SP_Įsak projektas _20170911.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

2017 m. lapkričio 14 d. Nr. V-878

Vilnius

Vadovaudamasi Švietimo portalo informacinės sistemos duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. kovo 16 d. įsakymu Nr. V-177 „Dėl Švietimo portalo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, 7.2 papunkčiu:

1. T v i r t i n u pridedamus:

1.1. Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Švietimo portalo informacinės sistemos naudotojų administravimo taisykles;

1.3. Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo planą.

2. P a v e d u:

2.1. Informacinių sistemų ir dokumentų valdymo skyriui pateikti patvirtintų Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Švietimo portalo informacinės sistemos naudotojų administravimo taisyklių ir Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo plano dokumentų kopijas Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS) ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo šios informacinės sistemos nuostatų nustatyta tvarka.

2.2. Švietimo informacinių technologijų centrui organizuoti Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Švietimo portalo informacinės sistemos naudotojų administravimo taisyklių, Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo plano įgyvendinimą.

Švietimo ir mokslo ministrė Jurgita Petrauskienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-10-18 raštu Nr. 1D-5516

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. lapkričio mėn. 14 d.

įsakymu Nr. V-878

ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Švietimo portalo informacinės sistemos (toliau – Švietimo portalas) tvarkytojo, jo vadovo paskirtų tvarkyti Švietimo portalo duomenis fizinių asmenų, Švietimo portalo naudotojų, Švietimo portalo administratorių, Švietimo portalo saugos įgaliotinio veiksmus, užtikrinančius saugų Švietimo portalo kompiuterinės, programinės įrangos funkcionavimą, Švietimo portalo duomenų tvarkymą ir teikimą.

2. Tvarkymo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms reikalavimais, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Švietimo portalo informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2016 m. gegužės 27 d. įsakymu Nr. V-499 „Dėl Švietimo portalo informacinės sistemos nuostatų patvirtinimo“ (toliau – Švietimo portalo nuostatai), Švietimo portalo informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. kovo 16 d. įsakymu Nr. V-177 „Dėl Švietimo portalo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo portalo duomenų saugos nuostatai).

3. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo portalo nuostatuose, Švietimo portalo duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Švietimo portalo informacija prieinama tik registruotiems naudotojams pagal jiems priskirtas teises. Švietimo portalo informaciją gali tvarkyti Švietimo portalo tvarkytojai, tik susipažinę su savo pareigybių aprašymuose nurodytomis funkcijomis, skirtomis savo veiksmams atlikti.

5. Už Švietimo portalo duomenų saugų tvarkymą atsakingi Švietimo portalo tvarkytojas, Švietimo portalo naudotojai, Švietimo portalo administratoriai.

6. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Švietimo portalo saugos įgaliotinis.

7. Tvarkymo taisyklės taikomos Švietimo portalo valdytojui, Švietimo portalo tvarkytojui, visiems Švietimo portalo naudotojams, Švietimo portalo duomenų valdymo įgaliotiniui, Švietimo portalo saugos įgaliotiniui ir Švietimo portalo administratoriams.

8. Švietimo portale tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas Švietimo portalo nuostatų 20 punkte.

9. Švietimo portale tvarkoma informacija yra skirstoma į šias grupes:

9.1. Švietimo portalo administratorių tvarkoma informacija;

9.2. Švietimo portalo tvarkytojų tvarkoma informacija.

10. Švietimo portalo tvarkymo administratorius atsakingas už šios informacijos tvarkymą:

10.1. klasifikatoriai;

10.2. naudotojų duomenys;

10.3. naudotojų vaidmenys;

10.4. naudotojų teisės;

10.5. Švietimo portalo internetinės svetainės titulinio puslapio www.portalas.emokykla.lt turinys (naujienos, dažnai užduodami klausimai, dokumentai ir kt.).

11. Švietimo portalo sisteminės priežiūros administratorius, atsakingas už šios informacijos tvarkymą:

11.1. duomenų gavimo iniciavimo ir teikimo duomenys;

11.2. duomenų teikimą aprašantys duomenys;

11.3. duomenų paklausimo ir perdavimo laikas;

11.4. kiti techniniai duomenys duomenų teikimo stebėsenai atlikti.

12. Švietimo portalo tvarkytojas atsakingas už Švietimo portalo nuostatų 20 punkte aprašytos informacijos tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

13. Švietimo portalo duomenys nuolat apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis nuo duomenų praradimo, iškraipymo ar duomenų sunaikinimo.

14. Švietimo portalo kompiuterinės įrangos saugos užtikrinimo priemonės:

14.1. visus įrangos pakeitimus turi atlikti Švietimo portalo tvarkytojo vadovo paskirti fiziniai asmenys;

14.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

14.3. kompiuterinės įrangos gedimai registruojami žurnale;

14.4. pagrindinė Švietimo portalo kompiuterinė įranga ir duomenų perdavimo tinklo elementai turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą nuo elektros energijos dingimo;

14.5. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo elementai ir ryšio linijos turi būti dubliuoti;

14.6. kompiuterinės įrangos būklė nuolat stebima.

15. Švietimo portalo sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra:

15.1. naudojama tik legali, įteisinta ir darbo funkcijoms atlikti reikalinga Švietimo portalo programinė įranga;

15.2. teisę dirbti su Švietimo portalo tarnybinės stoties administravimo programine įranga turintis Švietimo portalo sisteminis administratorius arba jį pavaduojantis asmuo;

15.3. slaptažodžiai, suteikiantys teisę dirbti su Švietimo portalo tarnybinės stoties administravimo programine įranga, žinomi tik Švietimo portalo sisteminiam administratoriui arba jį pavaduojančiam asmeniui;

15.4. Švietimo portalo programinis kodas apsaugotas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės, kaip ir Švietimo portalo duomenims. Naudojama specializuota kovos su virusais programinė priemonė atnaujinama ne rečiau kaip kartą per savaitę;

15.5. teisė dirbti su Švietimo portalo programine įranga suteikiama Švietimo portalo naudotojams;

15.6. taikomos programinės priemonės, skirtos Švietimo portalo naudotojų tapatybei ir veiksmams su Švietimo portalo duomenimis nustatyti. Vykdoma Švietimo portalo naudotojų ketinimų ir veiksmų su Švietimo portalo duomenimis apskaita. Švietimo portalo naudotojai duomenis pasiekia internetu per „ugniasienę“ (angl. – firewall);

15.7. Švietimo portalo naudotojo veiksmai su Švietimo portalo duomenimis ar bandymai juos atlikti registruojami programiniu būdu. Suteikiama prieigos prie Švietimo portalo duomenų teisė atlikti veiksmus tik su jam priskirtų Švietimo portalo objektų duomenimis;

15.8. Švietimo portalo programinė įranga apsaugota nuo pagrindinių per tinklą vykdomų atakų.

16. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

16.1. Švietimo portalo duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

16.2. iš nutolusių darbo vietų prie Švietimo portalo jungiamasi per IP VPN (virtualus privatus tinklas);

16.3. naudojami tik saugūs ir patikimi Švietimo portalo duomenų perdavimo tinklais protokolai;

16.4. kontroliuojamas išorinis prisijungimas prie vidinio Švietimo portalo duomenų perdavimo tinklo.

17. Saugos užtikrinimo bendrosioms Švietimo portalo patalpoms priemonės:

17.1. patalpų rakinimas;

17.2. veikianti patekimo į patalpas kontrolės sistema;

17.3. įrengta signalizacija;

17.4. gaisro gesinimo priemonės nuolat tikrinamos.

18. Švietimo portalo saugos užtikrinimo priemonės patalpoms, kuriose yra Švietimo portalo tarnybinės stoties administravimo programine įranga, yra:

18.1. patalpose įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

18.2. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

18.3. patalpos, atitinkančios priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

18.4. patalpos rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

18.5. asmenys, nesusiję su Švietimo portalo duomenų tvarkymu, patekti į Švietimo portalo tarnybinių stočių patalpas gali tik Švietimo portalo sisteminės priežiūros administratoriaus arba jį pavaduojančio asmens lydimi;

18.6. patekimas į Švietimo portalo tarnybinių stočių patalpas registruojamas.

19. Elektroniniame žurnale įrašomi duomenys apie Švietimo portalo tarnybinių stočių, Švietimo portalo taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Švietimo portalo tarnybinėse stotyse, Švietimo portalo taikomojoje programinėje įrangoje, visus Švietimo portalo naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Švietimo portalo naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Įrašai analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne ilgiau nei 1 metus.

20. Švietimo portalo informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per dvejus metus.

21. Švietimo portalo toleruotinas neveikimo laikas yra 16 val.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

22. Švietimo portalo naudotojai įveda, keičia, atnaujina, naikina Švietimo portalo duomenis pagal nustatytą jų teisių lygmenį.

23. Švietimo portalo naudotojų tapatybė ir jų veiksmai su Švietimo portalo duomenimis atpažįstami programinėmis priemonėmis, įrašomi Švietimo portalo duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Švietimo portalo duomenų bazės veiksmų žurnalo duomenys prieinami tik Švietimo portalo tvarkymo administratoriui arba jį pavaduojančiam asmeniui.

24. Švietimo portalo duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, ketinimus ar veiksmus Švietimo portalo programinei įrangai ir duomenims.

25. Švietimo portalo naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

26. Švietimo portalo duomenų kopijavimas atliekamas kiekvieną darbo dieną:

26.1. duomenų kopijų darymas fiksuojamas duomenų kopijų darymo žurnale;

26.2. elektroninė informacija kopijose užšifruota ir neleidžia panaudoti kopijų elektroninei informacijai atkurti neteisėtu būdu;

26.3. duomenų kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

26.4. patekimas į patalpas, kuriose laikomos kopijos, registruojamas žurnale.

27. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, duomenų gavimo iš jų tvarka nustatyta Švietimo portalo nuostatuose.

28. Švietimo portalo sisteminės priežiūros administratorius atsako už Švietimo portalo duomenų kopijavimo saugą ir duomenų atkūrimą iš Švietimo portalo duomenų kopijų.

29. Prarasti Švietimo portalo duomenys atkuriami iš Švietimo portalo duomenų kopijų.

30. Švietimo portalo duomenų atkūrimo iš kopijų bandymai atliekami ne rečiau kaip kartą per metus.

31. Švietimo portalo duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veika) nustatymo tvarka:

31.1. Švietimo portalo naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Švietimo portalo tvarkymo administratoriui arba saugos įgaliotiniui.

31.2. Švietimo portalo tvarkymo administratorius nedelsdamas turi imtis veiksmų neteisėtai veikai su Švietimo portalo duomenimis užkirsti;

31.3. Švietimo portalo tvarkymo administratorius apie Tvarkymo taisyklių 31.1 papunktyje nurodytus pažeidimus informuoja Švietimo portalo saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Švietimo portalo saugą (konfidencialumą, vientisumą ar prieinamumą), Švietimo portalo saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms ir informuoti Švietimo portalo valdytoją.

32. Švietimo portalo programinės įrangos keitimo, atnaujinimo, Švietimo portalo kompiuterinės įrangos keitimo (toliau – pokyčiai) tvarka:

32.1. Švietimo portalo naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

32.2. Švietimo portalo programinės įrangos pokyčiai įgyvendinami tik atlikus jos testavimą;

32.3. įgyvendinant Švietimo portalo programinės įrangos pokyčius, kurių metu galimi veikimo sutrikimai, ne vėliau kaip prieš dvi darbo dienas iki planuojamų Švietimo portalo programinės įrangos pokyčių vykdymo pradžios, Švietimo portalo naudotojai informuojami apie pokyčių pradžią ir galimus veiklos sutrikimus;

32.4. jei yra sudaroma paslaugų teikimo sutartis dėl Švietimo portalo papildomo funkcionalumo kūrimo ar modernizavimo (toliau – sutartis), Švietimo portalo pokyčių įgyvendinimo sąlygos nustatomos sutartyje;

32.5. Švietimo portalo tvarkymo administratorius arba jį pavaduojantis asmuo supažindina Švietimo portalo naudotojus su Švietimo portalo pokyčiais.

33. Švietimo portalo pokyčių valdymo tvarka:

33.1. Švietimo portalo valdytojas užtikrina Švietimo portalo pokyčių planavimą, apimantį pokyčių identifikavimą valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas) pokyčių prioritetų nustatymo (eiliškumas) procesus;

33.2. pokyčiai identifikuojami, nustačius Švietimo portalo naudotojų, Švietimo portalo administratorių ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas, ir kitais gerosios praktikos įvardinamais atvejais;

33.3. pokyčius turi teisę inicijuoti Švietimo portalo duomenų valdymo įgaliotinis, Švietimo portalo saugos įgaliotinis ar Švietimo portalo tvarkymo administratorius, o įgyvendinti – sisteminės priežiūros administratorius arba sutartį sudaręs paslaugų teikėjas;

33.4. visi potencialūs pokyčiai registruojami, įvertinus ir valdytojui patvirtinus įtakos vertinimą ir prioritetą, ir atliekami tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;

33.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Švietimo portalo darbą, turi būti suderinti su Švietimo portalo pagrindiniu tvarkytoju bei Švietimo portalo duomenų valdymo įgaliotiniu;

33.6. prieš atlikdamas Švietimo portalo pokyčius, kurių metu gali iškilti grėsmė duomenų ir Švietimo portalo konfidencialumui, vientisumui ar pasiekiamumui, sutartį sudaręs paslaugų teikėjas ir (arba) administratoriai privalo pokyčius testuoti Švietimo portalo testavimol aplinkoje;

33.7. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kuri atskirta nuo eksploatuojamo Švietimo portalo;

33.8. atlikę vykdomų Švietimo portalo pokyčių testavimą sutartį sudaręs paslaugų teikėjas ir (arba) Švietimo portalo administratoriai gali pradėti įgyvendinti Švietimo portalo pokyčius tik gavę patvirtinimą ir suderinę pokyčio diegimo grafiką su Švietimo portalo tvarkytoju;

33.9. planuodamas Švietimo portalo pokyčius, kurių metu galimi Švietimo portalo veikimo sutrikimai, sutartį sudaręs paslaugų teikėjas ir(arba) Švietimo portalo tvarkymo administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki Švietimo portalo pokyčių vykdymo pradžios elektroniniu paštu informuoti Švietimo portalo duomenų valdymo ir saugos įgaliotinius, kitus Švietimo portalo administratorius ir vidinius Švietimo portalo naudotojus apie tokių darbų pradžią ir galimus Švietimo portalo veikimo sutrikimus.

34. Švietimo portalo naudotojų pareigoms atlikti nešiojamų kompiuterių naudojimo tvarka:

34.1. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose; kelionės metu nešiojamieji kompiuteriai turi būti saugomi;

34.2. visi nešiojamieji kompiuteriai turi būti apsaugoti saugiais slaptažodžiais, vadovaujantis prieigos valdymo procedūra. Kompiuterio išdavimo metu turi būti nedelsiant pakeistas standartinis ar prieš tai nustatytas slaptažodis;

34.3. prieš perduodant nešiojamąjį kompiuterį Švietimo portalo naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

34.4. nešiojamojo kompiuterio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami.

IV SKYRIUS

REIKALAVIMAI, KELIAMI ŠVIETIMO PORTALO FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

35. Sutartyje nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Švietimo portalo programinę įrangą, naudodamas:

35.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

35.2. sertifikuotą sisteminę programinę įrangą;

35.3. Švietimo portalo testinės duomenų bazės duomenis (Švietimo portalo taikomajai programinei įrangai) modifikuoti.

36. Prieigos prie Švietimo portalo išteklių teises – matyti Švietimo portalo duomenis, atlikti užklausas Švietimo portalo ir vykdyti veiksmus su Švietimo portalo duomenimis – Švietimo portalo tvarkymo administratorius suteikia tik paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti. Paslaugų teikėjui suteikiamas tik toks prieigos lygmuo, kuris yra būtinas sutartiniams įsipareigojimams įvykdyti, laikantis visų Švietimo portalo saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Sutartyje privalo būti apibrėžti konfidencialios informacijos išsaugojimo įsipareigojimai, kurie galioja ir pasibaigus sutarties galiojimo terminui.

37. Švietimo portalo tvarkymo administratorius atsako už Švietimo portalo kompiuterinių, programinių paslaugų teikėjams prieigos prie Švietimo portalo išteklių suteikimą ir panaikinimą.

38. Švietimo portalo tvarkymo administratorius, suteikdamas prieigos prie Švietimo portalo išteklių teises, paslaugų teikėjo įgaliotąjį fizinį asmenį supažindina su prieigos prie Švietimo portalo duomenų sąlygomis.

39. Pasibaigus prieigos prie Švietimo portalo išteklių teisėms, atsiradus kitoms aplinkybėms, Švietimo portalo tvarkymo administratorius nedelsdamas panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie Švietimo portalo duomenų teisę ir apie tai nedelsdamas raštiškai ar elektroniniu paštu jį informuoja.

_________________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. lapkričio mėn. 14 d.

įsakymu Nr. V-878

ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo portalo informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Švietimo portalo informacinės sistemos (toliau – Švietimo portalo) naudotojų įgaliojimus, teises, pareigas, jų supažindinimo su saugos dokumentais tvarką ir saugaus Švietimo portalo tvarkomų duomenų teikimo Švietimo portalo naudotojams kontrolės tvarką.

2. Administravimo taisyklės parengtos pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo portalo informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. kovo 16 d. įsakymu Nr. V-177 „Dėl Švietimo portalo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo portalo duomenų saugos nuostatai).

3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo portalo duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Už Administravimo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Švietimo portalo saugos įgaliotinis. Už Administravimo taisyklių įgyvendinimą atsako Švietimo portalo administratorius.

5. Švietimo portalo naudotojų įgaliojimų, teisių, pareigų, jų supažindinimo su saugos dokumentais tvarka ir saugaus Švietimo portalo tvarkomų duomenų teikimo Švietimo portalo naudotojams kontrolės tvarkos principai paremti Švietimo portalo duomenų saugumu, stabilumu, operatyvumu.

6. Administravimo taisyklės taikomos visiems Švietimo portalo naudotojams, Švietimo portalo administratoriams ir Švietimo portalo saugos įgaliotiniui ir kitų institucijų darbuotojams, kurie naudojasi Švietimo portalu.

II SKYRIUS

ŠVIETIMO PORTALO NAUDOTOJŲ IR ŠVIETIMO PORTALO ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. Švietimo portalo naudotojai gali naudotis tik tomis Švietimo portalo dalimis ir jo apdorojamais duomenimis, prie kurių prieigą jiems suteikė Švietimo portalo tvarkymo administratorius.

8. Švietimo portalo naudotojų įregistravimą ir administravimą vykdo Švietimo informacinių technologijų centro (toliau – ITC) Švietimo portalo tvarkymo administratorius, kuris registruoja Švietimo portalo naudotojus.

9. Švietimo portalo naudotojai privalo užtikrinti jų naudojamo Švietimo portalo ir jo apdorojamų duomenų konfidencialumą, vientisumą ir pasiekiamumą, vadovaudamiesi Administravimo taisyklėse apibrėžtais reikalavimais.

10. Švietimo portalo naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Švietimo portalo tvarkymo administratoriui arba Švietimo portalo saugos įgaliotiniui.

11. Švietimo portalo naudotojai turi teisę reikalauti iš Švietimo portalo tvarkymo administratoriaus užtikrinti deramą jų naudojamo Švietimo portalo ir jo apdorojamų duomenų apsaugos lygį, gauti informaciją apie taikomas apsaugos priemones ir rekomenduoti papildomas apsaugos priemones.

12. Švietimo portalo tvarkymo administratorius turi teisę:

12.1. matyti institucijų visus duomenis;

12.2. tvarkyti institucijų visus duomenis;

12.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus;

12.4. stebėti funkcionavimą ir šalinti netikslumus;

12.5. kurti Švietimo portalo naudotojų prisijungimus.

13. Švietimo portalo naudotojai turi teisę:

13.1. matyti savo institucijos duomenis;

13.2. tvarkyti savo institucijos duomenis;

13.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus.

14. Švietimo portalo tvarkymo administratoriaus, Švietimo portalo naudotojų veiksmai, duomenų registravimo, duomenų koregavimo veiksmai nurodyti Švietimo portalo nuostatuose, patvirtintuose Lietuvos Respublikos švietimo ir mokslo ministro 2016 m. gegužės 27 d. įsakymu Nr. V-499 „Dėl Švietimo portalo informacinės sistemos nuostatų patvirtinimo“, Lietuvos Respublikos švietimo ir mokslo ministro 2016 m. gegužės 27 d. įsakymu Nr. V-499 „Dėl Švietimo portalo informacinės sistemos nuostatų patvirtinimo“, Švietimo portalo duomenų saugos nuostatuose.

15. Švietimo portalo tvarkymo administratoriaus, Švietimo portalo naudotojų veiksmų registravimas vyksta automatiškai, tam sukurtomis programinės įrangos priemonėmis. Yra fiksuojami visi naudotojų atlikti veiksmai.

16. Už Švietimo portalo naudotojų supažindinimą su Švietimo portalo duomenų saugos nuostatais, Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo planu, Administravimo taisyklėmis atsakingas Švietimo portalo saugos įgaliotinis. Švietimo portalo saugos įgaliotinis naujai paskirtus Švietimo portalo naudotojus pasirašytinai supažindina su Švietimo portalo saugos dokumentais. Švietimo portalo naudotojas gali dirbti su Švietimo portalo elektronine informacija tik pasirašytinai susipažinęs su Švietimo portalo saugos dokumentais. Jei Švietimo portalo saugos dokumentuose atsiranda pakeitimų, Švietimo portalo saugos įgaliotinis su jais supažindina visus Švietimo portalo naudotojus.

17. Švietimo portalo saugos įgaliotinis duomenų saugos klausimais ne rečiau kaip kartą per metus Švietimo portalo tvarkymo administratoriui ir Švietimo portalo naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) supažindina šiuos asmenis su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais.

18. Švietimo portalo tvarkytojo vadovas sudaro galimybes Švietimo portalo tvarkymo administratoriui, Švietimo portalo naudotojams dalyvauti Švietimo portalo saugos įgaliotinio organizuojamuose elektroninės informacijos saugos renginiuose.

19. Švietimo portalo saugos įgaliotinis nedelsdamas siunčia Švietimo portalo naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) priimtus naujus elektroninės informacijos saugos teisės aktus ir jų pakeitimus, informuoja apie šiems asmenims organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, priimtiems naujiems Švietimo portalo naudotojams siunčia atmintines.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO ŠVIETIMO PORTALO NAUDOTOJAMS KONTROLĖS TVARKA

20. Visi Švietimo portalo naudotojai, dirbantys su Švietimo portalo duomenimis, privalo turėti leidimą dirbti su Švietimo portalu (prisijungimo vardą ir slaptažodį). Unikalus naudotojo vardas ir slaptažodis Švietimo portalo naudotojui perduodami asmeniškai arba siunčiami elektroniniu paštu užšifruotame dokumente. Nutraukus darbo santykius su Švietimo portalo naudotoju, atitinkamos įstaigos vadovas ar personalo skyrius (ar padalinys (asmuo), atsakingas už personalą) informuoja el. paštu ir / ar paprastu paštu apie tai Švietimo portalo tvarkymo administratorių, kuris panaikina Švietimo portalo naudotojo prisijungimo vartotojo vardą ir slaptažodį.

21. Švietimo portalo tvarkymo administratorius, vadovaudamasis ITC direktoriaus tvirtinama Leidimų dirbti su Švietimo portalo asmens duomenimis išdavimo tvarka, pagal rašytinį prašymą Švietimo portalo naudotojui suteikia unikalų prisijungimo prie Švietimo portalo vardą ir pirminį slaptažodį, kurį perduoda Švietimo portalo naudotojui asmeniškai arba išsiunčia elektroniniu paštu.

22. Švietimo portalo naudotojo tapatybė nustatoma vadovaujantis naudotojo pateikta prašymo suteikti prisijungimą prie Švietimo portalo anketa, kuri yra tvirtinama ITC direktoriaus Leidimų dirbti su Švietimo portalo asmens duomenimis išdavimo tvarkoje. Švietimo portalo naudotojui jungiantis prie Švietimo portalo, jo tapatybė nustatoma, pagal unikalų Švietimo portalo naudotojo prisijungimo vardą, patvirtinamą asmeniniu slaptažodžiu.

23. Unikalus prisijungimo vardas ir pirminis slaptažodis žinomi tik Švietimo portalo tvarkymo administratoriui ir Švietimo portalo naudotojui.

24. Suteiktas naudotojo vardas nekeičiamas ir negali būti suteiktas kitam Švietimo portalo naudotojui.

25. Pirmo prisijungimo prie Švietimo portalo metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

26. Švietimo portalo naudotojo slaptažodžiui yra keliami šie reikalavimai:

26.1. slaptažodis formuojamas iš raidžių, skaičių ir specialiųjų simbolių;

26.2. slaptažodžiui neturi būti naudojama asmeninio pobūdžio informacija;

26.3. draudžiama slaptažodžius atskleisti tretiems asmenims;

26.4. Švietimo portalo dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

26.5. slaptažodžiai negali būti saugomi atviru tekstu;

26.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 3 kartai. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, Švietimo portalas turi užsirakinti ir neleisti Švietimo portalo naudotojui identifikuotis. Atblokuoti Švietimo portalo naudotojo prisijungimą gali tik Švietimo portalo tvarkymo administratorius.

27. Papildomi reikalavimai Švietimo portalo naudotojų slaptažodžiams:

27.1. gavęs Švietimo portalo tvarkymo administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Švietimo portalo, nedelsdamas slaptažodį pakeisti ir jį įsiminti;

27.2. privalo keisti slaptažodį ne rečiau kaip kartą per 3 mėnesius;

27.3. slaptažodį turi sudaryti ne mažiau kaip 6 simboliai, kurie negali kartotis;

27.4. keisdamas slaptažodį, turi bent kartą slaptažodį pakartoti;

27.5. neturi teisės palikti užrašyto slaptažodžio matomoje vietoje;

27.6. pamiršęs slaptažodį, privalo kreiptis į Švietimo portalo tvarkymo administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį;

27.7. įtaręs, kad tretieji asmenys žino jo slaptažodį, nedelsdamas privalo slaptažodį pakeisti.

28. Naujai paskirtam Švietimo portalo naudotojui Švietimo portalo tvarkymo administratorius suteikia naują prisijungimo vardą ir pirminį slaptažodį.

29. Švietimo portalo tvarkymo administratorius nedelsdamas blokuoja netekusio teisės dirbti su Švietimo portalo duomenimis Švietimo portalo naudotojo prisijungimo vardą ir slaptažodį. Nuotoliniam prisijungimui prie Švietimo portalo išoriniams naudotojams papildomi reikalavimai nekeliami. Nuotolinis prisijungimas galimas tik saugiu HTTP protokolu – HTTPS. Priklausomai nuo informacijos pateikimo į Švietimo portalą būdo, nuotolinis prisijungimas papildomai gali būti kontroliuojamas pagal prie Švietimo portalo besijungiančio kompiuterio IP adresą.

__________________________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. lapkričio mėn. 14 d.

įsakymu Nr. V-878

ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) nustato Švietimo portalo informacinės sistemos (toliau – Švietimo portalas) tvarkytojo, Švietimo portalo naudotojų, Švietimo portalo tvarkymo ir sisteminės priežiūros administratorių, Švietimo portalo saugos įgaliotinio – veiksmus esant elektroninės informacijos saugos incidentui Švietimo portalo tvarkymo įstaigoje, kurios metu gali kilti pavojus Švietimo portalo duomenims, Švietimo portalo kompiuterinės, programinės įrangos funkcionavimui.

2. Planas parengtas pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Švietimo portalo informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. kovo 16 d. įsakymu Nr. V-177 „Dėl Švietimo portalo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Švietimo portalo duomenų saugos nuostatai).

3. Plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo portalo duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Planas taikomas esant elektroninės informacijos saugos incidentui ir (ar) aplinkybėms (pvz.: gaisras, gamtos veiksniai, įrangos gedimai ir kt.), keliantiems pavojų Švietimo portalo naudotojų, Švietimo portalo administratorių, Švietimo portalo saugos įgaliotinio gyvybei ar sveikatai, dėl kurių gali būti prarandama įranga arba duomenys.

5. Planas privalomas Švietimo portalo tvarkytojui, Švietimo portalo valdytojui, Švietimo portalo saugos įgaliotiniui, Švietimo portalo administratoriams ir Švietimo portalo naudotojams.

6. Prieinamumas prie Švietimo portalo informacijos užtikrinamas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

7. Švietimo portalo veiklos atkūrimas užtikrinamas ne ilgiau kaip per 16 (šešiolika) valandų.

8. Už Plano įgyvendinimą atsako Švietimo portalo tvarkytojas, Švietimo portalo naudotojai, Švietimo portalo administratoriai. Už Plano įgyvendinimo organizavimą ir kontrolę atsako Švietimo portalo saugos įgaliotinis.

9. Švietimo portalo tvarkytojo, Švietimo portalo naudotojų, Švietimo portalo administratorių, Švietimo portalo saugos įgaliotinio – įgaliojimai, kurie yra suteikiami įvykus saugos incidentui bei funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Švietimo portalo veiklos tęstinumo detaliajame plane (toliau – Detalus planas) (Plano 1 priedas).

10. Elektroninės informacijos saugos incidento metu patirti nuostoliai Švietimo portalo tvarkytojo įstaigoje padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

11. Kriterijai, pagal kuriuos nustatoma, kad Švietimo portalo veikla atkurta, yra:

11.1. nuolat atnaujinami Švietimo portalo duomenys;

11.2. išsaugomi atnaujinti Švietimo portalo duomenys;

11.3. pasiekiami Švietimo portalo duomenys darbo dienomis;

11.4. susijusių registrų nuolat teikiami duomenys, atnaujinami Švietimo portale;

11.5. duomenys, formuojami ir teikiami Švietimo portalo duomenų gavėjams, duomenų teikimo sutartyje nustatytomis sąlygomis arba pagal gavėjo prašymą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. Švietimo portalo veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis:

12.1. Švietimo informacinių technologijų centro (toliau – ITC) direktorius (veiklos tęstinumo valdymo grupės vadovas);

12.2. ITC direktoriaus pavaduotojas (veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

12.3. ITC Švietimo portalo skyriaus vadovas;

12.4. Švietimo portalo saugos įgaliotinis;

12.5. Švietimo portalo duomenų valdymo įgaliotinis.

13. Veiklos tęstinumo valdymo grupės funkcijos:

13.1. elektroninės informacijos saugos incidento analizė ir sprendimų Švietimo portalo veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų Švietimo portalo veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;

13.6. Švietimo portalo duomenų fizinė sauga įvykus elektroninės informacijos saugos incidentui;

13.7. logistika (žmonių, daiktų, įrangos gabenimas organizavimas ir jų gabenimas);

13.8. kitos veiklos tęstinumo valdymo grupei pavestos funkcijos.

14. Švietimo portalo veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis:

14.1. ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas);

14.2. Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

14.3. Švietimo portalo tvarkymo administratorius;

14.4. Švietimo portalo sisteminės priežiūros administratorius.

15. Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už jų vykdymą:

15.1. Švietimo portalo veiklos atkūrimo priežiūra ir koordinavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

15.2. tarnybinės stoties veiklos atkūrimo organizavimas – funkciją vykdo Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Švietimo portalo sisteminės priežiūros administratorius, Švietimo portalo tvarkymo administratorius;

15.3. kompiuterių tinklo veikimo atkūrimo organizavimas – funkciją vykdo Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Švietimo portalo sisteminės priežiūros administratorius;

15.4. Švietimo portalo duomenų atkūrimo organizavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Švietimo portalo sisteminės priežiūros administratorius, Švietimo portalo tvarkymo administratorius;

15.5. taikomųjų programų tinkamo veikimo atkūrimo organizavimas – funkciją vykdo Švietimo portalo sisteminės priežiūros administratorius, Švietimo portalo tvarkymo administratorius;

15.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas – funkciją vykdo Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Švietimo portalo sisteminės priežiūros administratorius;

15.7. kitos veiklos atkūrimo grupei pavestos funkcijos – funkcijas pagal kompetenciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Švietimo portalo saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Švietimo portalo sisteminės priežiūros administratorius, Švietimo portalo tvarkymo administratorius.

16. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja susirinkimą kartą per metus arba įvykus esminių pokyčių informacinėje sistemoje.

17. Įvykus elektroninės informacijos saugos incidentui ITC patalpose, kuriose yra Švietimo portalo tarnybinės stoties administravimo kompiuterinė ir programinė įranga:

17.1. Švietimo portalo sisteminės priežiūros administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą Švietimo portalo saugos įgaliotinį ir ITC Švietimo portalo skyriaus vadovą;

17.2. ITC Švietimo portalo skyriaus vadovas apie elektroninės informacijos saugos incidentą nedelsdamas informuoja ITC direktorių;

17.3. Švietimo portalo saugos įgaliotinis informaciją įrašo Elektroninės informacijos saugos incidentų registravimo žurnale (Plano 2 priedas), vadovauja Detaliajame plane nurodytiems veiksmams;

17.4. Švietimo portalo sisteminės priežiūros administratorius atkuria Švietimo portalo tarnybinės stoties, kompiuterių tinklo veiklą, Švietimo portalo duomenis, Švietimo portalo kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja ITC Švietimo portalo skyriaus vadovą ir Švietimo portalo saugos įgaliotinį;

17.5. Švietimo portalo saugos įgaliotinis organizuoja žalos Švietimo portalo duomenims, Švietimo portalo kompiuterinei, programinei įrangai vertinimą, koordinuoja Švietimo portalo veiklai atkurti kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos įsigijimą.

18. Įvykus elektroninės informacijos saugos incidentui, reguliarus ir pastovus bendravimas veiklos tęstinumo valdymo grupėje ir veiklos atkūrimo grupėse vyksta elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.

19. ITC darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, o veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių tarnybinio mobiliojo ir namų telefonų numeriai ir gyvenamosios vietos adresai, saugomas ITC Sisteminio-techninio aptarnavimo skyriuje.

20. Elektroninės informacijos saugos incidento metu sunaikinta kompiuterinė įranga, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

21. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių tęsti veiklą pagrindinėse patalpose, Detalus planas užtikrina Švietimo portalo veiklos atnaujinimą atsarginėse patalpose (ITC administracinio pastato pirmas aukštas, adresas: Suvalkų g. 1, Vilnius, LT-03106) per tokį laikotarpį, kad nebūtų nusižengta ITC įsipareigojimams, susijusiems su Švietimo portalo veikla. Atsarginėms patalpoms keliami šie reikalavimai:

21.1. patalpose turi būti įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

21.2. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

21.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

21.4. patalpos turi būti rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

21.5. asmenys, nesusiję su Švietimo portalo duomenų tvarkymu, patekti į šias patalpas gali tik Švietimo portalo sisteminės priežiūros administratoriaus arba jį pavaduojančio asmens lydimi;

21.6. patekimas į tarnybinių stočių patalpas turi būti registruojamas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

22. Minimalus Švietimo portalo veiklai atkurti, nesant Švietimo portalo sisteminės priežiūros administratoriaus, personalui reikalingos kompetencijos lygis ir minimali funkcionalumo informacinių technologijų įranga, tinkama Švietimo portalo poreikiams ir atitinkamai Švietimo portalo veiklai elektroninės informacijos saugos incidento metu užtikrinti, reglamentuota Švietimo portalo specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC Švietimo portalo skyriuje, pas Švietimo portalo tvarkymo administratorių.

23. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai Švietimo portalo veiklai užtikrinti, aprašymas pateikiamas Švietimo portalo specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC Švietimo portalo skyriuje, pas Švietimo portalo tvarkymo administratorių. Atkuriant Švietimo portalo veiklą elektroninės informacijos saugos incidento metu, būtinos 2 tarnybinės stotys ir interneto linija, kurios minimalus greitis 2 Mb/s.

24. ITC patalpų, kuriose yra Švietimo portalo tarnybinės stoties administravimo kompiuterinė įranga, sisteminė ir taikomoji programinė įranga, detalieji pastato planai parengti ūkvedžio ir patvirtinti ITC direktoriaus saugomi ITC Ūkio ir personalo skyriuje, pas skyriaus vadovą.

25. Švietimo portalo tarnybinės stoties administravimo, Švietimo portalo kompiuterinės ir programinės įrangos aprašai saugomi ITC Sisteminio-techninio aptarnavimo skyriuje.

26. Švietimo portalo duomenų, Švietimo portalo programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys, Švietimo portalo specifikacija saugoma ITC Švietimo portalo skyriuje, pas Švietimo portalo tvarkymo administratorių.

27. Švietimo portalo atsarginių duomenų kopijos daromos ITC direktoriaus patvirtintame Švietimo portalo atsarginių duomenų kopijų darymo apraše nurodyta tvarka ir saugomos ITC Sisteminio-techninio aptarnavimo skyriuje. Už Švietimo portalo atsarginių duomenų kopijų darymą, saugojimą, duomenų iš Švietimo portalo atsarginių duomenų kopijų atkūrimą atsako ITC direktoriaus įsakymu paskirtas ITC Sisteminio-techninio aptarnavimo skyriaus specialistas – Švietimo portalo sisteminės priežiūros administratorius.

28. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis saugomas ITC Švietimo portalo skyriuje, pas Švietimo portalo tvarkymo administratorių.

29. ITC interneto svetainėje skelbiami Švietimo portalo duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Švietimo portalo saugos įgaliotinis, per kalendorinius metus įvertinęs ITC rizikos veiksnių galimybes, išnagrinėjęs Elektroninės informacijos saugos incidentų registravimo žurnale įrašus, kartą per metus – iki gruodžio 31 dienos – rengia Švietimo portalo rizikos įvertinimo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), prireikus, saugos įgaliotinis gali organizuoti neeilinį Švietimo portalo įvertinimą. Ataskaitą tvirtina ITC direktorius.

31. Plano veiksmingumo išbandymo data nustatoma kiekvienais metais sausio mėnesį. Nustatytą dieną imituojamos elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidentų metu veiksmus. Atsarginėje Švietimo portalo tarnybinėje stotyje iš atsarginių Švietimo portalo duomenų kopijose esamų duomenų atkuriami Švietimo portalo duomenys.

32. Švietimo portalo saugos įgaliotinis atsakingas už Plano veiksmingumą. Už pastebėtų Plano trūkumų ataskaitos parengimą ir teikimą Švietimo portalo valdytojui atsakingas saugos įgaliotinis.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

____________________________

Švietimo portalo veiklos tęstinumo valdymo plano

1 priedas

ŠVIETIMO PORTALO VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Elektroninės informacijos incidentas	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Pasekmės likvidavimo atsakingi vykdytojai
1. Pavojingų gamtinių reiškinių sukeltas incidentas	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC Švietimo portalo skyriaus vadovas
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Švietimo portalo saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	Švietimo portalo sisteminės priežiūros administratorius Švietimo portalo tvarkymo administratorius
	1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	ITC Švietimo portalo skyriaus vadovas
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
	1.4. Asmenims, dirbantiems pavojaus vietoje, rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
		1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Švietimo portalo saugos įgaliotinis
		1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Švietimo portalo sisteminės priežiūros administratorius
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Švietimo portalo sisteminės priežiūros administratorius
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	Švietimo portalo saugos įgaliotinis
	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	Švietimo portalo tvarkymo administratorius
	2.1. Ugniagesių tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC Švietimo portalo skyriaus vadovas
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Švietimo portalo saugos įgaliotinis
	2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Švietimo portalo saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvos stadijos gaisro gesinimas, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC Švietimo portalo skyriaus vadovas
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	Švietimo portalo tvarkymo administratorius
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC Švietimo portalo vadovas
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Švietimo portalo saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC Švietimo portalo skyriaus vadovas
	3.3. Patalpų užrakinimas, jei yra galimybė
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Švietimo portalo saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Švietimo portalo saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	ITC direktoriaus pavaduotojas
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	ITC Švietimo portalo skyriaus vadovas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti pavojaus zonoje	Švietimo portalo saugos įgaliotinis
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	Švietimo portalo saugos įgaliotinis
	4.2. Atsarginių patalpų įrengimas	4.2.1. Darbuotojų informavimas apie darbą patalpose	ITC Švietimo portalo skyriaus vadovas
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos kompiuterinės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų pašalinimo organizavimas	ITC direktoriaus pavaduotojas
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	ITC direktoriaus pavaduotojas
	1.1.1. 5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	Švietimo portalo saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Švietimo portalo saugos įgaliotinis
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	ITC direktoriaus pavaduotojas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	Švietimo portalo saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Švietimo portalo saugos įgaliotinis
1.1.1.		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	ITC direktoriaus pavaduotojas
	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų	ITC direktoriaus pavaduotojas
	7.3. Sutrikimo šalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	ITC direktoriaus pavaduotojas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas, instruktavimas, jų veiksmų nustatymas	ITC direktoriaus pavaduotojas
	8.2. Elektroninės informacijos saugos incidento pasekmės šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	ITC direktoriaus pavaduotojas
		8.2.2. Įsigytos įrangos skyrimas Švietimo portalo tvarkymo įstaigai	ITC direktoriaus pavaduotojas
			ITC direktoriaus pavaduotojas
9. Programinės įrangos sugadinimas, praradimas
	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC Švietimo portalo skyriaus vedėjas Švietimo portalo sisteminės priežiūros administratorius
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas
	9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Švietimo portalo saugos įgaliotinis
9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir vykdyti jų nurodymus		ITC direktoriaus pavaduotojas
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	ITC direktoriaus pavaduotojas
10. Dokumentų praradimas		Prarastų dokumentų gavimas	ITC Švietimo portalo skyriaus vadovas
11. Darbuotojų praradimas	Elektroninės informacijos saugos incidento pasekmės įvertinimas	Trūkstamų darbuotojų paieška ir priėmimas į darbą	ITC direktorius

_______________________________

Švietimo portalo veiklos tęstinumo valdymo plano

2 priedas

(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20 __m. _____mėn. _____d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Švietimo portalo tvarkytojo įstaigos pavadinimas	požymio kodas	įvykio aprašymas	pradžia (metai, mėnuo, diena, valanda)	pabaiga (metai, mėnuo, diena, valanda)	pašalino (vardas, pavardė)	Švietimo portalo saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.
6.

Elektroninės informacijos saugos incidentų požymiai:

1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpų pažeidimas arba praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas.

_______________________________

Švietimo portalo veiklos tęstinumo valdymo plano

3 priedas

(Rizikos įvertinimo ataskaitos formos pavyzdys)

TVIRTINU

Švietimo informacinių technologijų centro direktorius

(Parašas)

(Vardas ir pavardė)

(Data)

RIZIKOS ĮVERTINIMO ATASKAITA

20__ m. pusmetis

Rizikos veiksniai	Švietimo portalo tvarkytojo įstaigos pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai	Švietimo portalo tvarkytojo įstaigos pavadinimas	pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpų pažeidimas arba praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties, komutacinės įrangos sugadinimas
9. Programinės įrangos sugadinimas, praradimas
10. Duomenų pakeitimas, praradimas. Dokumentų praradimas
11. Darbuotojų praradimas

Švietimo portalo saugos įgaliotinis ___________________________________ __________________________

(vardas, pavardė) (parašas)

____________________________________________