LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS
ĮSAKYMAS
DĖL STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO
2017 m. liepos 28 d. Nr. V-611
Vilnius
Vadovaudamasi Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymu Nr. ISAK-812 „Dėl Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų patvirtinimo“, 7.2 papunkčiu:
1. T v i r t i n u pridedamus:
1.1. Studijų, mokymo programų ir kvalifikacijų registro saugaus elektroninės informacijos tvarkymo taisykles;
2. P a v e d u :
2.1. Informacinių sistemų ir dokumentų valdymo skyriui pateikti patvirtintų Studijų, mokymo programų ir kvalifikacijų registro saugaus elektroninės informacijos tvarkymo taisyklių, Studijų, mokymo programų ir kvalifikacijų registro naudotojų administravimo taisyklių ir Studijų, mokymo programų ir kvalifikacijų registro veiklos tęstinumo valdymo plano dokumentų kopijas Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS) ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo šios informacinės sistemos nuostatų nustatyta tvarka.
2.2. Švietimo informacinių technologijų centrui organizuoti Studijų, mokymo programų ir kvalifikacijų registro saugaus elektroninės informacijos tvarkymo taisyklių, Studijų, mokymo programų ir kvalifikacijų registro naudotojų administravimo taisyklių ir Studijų, mokymo programų ir kvalifikacijų registro veiklos tęstinumo valdymo plano įgyvendinimą.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. liepos mėn. 28 d.
įsakymu Nr. V-611
STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Studijų, mokymo programų ir kvalifikacijų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Studijų, mokymo programų ir kvalifikacijų registro (toliau – Registras) tvarkytojų, jų vadovų paskirtų tvarkyti Registro duomenis fizinių asmenų, Registro naudotojų, Registro administratoriaus, Registro saugos įgaliotinio veiksmus, užtikrinančius saugų Registro kompiuterinės, programinės įrangos funkcionavimą, Registro duomenų tvarkymą ir teikimą.
2. Tvarkymo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms reikalavimais, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2015 m. rugpjūčio 26 d. nutarimu Nr. 895 „Dėl Studijų, mokymo programų ir kvalifikacijų registro reorganizavimo ir Studijų, mokymo programų ir kvalifikacijų registro nuostatų patvirtinimo“ (toliau – Studijų, mokymo programų ir kvalifikacijų registro nuostatai), Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymu Nr. ISAK-812 „Dėl Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatai).
3. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro nuostatuose, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
4. Registro informacija prieinama tik registruotiems naudotojams pagal jiems priskirtas teises. Registro informaciją gali tvarkyti Registro tvarkytojo paskirti fiziniai asmenys, tik susipažinę su savo pareigybių aprašymuose nurodytomis funkcijomis, skirtomis savo veiksmams atlikti.
5. Už Registro duomenų saugų tvarkymą atsakingi Registro tvarkytojai, jo vadovų paskirti tvarkyti Registro duomenis fiziniai asmenys, Registro naudotojai, Registro administratoriai.
6. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Registro saugos įgaliotinis.
7. Tvarkymo taisyklės taikomos Registro valdytojui, tvarkytojams, visiems Registro naudotojams, duomenų valdymo ir saugos įgaliotiniui ir administratoriams.
8. Registre tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas Studijų, mokymo programų ir kvalifikacijų registro nuostatų 15, 16 punktuose.
9. Registro tvarkoma informacija yra skirstoma į šias grupes:
10. Registro administratorius atsakingas už šios informacijos tvarkymą:
11. Registro sisteminis administratorius, atsakingas už šios informacijos tvarkymą:
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
13. Registro duomenys nuolat apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis nuo duomenų praradimo, iškraipymo ar duomenų sunaikinimo.
14. Registro kompiuterinės įrangos saugos užtikrinimo priemonės:
14.4. pagrindinė registro kompiuterinė įranga ir duomenų perdavimo tinklo elementai turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą nuo elektros energijos dingimo;
14.5. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo elementai ir ryšio linijos turi būti dubliuoti;
15. Registro sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra:
15.1. naudojama tik legali, įteisinta ir darbo funkcijoms atlikti reikalinga Registro programinė įranga;
15.2. teisę dirbti su Registro tarnybinės stoties administravimo programine įranga turintis Registro sisteminis administratorius arba jį pavaduojantis asmuo;
15.3. slaptažodžiai, suteikiantys teisę dirbti su Registro tarnybinės stoties administravimo programine įranga, žinomi tik Registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui;
15.4. Registro programinis kodas apsaugotas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės, kaip ir Registro duomenims. Naudojama specializuota kovos su virusais programinė priemonė, atnaujinama ne rečiau kaip kartą per savaitę;
15.5. taikomos programinės priemonės, skirtos Registro naudotojų tapatybei ir veiksmams su Registro duomenimis nustatyti. Vykdoma Registro naudotojų ketinimų ir veiksmų su Registro duomenimis apskaita. Registro naudotojai duomenis pasiekia internetu per „ugniasienę“ (angl. – firewall);
15.6. Registro naudotojo veiksmai su Registro duomenimis ar bandymai juos atlikti registruojami programiniu būdu. Suteikiama prieigos prie Registro duomenų teisė atlikti veiksmus tik su jam priskirtų Registro objektų duomenimis;
16. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:
17. Saugos užtikrinimo bendrosioms Registro patalpoms priemonės:
18. Registro saugos užtikrinimo priemonės patalpoms, kuriose yra Registro tarnybinės stoties administravimo programine įranga, yra:
18.1. patalpose įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;
18.2. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;
18.3. patalpos, atitinkančios priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;
18.5. asmenys, nesusiję su Registro duomenų tvarkymu, patekti į Registro tarnybinių stočių patalpas gali tik Registro sisteminio administratoriaus, administratorių pavaduojančio asmens lydimi;
19. Elektroniniame žurnale įrašomi duomenys apie Registro tarnybinių stočių, Registro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Registro tarnybinėse stotyse, Registro taikomojoje programinėje įrangoje, visus Registro naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Įrašai analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne ilgiau nei 1 metus.
20. Registro informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per du metus.
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
22. Registro naudotojai įveda, keičia, atnaujina, naikina Registro duomenis pagal nustatytą jų teisių lygmenį.
23. Registro naudotojų tapatybė ir jų veiksmai su Registro duomenimis atpažįstami programinėmis priemonėmis, įrašomi Registro duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Registro administratoriui arba jį pavaduojančiam asmeniui.
24. Registro duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, ketinimus ar veiksmus Registro programinei įrangai ir duomenims.
25. Registro naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.
26. Registro duomenų kopijavimas atliekamas kiekvieną darbo dieną:
26.2. elektroninė informacija kopijose užšifruota ir neleidžia panaudoti kopijų elektroninei informacijai atkurti neteisėtu būdu;
26.3. duomenų kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;
27. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, duomenų gavimo iš jų tvarka nustatyta Studijų, mokymo programų ir kvalifikacijų registro nuostatuose.
28. Registro sisteminis administratorius atsako už Registro duomenų kopijavimo saugą ir duomenų atkūrimą iš Registro duomenų kopijų.
32. Registro duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:
32.1. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, neteisėtos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui arba saugos įgaliotiniui.
32.2. Registro administratorius nedelsdamas turi imtis veiksmų neteisėtai veikai su Registro duomenimis užkirsti;
32.3. Registro administratorius apie Tvarkymo taisyklių 32.1 papunktyje nurodytus pažeidimus informuoja Registro saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą (konfidencialumą, vientisumą ar prieinamumą), Registro saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.
33. Registro programinės įrangos keitimo, atnaujinimo, Registro kompiuterinės įrangos keitimo (toliau – pokyčiai) tvarka:
33.1. Registro naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;
33.3. įgyvendinant Registro programinės įrangos pokyčius, kurių metu galimi veikimo sutrikimai, ne vėliau kaip prieš dvi darbo dienas iki planuojamų Registro programinės įrangos pokyčių vykdymo pradžios, Registro naudotojai informuojami apie pokyčių pradžią ir galimus veiklos sutrikimus;
33.4. jei yra sudaroma paslaugų teikimo sutartis dėl Registro papildomo funkcionalumo kūrimo ar modernizavimo (toliau – sutartis), Registro pokyčių įgyvendinimo sąlygos nustatomos sutartyje;
34. Registro pokyčių valdymo tvarka:
34.1. Registro valdytojas užtikrina Registro pokyčių planavimą, apimantį pokyčių identifikavimą valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas), pokyčių prioritetų nustatymo (eiliškumas) procesus;
34.2. pokyčiai identifikuojami, nustačius Registro naudotojų, administratorių ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas, ir kitais gerosios praktikos įvardinamais atvejais;
34.3. pokyčius turi teisę inicijuoti Registro duomenų valdymo įgaliotinis, Registro saugos įgaliotinis ar Registro administratorius, o įgyvendinti – sisteminis administratorius arba sutartį sudaręs paslaugų teikėjas;
34.4. visi potencialūs pokyčiai registruojami, įvertinus ir valdytojui patvirtinus įtakos vertinimą ir prioritetą, ir atliekami tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;
34.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Registro darbą, turi būti suderinti su Registro pagrindiniu tvarkytoju bei Registro duomenų valdymo įgaliotiniu;
34.6. prieš atlikdamas Registro pokyčius, kurių metu gali iškilti grėsmė duomenų ir Registro konfidencialumui, vientisumui ar pasiekiamumui, sutartį sudaręs paslaugų teikėjas ir (arba) administratoriai privalo pokyčius patikrinti Registro testavimo aplinkoje;
34.7. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kuri atskirta nuo eksploatuojamo Registro;
34.8. atlikę vykdomų Registro pokyčių testavimą sutartį sudaręs paslaugų teikėjas ir (arba) Registro administratoriai gali pradėti įgyvendinti Registro pokyčius tik gavę patvirtinimą ir suderinę pokyčio diegimo grafiką su Registro tvarkytoju;
34.9. planuodamas Registro pokyčius, kurių metu galimi Registro veikimo sutrikimai, sutartį sudaręs paslaugų teikėjas ir(arba) administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki Registro pokyčių vykdymo pradžios elektroniniu paštu informuoti Registro duomenų valdymo ir saugos įgaliotinius, kitus administratorius ir vidinius registro naudotojus apie tokių darbų pradžią ir galimus Registro veikimo sutrikimus.
35. Registro naudotojų pareigoms atlikti nešiojamų kompiuterių naudojimo tvarka:
35.1. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose; kelionės metu nešiojamieji kompiuteriai turi būti saugomi;
35.2. visi nešiojamieji kompiuteriai turi būti apsaugoti saugiais slaptažodžiais, vadovaujantis prieigos valdymo procedūra. Kompiuterio išdavimo metu turi būti nedelsiant pakeistas standartinis ar prieš tai nustatytas slaptažodis;
35.3. prieš perduodant nešiojamąjį kompiuterį Registro naudotojui, jis turi būti patikrinamas antivirusine programine įranga;
IV SKYRIUS
REIKALAVIMAI, KELIAMI REGISTRO FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
36. Sutartyje nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Registro programinę įrangą, naudodamas:
36.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio sisteminei programinei įrangai ir patalpoms;
37. Prieigos prie Registro išteklių teises – matyti Registro duomenis, atlikti Registro užklausas ir vykdyti veiksmus su Registro duomenimis – Registro administratorius suteikia tik paslaugų teikėjo įgaliotam fiziniam asmeniui sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti. Paslaugų teikėjui suteikiamas tik toks prieigos lygmuo, kuris yra būtinas sutartiniams įsipareigojimams įvykdyti, laikantis visų Registro saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Sutartyje privalo būti apibrėžti konfidencialios informacijos išsaugojimo įsipareigojimai, kurie galioja ir pasibaigus sutarties galiojimo terminui.
38. Registro administratorius atsako už Registro kompiuterinių, programinių paslaugų teikėjams prieigos prie Registro išteklių suteikimą ir panaikinimą.
39. Registro administratorius, suteikdamas prieigos prie Registro išteklių teises, paslaugų teikėjo įgaliotąjį fizinį asmenį supažindina su prieigos prie Registro duomenų sąlygomis.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2017 m. liepos 28 d.
įsakymu Nr. V-611
STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Studijų, mokymo programų ir kvalifikacijų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Studijų, mokymo programų ir kvalifikacijų registro (toliau – Registras) naudotojų ir administratorių teises ir pareigas, Registro naudotojų administravimo principus ir tvarką, jų veiksmų kontrolę.
2. Administravimo taisyklės parengtos pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymu Nr. ISAK-812 „Dėl Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatai).
3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
4. Už Administravimo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis. Už Administravimo taisyklių įgyvendinimą atsako Registro administratorius.
5. Registro tvarkytojo vadovo paskirtų fizinių asmenų – Registro naudotojų – įgaliojimų, teisių, pareigų, jų supažindinimo su saugos dokumentais tvarka ir saugaus Registro tvarkomų duomenų teikimo Registro naudotojams kontrolės tvarkos principai paremti Registro duomenų saugumu, stabilumu, operatyvumu.
II SKYRIUS
REGISTRO NAUDOTOJŲ IR REGISTRO ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
7. Registro naudotojai gali naudotis tik tomis Registro dalimis ir jo apdorojamais duomenimis, prie kurių prieigą jiems suteikė administratorius.
8. Registro naudotojų įregistravimą ir administravimą vykdo Švietimo informacinių technologijų centro (toliau – ITC) Registro administratorius, kuris registruoja Registro naudotojus.
9. Registro naudotojai privalo užtikrinti jų naudojamo Registro ir jo apdorojamų duomenų konfidencialumą, vientisumą ir pasiekiamumą, vadovaudamiesi Administravimo taisyklėse apibrėžtais reikalavimais.
10. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui arba Registro saugos įgaliotiniui.
11. Registro naudotojai turi teisę reikalauti iš Registro administratoriaus užtikrinti deramą jų naudojamo Registro ir jo apdorojamų duomenų apsaugos lygį, gauti informaciją apie taikomas apsaugos priemones ir rekomenduoti papildomas apsaugos priemones.
12. Registro administratorius turi teisę:
13. Registro naudotojai turi teisę:
14. Registro administratoriaus, Registro naudotojų veiksmai, duomenų registravimo, duomenų koregavimo veiksmai nurodyti Studijų, mokymo programų ir kvalifikacijų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2015 m. rugpjūčio 26 d. nutarimu Nr. 895 „Dėl Studijų, mokymo programų ir kvalifikacijų registro reorganizavimo ir Studijų, mokymo programų ir kvalifikacijų registro nuostatų patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatuose.
15. Registro administratoriaus, Registro naudotojų veiksmų registravimas vyksta automatiškai, tam sukurtomis programinės įrangos priemonėmis. Yra fiksuojami visi naudotojų atlikti veiksmai.
16. Už Registro naudotojų supažindinimą su Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatais, Studijų, mokymo programų ir kvalifikacijų registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Studijų, mokymo programų ir kvalifikacijų registro veiklos tęstinumo valdymo planu, Administravimo taisyklėmis atsakingas Registro saugos įgaliotinis. Registro saugos įgaliotinis naujai paskirtus Registro naudotojus pasirašytinai supažindina su Registro saugos dokumentais. Registro naudotojas gali dirbti su Registro elektronine informacija tik pasirašytinai susipažinęs su Registro saugos dokumentais. Jei Registro saugos dokumentuose atsiranda pakeitimų, Registro saugos įgaliotinis su jais supažindina visus Registro naudotojus.
17. Registro saugos įgaliotinis duomenų saugos klausimais ne rečiau kaip kartą per metus Registro administratoriui ir Registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) supažindina šiuos asmenis su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais.
18. Registro tvarkytojo vadovas sudaro galimybes Registro administratoriui, Registro naudotojams dalyvauti Registro saugos įgaliotinio organizuojamuose elektroninės informacijos saugos renginiuose.
19. Registro saugos įgaliotinis nedelsdamas siunčia Registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) priimtus naujus elektroninės informacijos saugos teisės aktus ir jų pakeitimus, informuoja apie šiems asmenims organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, priimtiems naujiems Registro naudotojams siunčia atmintines.
III SKYRIUS
SAUGAUS DUOMENŲ TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA
20. Visi Registro naudotojai, dirbantys su Registro duomenimis, privalo turėti leidimą dirbti su Registru (prisijungimo vardą ir slaptažodį). Unikalus naudotojo vardas ir slaptažodis Registro naudotojui perduodami asmeniškai arba siunčiami elektroniniu paštu užšifruotame dokumente. Nutraukus darbo santykius su Registro naudotoju, atitinkamos įstaigos vadovas ar personalo skyrius (ar padalinys (asmuo), atsakingas už personalą) informuoja el. paštu ir / ar paprastu paštu apie tai Registro administratorių, kuris panaikina Registro naudotojo prisijungimo vartotojo vardą ir slaptažodį.
21. Registro administratorius, vadovaudamasis ITC direktoriaus tvirtinama Leidimų dirbti su registro asmens duomenimis išdavimo tvarka, pagal rašytinį prašymą Registro naudotojui suteikia unikalų prisijungimo prie Registro vardą ir pirminį slaptažodį, kurį perduoda Registro naudotojui asmeniškai arba išsiunčia elektroniniu paštu.
22. Registro naudotojo tapatybė nustatoma vadovaujantis naudotojo pateikta prašymo suteikti prisijungimą prie Registro anketa, kuri yra tvirtinama ITC direktoriaus Leidimų dirbti su registro asmens duomenimis išdavimo tvarkoje. Registro naudotojui jungiantis prie Registro, jo tapatybė nustatoma pagal unikalų Registro naudotojo prisijungimo vardą, patvirtinamą asmeniniu slaptažodžiu.
23. Unikalus prisijungimo vardas ir pirminis slaptažodis žinomi tik Registro administratoriui ir Registro naudotojui.
25. Pirmo prisijungimo prie Registro metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.
26. Registro naudotojo slaptažodžiui yra keliami šie reikalavimai:
26.4. Registro dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;
26.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 3 kartai. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, Registras turi užsirakinti ir neleisti Registro naudotojui identifikuotis. Atblokuoti Registro naudotojo prisijungimą gali tik Registro administratorius.
27. Papildomi reikalavimai Registro naudotojų slaptažodžiams:
27.1. gavęs Registro administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Registro, nedelsdamas slaptažodį pakeisti ir jį įsiminti;
27.6. pamiršęs slaptažodį, privalo kreiptis į Registro administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį;
28. Naujai paskirtam Registro naudotojui Registro administratorius suteikia naują prisijungimo vardą ir pirminį slaptažodį.
29. Registro administratorius nedelsdamas blokuoja netekusio teisės dirbti su Registro duomenimis Registro naudotojo prisijungimo vardą ir slaptažodį. Nuotoliniam prisijungimui prie Registro išoriniams naudotojams papildomi reikalavimai nekeliami. Nuotolinis prisijungimas galimas tik saugiu HTTP protokolu – HTTPS. Priklausomai nuo informacijos pateikimo į Registrą būdo, nuotolinis prisijungimas papildomai gali būti kontroliuojamas pagal prie Registro besijungiančio kompiuterio IP adresą.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo
ministro 2017 m. liepos 28 d.
įsakymu Nr. V-611
STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Studijų, mokymo programų ir kvalifikacijų registro veiklos tęstinumo valdymo planas (toliau – Planas) nustato Studijų, mokymo programų ir kvalifikacijų registro (toliau – Registras) tvarkytojo, jo paskirtų tvarkyti Registro duomenis fizinių asmenų – Registro naudotojų, Registro Švietimo informacinių technologijų centro (toliau – ITC) administratoriaus, Registro saugos įgaliotinio – veiksmus esant elektroninės informacijos saugos incidentui Registro tvarkymo įstaigoje, kurios metu gali kilti pavojus Registro duomenims, Registro kompiuterinei, programinei įrangai funkcionuoti.
2. Planas parengtas pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. balandžio 28 d. įsakymu Nr. ISAK-812 „Dėl Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatai).
3. Plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios Valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Studijų, mokymo programų ir kvalifikacijų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
4. Planas taikomas esant elektroninės informacijos saugos incidentui ir (ar) aplinkybėms (pvz.: gaisras, gamtos veiksniai, įrangos gedimai ir kt.), keliantiems pavojų Registro naudotojų, Registrų ITC administratoriaus, Registro saugos įgaliotinio gyvybei ar sveikatai, dėl kurių gali būti prarandama įranga arba duomenys.
5. Planas privalomas visiems Registro tvarkytojams, Registro valdytojui, Registro saugos įgaliotiniui, Registro administratoriams ir Registro naudotojams.
6. Prieinamumas prie Registro informacijos užtikrinamas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.
8. Už Plano įgyvendinimą atsako Registro tvarkytojas ir jo vadovo paskirti tvarkyti Registro duomenis fiziniai asmenys – Registro naudotojai, Registro ITC administratoriai. Už Plano įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis.
9. Registro tvarkytojo, jo paskirtų tvarkyti Registro duomenis fizinių asmenų – Registro naudotojų, Registro ITC administratorių, Registro saugos įgaliotinio – įgaliojimai, kurie yra suteikiami įvykus saugos incidentui bei funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Registro veiklos tęstinumo detaliajame plane (toliau – Detalus planas) (Plano 1 priedas).
10. Elektroninės informacijos saugos incidento metu patirti nuostoliai Registro tvarkytojo įstaigoje padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.
11. Kriterijai, pagal kuriuos nustatoma, kad Registro veikla atkurta, yra:
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
12. Registro veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis:
13. Veiklos tęstinumo valdymo grupės funkcijos:
13.1. elektroninės informacijos saugos incidento analizė ir sprendimų Registro veiklos tęstinumo valdymo klausimais priėmimas;
13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;
13.5. finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;
14. Registro veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis:
15. Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už jų vykdymą:
15.1. Registrų veiklos atkūrimo priežiūra ir koordinavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);
15.2. tarnybinės stoties veiklos atkūrimo organizavimas – funkciją vykdo Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Registro sisteminis administratorius, Registro tvarkymo administratorius;
15.3. kompiuterių tinklo veikimo atkūrimo organizavimas – funkciją vykdo Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Registro sisteminis administratorius;
15.4. Registro duomenų atkūrimo organizavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Registro sisteminis administratorius, Registro tvarkymo administratorius;
15.5. taikomųjų programų tinkamo veikimo atkūrimo organizavimas – funkciją vykdo Registro sisteminis administratorius, Registro tvarkymo administratorius;
15.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas – funkciją vykdo Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Registro sisteminis administratorius;
15.7. kitos veiklos atkūrimo grupei pavestos funkcijos – funkcijas pagal kompetenciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Registro sisteminis administratorius, Registro tvarkymo administratorius.
16. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja susirinkimą kartą per metus arba įvykus esminių pokyčių informacinėje sistemoje.
17. Įvykus elektroninės informacijos saugos incidentui ITC patalpose, kuriose yra Registro tarnybinės stoties administravimo kompiuterinė ir programinė įranga:
17.1. Registro sisteminis administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą Registro saugos įgaliotinį ir ITC AIKOS ir integralių IS skyriaus vedėją;
17.2. ITC AIKOS ir integralių IS skyriaus vedėjas apie elektroninės informacijos saugos incidentą nedelsdamas informuoja ITC direktorių;
17.3. Registro saugos įgaliotinis informaciją įrašo Elektroninės informacijos saugos incidentų registravimo žurnale (Plano 2 priedas), vadovauja Detaliajame plane nurodytiems veiksmams;
17.4. Registro sisteminis administratorius atkuria Registro tarnybinės stoties, kompiuterių tinklo veiklą, Registro duomenis, Registro kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja ITC AIKOS ir integralių IS skyriaus vedėją ir Registro saugos įgaliotinį;
18. Įvykus elektroninės informacijos saugos incidentui, reguliarus ir pastovus bendravimas veiklos tęstinumo valdymo grupėje ir veiklos atkūrimo grupėse vyksta elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.
19. ITC darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, o veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių tarnybinio mobiliojo ir namų telefonų numeriai ir gyvenamosios vietos adresai, saugomas ITC Sisteminio-techninio aptarnavimo skyriuje.
20. Elektroninės informacijos saugos incidento metu sunaikinta kompiuterinė įranga, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.
21. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių tęsti veiklą pagrindinėse patalpose, Detalus planas užtikrina Registro veiklos atnaujinimą atsarginėse patalpose (ITC administracinio pastato pirmas aukštas, adresas: Suvalkų g. 1, Vilnius, LT-03106) per tokį laikotarpį, kad nebūtų nusižengta ITC įsipareigojimams, susijusiems su Registro veikla. Atsarginėms patalpoms keliami šie reikalavimai:
21.1. patalpose turi būti įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;
21.2. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;
21.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;
21.5. asmenys, nesusiję su Registro duomenų tvarkymu, patekti į šias patalpas gali tik Registro sisteminis administratoriaus, administratorių pavaduojančio asmens lydimi;
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
22. Minimalus Registro veiklai atkurti, nesant Registro sisteminio administratoriaus, personalui reikalingos kompetencijos lygis ir minimali funkcionalumo informacinių technologijų įranga, tinkama Registro poreikiams ir atitinkamai Registro veiklai elektroninės informacijos saugos incidento metu užtikrinti, reglamentuota Registro specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.
23. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai Registro veiklai užtikrinti, aprašymas pateikiamas Registro specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių. Atkuriant Registro veiklą elektroninės informacijos saugos incidento metu, būtinos 2 tarnybinės stotys ir interneto linija, kurios minimalus greitis 2 Mb/s.
24. ITC patalpų, kuriose yra Registro tarnybinės stoties administravimo kompiuterinė įranga, sisteminė ir taikomoji programinė įranga, detalieji pastato planai parengti ūkvedžio ir patvirtinti ITC direktoriaus saugomi ITC Ūkio ir personalo skyriuje, pas skyriaus vadovą.
25. Registro tarnybinės stoties administravimo, Registro kompiuterinės ir programinės įrangos aprašai saugomi ITC Sisteminio-techninio aptarnavimo skyriuje.
26. Registro duomenų, Registro programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys, Registro specifikacija saugoma ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.
27. Registro atsarginių duomenų kopijos daromos ITC direktoriaus patvirtintame Studijų, mokymo programų ir kvalifikacijų registro atsarginių duomenų kopijų darymo apraše nurodyta tvarka ir saugomos ITC Sisteminio-techninio aptarnavimo skyriuje. Už Registro atsarginių duomenų kopijų darymą, saugojimą, duomenų iš Registro atsarginių duomenų kopijų atkūrimą atsako ITC direktoriaus įsakymu paskirtas ITC Sisteminio-techninio aptarnavimo skyriaus specialistas – sisteminis administratorius.
28. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis saugomas ITC AIKOS ir integralių IS skyriuje, pas Registro administratorių.
IV SKYRIUS
PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
30. Registro saugos įgaliotinis, per kalendorinius metus įvertinęs ITC rizikos veiksnių galimybes, išnagrinėjęs Elektroninės informacijos saugos incidentų registravimo žurnale įrašus, kartą per metus – iki gruodžio 31 dienos – rengia Registro rizikos įvertinimo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), prireikus saugos įgaliotinis gali organizuoti neeilinį Registro įvertinimą. Ataskaitą tvirtina ITC direktorius.
31. Plano veiksmingumo išbandymo data nustatoma kiekvienais metais sausio mėnesį. Nustatytą dieną imituojamos elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidentų metu veiksmus. Atsarginėje Registro tarnybinėje stotyje iš atsarginių Registro duomenų kopijose esamų duomenų atkuriami Registro duomenys.
32. Registro saugos įgaliotinis atsakingas už Plano veiksmingumą. Už pastebėtų Plano trūkumų ataskaitos parengimą ir teikimą Registro Valdytojui atsakingas saugos įgaliotinis.
Studijų, mokymo programų ir kvalifikacijų registro
veiklos tęstinumo valdymo plano
1 priedas
STUDIJŲ, MOKYMO PROGRAMŲ IR KVALIFIKACIJŲ REGISTRO VEIKLOS TĘSTINUMO DETALUSIS PLANAS
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1.
1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1.
1.1.1.
1.1.1. 1.1.1.
1.1.1. 1.1.1.
1.1.1.
1.1.1. 1.1.1.
| Pavojaus rūšys |
Pirmaeiliai veiksmai |
Pasekmės likvidavimo veiksmai |
Pasekmės likvidavimo atsakingi vykdytojai |
|
| 1. Oro sąlygos
|
1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas |
1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas |
ITC AIKOS ir integralių IS skyriaus vedėjas |
|
| 1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
| 1.1.3. Priemonių plano įgyvendinimas | Studijų, mokymo programų ir kvalifikacijų registro sisteminis administratorius Studijų, mokymo programų ir kvalifikacijų registro tvarkymo administratorius |
|||
|
|
1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas |
1.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
| 1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas | ITC AIKOS ir integralių IS skyriaus vedėjas |
|||
|
|
1.3. Oro prognozės sekimas |
1.3.1. Žalą likviduojančių darbuotojų instruktavimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
|
|
1.4. Asmenims, dirbantiems pavojaus vietoje, rekomenduojamos elgsenos skelbimas
|
1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
| 1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
| 1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams | Studijų, mokymo programų ir kvalifikacijų registro priežiūros administratorius |
|||
| 1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas | Studijų, mokymo programų ir kvalifikacijų registro priežiūros administratorius |
|||
|
|
1.5. Pavojaus vietų ženklinimas |
1.5.1. Darbuotojų informavimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
|
|
1.5.2. Žalą likviduojančių darbuotojų instruktavimas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 2. Gaisras |
2.1. Ugniagesių tarnybos informavimas
|
2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija |
Studijų, mokymo programų ir kvalifikacijų registro tvarkymo administratorius |
|
| 2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija | ITC AIKOS ir integralių IS skyriaus vedėjas |
|||
| 2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją) | 2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 2.3. Darbas pavojaus zonoje | 2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvos stadijos gaisro gesinimas, jei yra rekomendacija dirbti pavojaus zonoje | 2.4.1. Teisėsaugos tarnybos nurodymų vykdymas
|
ITC AIKOS ir integralių IS skyriaus vedėjas |
||
|
3. Patalpų užgrobimas |
3.1. Teisėsaugos tarnybos informavimas |
3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos |
Studijų, mokymo programų ir kvalifikacijų registro tvarkymo administratorius |
|
| 3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija | ITC AIKOS ir integralių IS skyriaus vedėjas |
|||
|
|
3.2. Darbuotojų evakavimas, jei yra rekomendacija |
3.2.1. Darbuotojų informavimas apie evakavimą |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
|
|
3.3. Patalpų užrakinimas, jei yra galimybė |
3.3.1. Teisėsaugos tarnybos nurodymų vykdymas |
ITC AIKOS ir integralių IS skyriaus vedėjas |
|
|
|
|
|||
|
|
3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija |
3.4.1. Darbuotojų informavimas apie nurodymų vykdymą |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
| 3.5. Veiksmai išlaisvinus užgrobtas patalpas | 3.5.1. Padarytos žalos įvertinimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas | ITC direktoriaus pavaduotojas |
|||
| 3.5.3. Žalą likviduojančių darbuotojų instruktavimas | ITC AIKOS ir integralių IS skyriaus vedėjas |
|||
| 4. Patalpų pažeidimas arba praradimas |
4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį |
4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti pavojaus zonoje |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
| 4.1.2. Darbuotojų informavimas apie rekomendacijas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
|
|
4.2. Atsarginių patalpų įrengimas |
4.2.1. Darbuotojų informavimas apie darbą patalpose |
ITC AIKOS ir integralių IS skyriaus vedėjas |
|
| 5. Energijos tiekimo sutrikimai |
5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos kompiuterinės įrangos energijos maitinimo išjungimas |
5.1.1. Sutrikimų pašalinimo organizavimas
|
ITC direktoriaus pavaduotojas
|
|
| 5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių |
5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas |
ITC direktoriaus pavaduotojas
|
||
| 5.3. Sutrikimų pašalinimas | 5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 5.3.2. Padarytos žalos įvertinimas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
| 5.3.3. Žalą likviduojančių darbuotojų instruktavimas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
| 6. Vandentiekio ir šildymo sistemos sutrikimai |
6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas
|
6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas |
ITC direktoriaus pavaduotojas |
|
| 6.1.2. Darbuotojų informavimas apie rekomendacijas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|||
| 6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas | 6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
|
|
6.2.2. Žalą likviduojančių darbuotojų instruktavimas | Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
|
|
| 7. Ryšio sutrikimai |
7.1. Ryšio sutrikimo priežasčių nustatymas |
7.1.1. Kreiptis į ryšio paslaugos teikėją |
ITC direktoriaus pavaduotojas |
|
| 7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės |
7.2.1. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų |
ITC direktoriaus pavaduotojas |
|
|
| 7.3. Sutrikimo šalinimas |
7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas |
ITC direktoriaus pavaduotojas |
||
| 8. Tarnybinės stoties, komutacinės įrangos sugadinimas |
8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį |
8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas, instruktavimas, jų veiksmų nustatymas |
ITC direktoriaus pavaduotojas |
|
| 8.2. Elektroninės informacijos saugos incidento pasekmės šalinimas |
8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo |
ITC direktoriaus pavaduotojas |
||
| 8.2.2. Įsigytos įrangos skyrimas Registro tvarkymo įstaigai | ITC direktoriaus pavaduotojas |
|||
|
|
||||
| 9. Programinės įrangos sugadinimas, praradimas | ||||
| 9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti sudarymas |
9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas |
ITC AIKOS ir integralių IS skyriaus vedėjas Studijų, mokymo programų ir kvalifikacijų registro sisteminis administratorius |
||
| 9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas | ||||
| 9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas | 9.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis |
||
| 9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir vykdyti jų nurodymus | ITC direktoriaus pavaduotojas |
|||
|
|
9.3. Programinės įrangos kopijų periodinis gaminimas
|
9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas |
ITC direktoriaus pavaduotojas
|
|
| 10. Dokumentų praradimas |
|
Prarastų dokumentų gavimas |
ITC AIKOS ir integralių IS skyriaus vedėjas |
|
| 11. Darbuotojų praradimas |
Elektroninės informacijos saugos incidento pasekmės įvertinimas |
Trūkstamų darbuotojų paieška ir priėmimas į darbą |
ITC direktorius |
|
____________________________________
Studijų, mokymo programų ir kvalifikacijų registro veiklos tęstinumo valdymo plano
2 priedas
(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)
ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS
Pildymo pradžia 20 __m. _____mėn. _____d.
| Eil. Nr. |
Elektroninės informacijos saugos incidentas |
||||||
| Studijų, mokymo programų ir kvalifikacijų registro tvarkytojo įstaigos pavadinimas
|
požymio kodas |
įvykio aprašymas |
pradžia (metai, mėnuo, diena, valanda) |
pabaiga (metai, mėnuo, diena, valanda) |
pašalino (vardas, pavardė) |
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis (vardas, pavardė, parašas) |
|
| 1. |
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
| 6. |
|
|
|
|
|
|
|
Elektroninės informacijos saugos incidentų požymiai:
1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpų pažeidimas arba praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas.
_______________________________
Studijų, mokymo programų ir kvalifikacijų registro
veiklos tęstinumo valdymo plano
3 priedas
(Rizikos įvertinimo ataskaitos formos pavyzdys)
TVIRTINU
Švietimo informacinių technologijų centro direktorius
(Parašas)
(Vardas ir pavardė)
(Data)
RIZIKOS ĮVERTINIMO ATASKAITA
20__ m. pusmetis
| Rizikos veiksniai |
Studijų, mokymo programų ir kvalifikacijų registro tvarkytojo įstaigos pavadinimas |
Prevencinės priemonės rizikos veiksmams išvengti |
||
| pavadinimas
|
vykdymo terminas |
atsakingas vykdytojas |
||
| 1. Oro sąlygos |
|
|
|
|
| 2. Gaisras |
|
|
|
|
| 3. Patalpų užgrobimas |
|
|
|
|
| 4. Patalpų pažeidimas arba praradimas |
|
|
|
|
| 5. Energijos tiekimo sutrikimai |
|
|
|
|
| 6. Vandentiekio ir šildymo sistemos sutrikimai |
|
|
|
|
| 7. Ryšio sutrikimai |
|
|
|
|
| 8. Tarnybinės stoties, komutacinės įrangos sugadinimas |
|
|
|
|
| 9. Programinės įrangos sugadinimas, praradimas
|
|
|
|
|
| 10. Duomenų pakeitimas, praradimas. Dokumentų praradimas |
|
|
|
|
| 11. Darbuotojų praradimas |
|
|
|
|
Studijų, mokymo programų ir kvalifikacijų registro saugos įgaliotinis ___________________________________ __________________________
(vardas, pavardė) (parašas)
____________________________________________