojo, jo paskirtų tvarkyti Registro duomenis fizinių asmenų – Registro naudotojų, Registro administratoriaus, Registro saugos įgaliotinio – veiksmus esant elektroninės informacijos saugos incidentui Registro tvarkymo įstaigoje, kurios metu gali kilti pavojus Registro duomenims, Registro kompiuterinės, programinės įrangos funkcionavimui.

2. Planas parengtas pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Švietimo ir mokslo institucijų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 6 d. įsakymu Nr. ISAK-657 „Dėl Švietimo ir mokslo institucijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo ir mokslo institucijų registro duomenų saugos nuostatai).

3. Plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo ir mokslo institucijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Planas taikomas esant elektroninės informacijos saugos incidentui ir (ar) aplinkybėms (pvz.: gaisras, gamtos veiksniai, įrangos gedimai ir kt.), keliantiems pavojų Registro naudotojų, Registrų administratoriaus, Registro saugos įgaliotinio gyvybei ar sveikatai, dėl kurių gali būti prarandama įranga arba duomenys.

5. Planas privalomas visiems Registro tvarkytojams, Registro valdytojui, Registro saugos įgaliotiniui, Registro administratoriui ir Registro naudotojams.

6. Prieinamumas prie Registro informacijos užtikrinamas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

7. Registro veiklos atkūrimas užtikrinamas ne ilgiau kaip per 16 (šešiolika) valandų.

8. Už Plano įgyvendinimą atsako Registro tvarkytojas ir Registro naudotojai, Registro administratorius. Už Plano įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis.

9. Registro tvarkytojo, Registro naudotojų, Registro administratorių, Registro saugos įgaliotinio – įgaliojimai, kurie yra suteikiami įvykus saugos incidentui bei funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Švietimo ir mokslo institucijų registro veiklos tęstinumo detaliajame plane (toliau – Detalus planas) (Plano 1 priedas).

10. Elektroninės informacijos saugos incidento metu patirti nuostoliai Registro tvarkytojo įstaigoje padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

11. Kriterijai, pagal kuriuos nustatoma, kad Registro veikla atkurta, yra:

11.1. nuolat atnaujinami Registro duomenys;

11.2. išsaugomi atnaujinti Registro duomenys;

11.3. pasiekiami Registro duomenys darbo dienomis;

11.4. susijusių registrų nuolat teikiami duomenys, atnaujinami Registre;

11.5. duomenys, formuojami ir teikiami Registro duomenų gavėjams, duomenų teikimo sutartyje nustatytomis sąlygomis arba pagal gavėjo prašymą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. Registro veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis:

12.1. Švietimo informacinių technologijų centro (toliau – ITC) direktorius (veiklos tęstinumo valdymo grupės vadovas);

12.2. ITC direktoriaus pavaduotojas (veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

12.3. ITC AIKOS ir integralių IS skyriaus vadovas;

12.4. Registro saugos įgaliotinis;

12.5. Registro duomenų valdymo įgaliotinis.

13. Veiklos tęstinumo valdymo grupės funkcijos:

13.1. elektroninės informacijos saugos incidento analizė ir sprendimų Registro veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;

13.6. Registro duomenų fizinė sauga įvykus elektroninės informacijos saugos incidentui;

13.7. logistika (žmonių, daiktų, įrangos gabenimas organizavimas ir jų gabenimas);

13.8. kitos veiklos tęstinumo valdymo grupei pavestos funkcijos.

14. Registro veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis:

14.1. ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas);

14.2. Registro tvarkymo administratorius;

14.3. Registro sisteminis administratorius.

15. Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už jų vykdymą:

15.1. Registrų veiklos atkūrimo priežiūra ir koordinavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas);

15.2. tarnybinės stoties veiklos atkūrimo organizavimas – funkciją vykdo Registro sisteminis administratorius, Registro tvarkymo administratorius;

15.3. kompiuterių tinklo veikimo atkūrimo organizavimas – funkciją vykdo Registro sisteminis administratorius;

15.4. Registro duomenų atkūrimo organizavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Registro sisteminis administratorius, Registro tvarkymo administratorius;

15.5. taikomųjų programų tinkamo veikimo atkūrimo organizavimas – funkciją vykdo Registro sisteminis administratorius, Registro tvarkymo administratorius;

15.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas – funkciją vykdo Registro sisteminis administratorius;

15.7. kitos veiklos atkūrimo grupei pavestos funkcijos – funkcijas pagal kompetenciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Registro sisteminis administratorius, Registro tvarkymo administratorius.

16. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja susirinkimą kartą per metus arba įvykus esminių pokyčių informacinėje sistemoje.

17. Įvykus elektroninės informacijos saugos incidentui ITC patalpose, kuriose yra Registro tarnybinės stoties administravimo kompiuterinė ir programinė įranga:

17.1. Registro sisteminis administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą Registro saugos įgaliotinį ir ITC AIKOS ir integralių IS skyriaus vedėją;

17.2. ITC AIKOS ir integralių IS skyriaus vadovas apie elektroninės informacijos saugos incidentą nedelsdamas informuoja ITC direktorių;

17.3. Registro saugos įgaliotinis informaciją įrašo Elektroninės informacijos saugos incidentų registravimo žurnale (Plano 2 priedas), vadovauja Detaliajame plane nurodytiems veiksmams;

17.4. Registro sisteminis administratorius atkuria Registro tarnybinės stoties, kompiuterių tinklo veiklą, Registro duomenis, Registro kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja ITC AIKOS ir integralių IS skyriaus vedėją ir Registro saugos įgaliotinį;

17.5. Registro saugos įgaliotinis organizuoja žalos Registro duomenims, Registrų kompiuterinei, programinei įrangai vertinimą, koordinuoja Registro veiklai atkurti kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos įsigijimą.

18. Įvykus elektroninės informacijos saugos incidentui, reguliarus ir pastovus bendravimas veiklos tęstinumo valdymo grupėje ir veiklos atkūrimo grupėse vyksta elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.

19. ITC darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, o veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių tarnybinio mobiliojo ir namų telefonų numeriai ir gyvenamosios vietos adresai, saugomas ITC Sisteminio-techninio aptarnavimo skyriuje.

20. Elektroninės informacijos saugos incidento metu sunaikinta kompiuterinė įranga, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

21. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių tęsti veiklą pagrindinėse patalpose, Detalus planas užtikrina Registro veiklos atnaujinimą atsarginėse patalpose (ITC administracinio pastato pirmas aukštas, adresas: Suvalkų g. 1, Vilnius, LT-03106) per tokį laikotarpį, kad nebūtų nusižengta ITC įsipareigojimams, susijusiems su Registro veikla. Atsarginėms patalpoms keliami šie reikalavimai:

21.1. patalpose turi būti įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

21.2. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

21.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

21.4. patalpos turi būti rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

21.5. asmenys, nesusiję su Registro duomenų tvarkymu, patekti į šias patalpas gali tik Registro sisteminis administratoriaus, administratorių pavaduojančio asmens lydimi;

21.6. patekimas į tarnybinių stočių patalpas turi būti registruojamas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

22. Minimalus Registro veiklai atkurti, nesant Registro sisteminio administratoriaus, personalui reikalingos kompetencijos lygis ir minimali funkcionalumo informacinių technologijų įranga, tinkama Registro poreikiams ir atitinkamai Registro veiklai elektroninės informacijos saugos incidento metu užtikrinti, reglamentuota Švietimo ir mokslo institucijų registro specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.

23. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai Registro veiklai užtikrinti, aprašymas pateikiamas Registro specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių. Atkuriant Registro veiklą elektroninės informacijos saugos incidento metu, būtinos 2 tarnybinės stotys ir interneto linija, kurios minimalus greitis 2 Mb/s.

24. ITC patalpų, kuriose yra Registro tarnybinės stoties administravimo kompiuterinė įranga, sisteminė ir taikomoji programinė įranga, detalieji pastato planai parengti ūkvedžio ir patvirtinti ITC direktoriaus saugomi ITC Ūkio ir personalo skyriuje, pas skyriaus vadovą.

25. Registro tarnybinės stoties administravimo, Registro kompiuterinės ir programinės įrangos aprašai saugomi ITC Sisteminio-techninio aptarnavimo skyriuje.

26. Registro duomenų, Registro programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys, Registro specifikacija saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.

27. Registro atsarginių duomenų kopijos daromos ITC direktoriaus patvirtintame Švietimo ir mokslo institucijų registro atsarginių duomenų kopijų darymo apraše, patvirtintame ITC direktoriaus, nurodyta tvarka ir saugomos ITC Sisteminio-techninio aptarnavimo skyriuje. Už Registro atsarginių duomenų kopijų darymą, saugojimą, duomenų iš Registro atsarginių duomenų kopijų atkūrimą atsako ITC direktoriaus įsakymu paskirtas ITC Sisteminio-techninio aptarnavimo skyriaus specialistas – Registro sisteminis administratorius.

28. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis saugomas ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.

29. ITC interneto svetainėje skelbiami Registro duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Registro saugos įgaliotinis, per kalendorinius metus įvertinęs ITC rizikos veiksnių galimybes, išnagrinėjęs Elektroninės informacijos saugos incidentų registravimo žurnale įrašus, kartą per metus – iki gruodžio 31 dienos – rengia Švietimo ir mokslo institucijų registro rizikos įvertinimo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), prireikus saugos įgaliotinis gali organizuoti neeilinį Registro įvertinimą. Ataskaitą tvirtina ITC direktorius.

31. Plano veiksmingumo išbandymo data nustatoma kiekvienais metais sausio mėnesį. Nustatytą dieną imituojamos elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidentų metu veiksmus. Atsarginėje Registro tarnybinėje stotyje iš atsarginių Registro duomenų kopijose esamų duomenų atkuriami Registro duomenys.

32. Registro saugos įgaliotinis atsakingas už Plano veiksmingumą. Už pastebėtų Plano trūkumų ataskaitos parengimą ir teikimą Registro valdytojui atsakingas Registro saugos įgaliotinis.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

Švietimo ir mokslo institucijų registro

veiklos tęstinumo valdymo plano

1 priedas

ŠVIETIMO IR MOKSLO INSTITUCIJŲ REGISTRO VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Elektroninės informacijos incidentas	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Pasekmės likvidavimo atsakingi vykdytojai
1. Pavojingų gamtinių reiškinių sukeltas incidentas	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC AIKOS ir integralių IS skyriaus vadovas
		1.1.1. 1.1.1. 1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.1.3. Priemonių plano įgyvendinimas	Švietimo ir mokslo institucijų registro sisteminis administratorius Švietimo ir mokslo institucijų registro tvarkymo administratorius
	1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	ITC AIKOS ir integralių IS skyriaus vadovas
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	1.4. Asmenims, dirbantiems pavojaus vietoje, rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Švietimo ir mokslo institucijų registro priežiūros administratorius
		1.1.1. 1.1.1. 1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Švietimo ir mokslo institucijų registro priežiūros administratorius
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
1.1.1.	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	Švietimo ir mokslo institucijų registro tvarkymo administratorius
	2.1. Ugniagesių tarnybos informavimas	1.1.1. 1.1.1. 2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC AIKOS ir integralių IS skyriaus vadovas
	1.1.1. 2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	1.1.1. 2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	1.1.1. 2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvos stadijos gaisro gesinimas, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC AIKOS ir integralių IS skyriaus vadovas
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	Švietimo ir mokslo institucijų registro tvarkymo administratorius
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	1.1.1. 1.1.1. 3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC AIKOS ir integralių IS skyriaus vadovas
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC AIKOS ir integralių IS skyriaus vadovas
1.1.1.	3.3. Patalpų užrakinimas, jei yra galimybė
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	1.1.1. 3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	ITC direktoriaus pavaduotojas
		1.1.1. 1.1.1. 3.5.3. Žalą likviduojančių darbuotojų instruktavimas	ITC AIKOS ir integralių IS skyriaus vadovas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti pavojaus zonoje	Švietimo ir mokslo institucijų registro saugos įgaliotinis
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	1.1.1. 1.1.1. 4.1.2. Darbuotojų informavimas apie rekomendacijas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	4.2. Atsarginių patalpų įrengimas	4.2.1. Darbuotojų informavimas apie darbą patalpose	ITC AIKOS ir integralių IS skyriaus vedėjas
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos kompiuterinės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų pašalinimo organizavimas	ITC direktoriaus pavaduotojas
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	ITC direktoriaus pavaduotojas
	1.1.1. 5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 5.3.2. Padarytos žalos įvertinimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
		1.1.1. 1.1.1. 5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	ITC direktoriaus pavaduotojas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	1.1.1. 1.1.1. 6.1.2. Darbuotojų informavimas apie rekomendacijas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
	1.1.1. 6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
1.1.1.		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	ITC direktoriaus pavaduotojas
	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų	ITC direktoriaus pavaduotojas
	7.3. Sutrikimo šalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	ITC direktoriaus pavaduotojas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas, instruktavimas, jų veiksmų nustatymas	ITC direktoriaus pavaduotojas
	8.2. Elektroninės informacijos saugos incidento pasekmės šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	ITC direktoriaus pavaduotojas
		1.1.1. 8.2.2. Įsigytos įrangos skyrimas Registro tvarkymo įstaigai	ITC direktoriaus pavaduotojas
	1.1.1. 1.1.1.		ITC direktoriaus pavaduotojas
9. Programinės įrangos sugadinimas, praradimas
	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC AIKOS ir integralių IS skyriaus vedėjas Švietimo ir mokslo institucijų registro sisteminis administratorius
		1.1.1. 1.1.1. 9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas
	1.1.1. 9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo ir mokslo institucijų registro saugos įgaliotinis
1.1.1. 1.1.1. 9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir vykdyti jų nurodymus		ITC direktoriaus pavaduotojas
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	ITC direktoriaus pavaduotojas
10. Dokumentų praradimas		Prarastų dokumentų gavimas	ITC AIKOS ir integralių IS skyriaus vedėjas
11. Darbuotojų praradimas	Elektroninės informacijos saugos incidento pasekmės įvertinimas	Trūkstamų darbuotojų paieška ir priėmimas į darbą	ITC direktorius

Švietimo ir mokslo institucijų registro

veiklos tęstinumo valdymo plano

2 priedas

(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20 __m. _____mėn. _____d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Švietimo ir mokslo institucijų registro tvarkytojo įstaigos pavadinimas	požymio kodas	įvykio aprašymas	pradžia (metai, mėnuo, diena, valanda)	pabaiga (metai, mėnuo, diena, valanda)	pašalino (vardas, pavardė)	Švietimo ir mokslo institucijų registro saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.
6.

Elektroninės informacijos saugos incidentų požymiai:

1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpų pažeidimas arba praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas.

Švietimo ir mokslo institucijų registro

veiklos tęstinumo valdymo plano

3 priedas

(Rizikos įvertinimo ataskaitos formos pavyzdys)

TVIRTINU

Švietimo informacinių technologijų centro direktorius

(Parašas)

(Vardas ir pavardė)

(Data)

RIZIKOS ĮVERTINIMO ATASKAITA

20__ m. pusmetis

Rizikos veiksniai	Švietimo ir mokslo institucijų registro tvarkytojo įstaigos pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai		pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpų pažeidimas arba praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties, komutacinės įrangos sugadinimas
9. Programinės įrangos sugadinimas, praradimas
10. Duomenų pakeitimas, praradimas. Dokumentų praradimas
11. Darbuotojų praradimas

Švietimo ir mokslo institucijų registro saugos įgaliotinis ___________________________________ __________________________

(vardas, pavardė) (parašas)

____________________________________________