SRpaketoisakymas.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL STUDENTŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, STUDENTŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR STUDENTŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

2016 m. rugsėjo 13 d. Nr. V-777

Vilnius

Įgyvendindama Studentų registro saugos nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymu Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“, 7.2. papunktį:

1. T v i r t i n u pridedamus:

1.1. Studentų registro saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Studentų registro naudotojų administravimo taisykles;

1.3. Studentų registro veiklos tęstinumo valdymo planą.

2. P a v e d u Švietimo informacinių technologijų centrui organizuoti Studentų registro saugaus elektroninės informacijos tvarkymo taisyklių, Studentų registro naudotojų administravimo taisyklių, Studentų registro veiklos tęstinumo valdymo plano įgyvendinimą.

Švietimo ir mokslo ministrė Audronė Pitrėnienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016 m. rugpjūčio 3 d. raštu Nr. 1D-4800

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2016 m. rugsėjo mėn. 13 d.

įsakymu Nr. V-777

STUDENTŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Studentų registro veiklos tęstinumo valdymo plano (toliau – Planas) tikslas – nustatyti Studentų registro tvarkytojo, jo paskirtų tvarkyti Studentų registro duomenis fizinių asmenų – Studentų registro naudotojų, Studentų registro Švietimo informacinių technologijų centro (toliau – ITC) administratoriaus, Studentų registro saugos įgaliotinio – veiksmus esant elektroninės informacijos saugos incidentui Studentų registro tvarkymo įstaigoje, kurios metu gali kilti pavojus Studentų registro duomenims, Studentų registro kompiuterinės, programinės įrangos funkcionavimui.

2. Planas parengtas pagal Bendruosius elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatyto gairių aprašo patvirtinimo“, Studentų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymu Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“ .

3. Plane vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos reikalavimuose, Saugos dokumentų turinio gairių apraše, Studentų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Planas įsigalioja esant elektroninės informacijos saugos incidentui ir (ar) aplinkybėms (pvz.: gaisras, gamtos veiksniai, įrangos gedimai ir kt.), keliantiems pavojų Studentų registro naudotojų, Studentų registrų ITC administratorių, Studentų registro saugos įgaliotinio gyvybei ar sveikatai, dėl kurių gali būti prarandama įranga arba duomenys.

5. Planas privalomas visiems Studentų registro tvarkytojams, valdytojui, saugos įgaliotiniui, administratoriams ir naudotojams.

6. Prieinamumas prie Studentų registro informacijos užtikrinamas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

7. Studentų registro veiklos atkūrimas užtikrinamas per keturias valandas.

8. Už Plano įgyvendinimą atsako Studentų registrų tvarkytojas ir jo vadovo paskirti tvarkyti Studentų registrų duomenis fiziniai asmenys – Studentų registro naudotojai, Studentų registro ITC administratoriai. Už Plano įgyvendinimo organizavimą ir kontrolę atsako Studentų registrų saugos įgaliotinis.

9. Studentų registrų tvarkytojo, jo paskirtų tvarkyti Studentų registrų duomenis fizinių asmenų – Studentų registro naudotojų, Studentų registro ITC administratorių, Studentų registro saugos įgaliotinio – įgaliojimai, kurie yra suteikiami įvykus saugos incidentui bei funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Studentų registro veiklos tęstinumo detaliajame plane (toliau – Detalus planas) (Plano 1 priedas).

10. Elektroninės informacijos saugos incidento metu patirti nuostoliai Studentų registro tvarkytojo įstaigoje padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

11. Kriterijai, pagal kuriuos nustatoma, kad Studentų registro veikla atkurta, yra:

11.1. nuolat atnaujinami Studentų registro duomenys;

11.2. išsaugomi atnaujinti Studentų registro duomenys;

11.3. pasiekiami Studentų registro duomenys darbo dienomis;

11.4. susijusių registrų nuolat teikiami duomenys, atnaujinami Studentų registre;

11.5. duomenys, formuojami ir teikiami Studentų registro duomenų gavėjams, duomenų teikimo sutartyje nustatytomis sąlygomis arba pagal gavėjo prašymą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. Studentų registro veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis:

12.1. ITC direktorius (veiklos tęstinumo valdymo grupės vadovas);

12.2. ITC direktoriaus pavaduotojas (veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

12.3. ITC Mokinių, Studentų ir Pedagogų registrų skyriaus vedėjas;

12.4. Studentų registro saugos įgaliotinis;

12.5. Studentų registro duomenų valdymo įgaliotinis.

13. Veiklos tęstinumo valdymo grupės funkcijos:

13.1. elektroninės informacijos saugos incidento analizė ir sprendimų Studentų registro veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų Studentų registro veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;

13.6. Studentų registro duomenų fizinė sauga įvykus elektroninės informacijos saugos incidentui;

13.7. logistika (žmonių, daiktų, įrangos gabenimo organizavimas ir jų gabenimas);

13.8. kitos veiklos tęstinumo valdymo grupei pavestos funkcijos.

14. Studentų registrų veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis:

14.1. ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas);

14.2. Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

14.3. ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas;

14.4. Studentų registro sisteminis administratorius.

15. Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už jų vykdymą:

15.1. Studentų registrų veiklos atkūrimo priežiūra ir koordinavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

15.2. tarnybinės stoties veiklos atkūrimo organizavimas – funkciją vykdo Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas, Studentų registro sisteminis administratorius;

15.3. kompiuterių tinklo veikimo atkūrimo organizavimas – funkciją vykdo Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Studentų registro sisteminis administratorius;

15.4. Studentų registro duomenų atkūrimo organizavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas, Studentų registro sisteminis administratorius;

15.5. taikomųjų programų tinkamo veikimo atkūrimo organizavimas – funkciją vykdo ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas, Studentų registrų sisteminis administratorius;

15.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo darbo organizavimas – funkciją vykdo Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), Studentų registro sisteminis administratorius;

15.7. kitos veiklos atkūrimo grupei pavestos funkcijos – funkcijas pagal kompetenciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), Studentų registro saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas, Studentų registro sisteminis administratorius.

16. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja susirinkimą kartą per metus arba įvykus esminių pokyčių informacinėje sistemoje.

17. Įvykus elektroninės informacijos saugos incidentui ITC patalpose, kuriose yra Studentų registro tarnybinės stoties administravimo kompiuterinė ir programine įranga:

17.1. Studentų sisteminis registro administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą Studentų registro saugos įgaliotinį ir ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėją;

17.2. ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas apie elektroninės informacijos saugos incidentą nedelsdamas informuoja ITC direktorių;

17.3. Studentų registro saugos įgaliotinis informaciją įrašo Elektroninės informacijos saugos incidentų registravimo žurnale (Plano 2 priedas), vadovauja Detaliajame plane nurodytiems veiksmams;

17.4. Studentų registro sisteminis administratorius atkuria Studentų registro tarnybinės stoties, kompiuterių tinklo veiklą, Studentų registro duomenis, Studentų registro kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėją ir Studentų registro saugos įgaliotinį;

17.5. Studentų registro saugos įgaliotinis organizuoja žalos Studentų registro duomenims, Studentų registrų kompiuterinei, programinei įrangai vertinimą, koordinuoja Studentų registrų veiklai atkurti kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos įsigijimą.

18. Įvykus elektroninės informacijos saugos incidentui, reguliarus ir pastovus bendravimas veiklos tęstinumo valdymo grupėje ir veiklos atkūrimo grupėse vyksta elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.

19. ITC darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, o veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių tarnybinio mobiliojo ir namų telefonų numeriai ir gyvenamosios vietos adresai, saugomas ITC Sisteminio-techninio aptarnavimo skyriuje.

20. Elektroninės informacijos saugos incidento metu sunaikinta kompiuterinė įranga, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

21. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių tęsti veiklą pagrindinėse patalpose, Detalus planas užtikrina Studentų registro veiklos atnaujinimą atsarginėse patalpose (ITC administracinio pastato pirmas aukštas, adresas: Suvalkų g. 1, Vilnius, LT-03106) per tokį laikotarpį, kad nebūtų nusižengta ITC įsipareigojimams, susijusiems su Studentų registro veikla. Atsarginėms patalpoms keliami šie reikalavimai:

21.1. patalpose turi būti įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

21.2. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

21.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

21.4. patalpos turi būti rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

21.5. asmenys, nesusiję su Studentų registro duomenų tvarkymu, patekti į šias patalpas gali tik Studentų registro sisteminis administratoriaus, administratorių pavaduojančio asmens lydimi;

21.6. patekimas į tarnybinių stočių patalpas turi būti registruojamas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

22. Minimalus Studentų registro veiklai atkurti, nesant Studentų registro sisteminio administratoriaus, personalui reikalingos kompetencijos lygis ir minimali funkcionalumo informacinių technologijų įranga, tinkama Studentų registro poreikiams ir atitinkamai Studentų registro veiklai elektroninės informacijos saugos incidento metu užtikrinti, reglamentuota Studentų registro specifikacijoje, patvirtintoje Švietimo ir mokslo ministro, saugoma ITC Mokinių, Studentų, Pedagogų registrų skyriuje, pas Studentų registro administratorių (pagal pareigines instrukcijas).

23. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai Studentų registro veiklai užtikrinti, aprašymas pateikiamas Studentų registro specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC Mokinių, Studentų, Pedagogų registrų skyriuje, pas Studentų registro administratorių (pagal pareigines instrukcijas). Atkuriant Studentų registro veiklą elektroninės informacijos saugos incidento metu, būtinos 2 tarnybinės stotys ir interneto linija, kurios minimalus greitis 2 Mb/s.

24. ITC patalpų, kuriose yra Studentų registro tarnybinės stoties administravimo kompiuterinė įranga, sisteminė ir taikomoji programinė įranga, detalieji pastato planai parengti ūkvedžio ir patvirtinti ITC direktoriaus saugomi ITC Ūkio ir personalo skyriuje, pas skyriaus vadovą.

25. Studentų registro tarnybinės stoties administravimo, Studentų registro kompiuterinės ir programinės įrangos aprašai parengti Sisteminio-techninio aptarnavimo skyriaus vedėjo ir saugomi ITC Sisteminio-techninio aptarnavimo skyriuje.

26. Studentų registro duomenų, Studentų registro programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys, Studentų registro specifikacija saugoma ITC Mokinių, Studentų, Pedagogų registrų skyriuje, pas Studentų registro administratorių.

27. Studentų registro atsarginių duomenų kopijos daromos ITC direktoriaus patvirtintame Studentų registro atsarginių duomenų kopijų darymo apraše nurodyta tvarka ir saugomos ITC Sisteminio-techninio aptarnavimo skyriuje. Už Studentų registro atsarginių duomenų kopijų darymą, saugojimą, duomenų iš Studentų registro atsarginių duomenų kopijų atkūrimą atsako ITC direktoriaus įsakymu paskirtas ITC Sisteminio-techninio aptarnavimo skyriaus specialistas – sisteminis administratorius.

28. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis saugomas ITC Mokinių, Studentų, Pedagogų registrų skyriuje, pas Studentų registro administratorių.

29. ITC interneto svetainėje skelbiami Studentų registro duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Studentų registro saugos įgaliotinis, per kalendorinius metus įvertinęs ITC rizikos veiksnių galimybes, išnagrinėjęs Elektroninės informacijos saugos incidentų registravimo žurnale įrašus, kartą per metus – iki gruodžio 31 dienos – rengia Studentų registro rizikos įvertinimo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), reikalui esant saugos įgaliotinis gali organizuoti neeilinį Studentų registro įvertinimą. Ataskaitą tvirtina ITC direktorius.

31. Plano veiksmingumo išbandymo data nustatoma kiekvienais metais sausio mėnesį. Nustatytą dieną imituojamos elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidentų metu veiksmus. Atsarginėje Studentų registro tarnybinėje stotyje iš atsarginių Studentų registro duomenų kopijose esamų duomenų atkuriami Studentų registro duomenys.

32. Studentų registro saugos įgaliotinis atsakingas už Plano veiksmingumą. Už pastebėtų Plano veiksmingumo trūkumų ataskaitos ir Trūkumų šalinimo plano parengimą ir teikimą Studentų registro Valdytojui atsakingas saugos įgaliotinis.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

____________________________

Studentų registro veiklos tęstinumo valdymo plano

1 priedas

STUDENTŲ REGISTRO VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Pasekmės likvidavimo atsakingi vykdytojai
1. Oro sąlygos	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
		1.1.1. 1.1.1. 1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.1.3. Priemonių plano įgyvendinimas	Studentų registro sisteminis administratorius ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
	1.1.1. 1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
	1.1.1. 1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
	1.1.1. 1.4. Asmenims, dirbantiems pavojaus vietoje, rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
		1.1.1. 1.1.1. 1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	Studentų registro saugos įgaliotinis
	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
	2.1. Ugniagesių tarnybos informavimas	1.1.1. 1.1.1. 2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
	1.1.1. 2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Studentų registro saugos įgaliotinis
	1.1.1. 2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Studentų registro saugos įgaliotinis
	1.1.1. 2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvos stadijos gaisro gesinimas, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
	3.1. Teisėsaugos tarnybos informavimas	1.1.1. 3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Studentų registro saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Studentų registro saugos įgaliotinis
	1.1.1. 3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	ITC direktoriaus pavaduotojas
		1.1.1. 1.1.1. 3.5.3. Žalą likviduojančių darbuotojų instruktavimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti pavojaus zonoje	Studentų registro saugos įgaliotinis
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	1.1.1. 1.1.1. 4.1.2. Darbuotojų informavimas apie rekomendacijas	Studentų registro saugos įgaliotinis
	1.1.1. 4.2. Atsarginių patalpų įrengimas	4.2.1. Darbuotojų informavimas apie darbą patalpose	ITC Mokinių, Studentų, Pedagogų registrų skyriaus specialistas
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos kompiuterinės įrangos energijos maitinimo išjungimas.	5.1.1. Sutrikimų pašalinimo organizavimas	ITC direktoriaus pavaduotojas
	1.1.1. 5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	ITC direktoriaus pavaduotojas
	1.1.1. 5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 5.3.2. Padarytos žalos įvertinimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	ITC direktoriaus pavaduotojas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	1.1.1. 1.1.1. 6.1.2. Darbuotojų informavimas apie rekomendacijas	Studentų registro saugos įgaliotinis
	1.1.1. 6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	ITC direktoriaus pavaduotojas
	1.1.1. 7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.1.2. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų
	1.1.1. 7.3. Sutrikimo šalinimas	7.1.3. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas, instruktavimas, jų veiksmų nustatymas
	1.1.1. 8.2. Elektroninės informacijos saugos incidento pasekmės šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo
		1.1.1. 1.1.1. 8.2.2. Įsigytos įrangos skyrimas Registro tvarkymo įstaigai
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas Studentų registro sisteminis administratorius
		1.1.1. 1.1.1. 9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas
	1.1.1. 9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas. Žalą likviduo-jančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Studentų registro saugos įgaliotinis
		1.1.1. 1.1.1. 9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir vykdyti jų nurodymus	ITC direktoriaus pavaduotojas
	1.1.1. 9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	ITC direktoriaus pavaduotojas
10. Dokumentų praradimas		10.1.1. Prarastų dokumentų gavimas	ITC Mokinių, Studentų, Pedagogų registrų skyriaus vedėjas
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	ITC direktorius

____________________________

Studentų registro veiklos tęstinumo valdymo plano

2 priedas

(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20___ m. _____ mėn. _____ d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Studentų registro tvarkytojo įstaigos pavadinimas	požymio kodas	įvykio aprašymas	pradžia (metai, mėnuo, diena, valanda)	pabaiga (metai, mėnuo, diena, valanda)	pašalino (vardas, pavardė)	Studentų registro saugos įgaliotinis (vardas, pavardė, parašas)
1
2
3
4
5
6

Elektroninės informacijos saugos incidentų požymiai:

1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpų pažeidimas arba praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas.

_______________________________

entų

registro veiklos tęstinumo valdymo plano

3 priedas

(Rizikos įvertinimo ataskaitos formos pavyzdys)

TVIRTINU

Švietimo informacinių technologijų centro direktorius

(Parašas)

(Vardas ir pavardė)

(Data)

RIZIKOS ĮVERTINIMO ATASKAITA

20 ____ m. ___ pusmetis

Rizikos veiksniai	Studentų registro tvarkytojo įstaigos pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai	Studentų registro tvarkytojo įstaigos pavadinimas	pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpų pažeidimas arba praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties, komutacinės įrangos sugadinimas
9. Programinės įrangos sugadinimas, praradimas
10. Duomenų pakeitimas, praradimas. Dokumentų praradimas
11. Darbuotojų praradimas

Studentų registro saugos įgaliotinis ___________________ _______________

(vardas, pavardė) (parašas)

____________________________________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2016 m. rugsėjo mėn. 13 d.

įsakymu Nr. V-777

STUDENTŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Studentų registro saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Tvarkymo taisyklės) tikslas – nustatyti Studentų registro tvarkytojų, jų vadovų paskirtų tvarkyti Studentų registro duomenis fizinių asmenų, Studentų registro naudotojų, Studentų registro Švietimo informacinių technologijų centro (toliau – ITC) administratorių, Studentų registro saugos įgaliotinio – veiksmus, užtikrinančius saugų Studentų registro kompiuterinės, programinės įrangos funkcionavimą, Studentų registro duomenų tvarkymą ir teikimą.

2. Tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatyto gairių aprašo patvirtinimo“, Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms reikalavimais, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Studentų registro nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2009 m. birželio 16 d. įsakymu Nr. ISAK-1245 „Dėl Studentų registro įsteigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“, Studentų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymu Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“.

3. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos reikalavimuose, Saugos dokumentų turinio gairių apraše, Studentų registro nuostatuose, Studentų registro duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716, dokumento „Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatyto gairių aprašas“, 4.3 ir 5.3 papunkčiais, Studentų registras priskiriamas trečiai kategorijai „Žinybinės svarbos elektroninė informacija“. Studentų registro informacija prieinama tik registruotiems naudotojams pagal jiems priskirtas teises. Studentų registro informaciją gali tvarkyti Studentų registro tvarkytojo paskirti fiziniai asmenys, tik susipažinę su savo pareigybių aprašymuose nurodytomis funkcijomis, skirtomis savo veiksmams atlikti.

5. Už Studentų registro duomenų saugų tvarkymą atsakingi Studentų registro tvarkytojai, jo vadovų paskirti tvarkyti Studentų registro duomenis fiziniai asmenys, Studentų registro naudotojai, Studentų registro administratoriai.

6. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Studentų registro saugos įgaliotinis.

7. Taisyklės taikomos Studentų registro valdytojui, tvarkytojams, visiems Studento registro naudotojams, duomenų valdymo ir saugos įgaliotiniui ir administratoriams.

8. Studentų registre tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas Lietuvos Respublikos švietimo ir mokslo ministro 2009 m. birželio 16 d. įsakymu Nr. ISAK-1245 patvirtintų nuostatų III skyriaus 14, 15 punktuose.

9. Studentų registro tvarkoma informacija yra skirstoma į šias grupes:

9.1. Administratorių tvarkoma informacija;

9.2. Tvarkytojų tvarkoma informacija.

10. Studentų registro administratorius atsakingas už šios informacijos tvarkymą:

10.1. Klasifikatoriai;

10.2. Naudotojų duomenys;

10.3. Naudotojų vaidmenys;

10.4. Naudotojų teisės;

10.5. Studentų registro internetinės svetainės titulinio puslapio turinys (naujienos, dokumentai ir kt.).

11. Studentų registro sisteminis administratorius atsakingas už šios informacijos tvarkymą:

11.1. Duomenų gavimo iniciavimo ir teikimo duomenys;

11.2. Duomenų teikimą aprašantys duomenys;

11.3. Duomenų užklausimo ir perdavimo laikas;

11.4. Kiti techniniai duomenys duomenų teikimo stebėsenai atlikti.

12. Studentų registro tvarkytojai atsakingi už nuostatų III skyriaus 14 punkte aprašytos informacijos tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

13. Studentų registro duomenys nuolat apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis nuo duomenų praradimo, iškraipymo ar duomenų sunaikinimo.

14. Studentų registro kompiuterinės įrangos saugos užtikrinimo priemonės:

14.1. visus įrangos pakeitimus turi atlikti Studentų registro tvarkytojo vadovo paskirti fiziniai asmenys;

14.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

14.3. kompiuterinės įrangos gedimai registruojami žurnale;

14.4. pagrindinė registro kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą nuo elektros energijos dingimo;

14.5. svarbiausia kompiuterinė įranga, duomenų perdavimo mazgai ir ryšio linijos turi būti dubliuoti;

14.6. kompiuterinės įrangos būklė nuolat stebima.

15. Studentų registro sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra:

15.1. naudojama tik legali, įteisinta ir darbo funkcijoms atlikti reikalinga Studentų registro programinė įranga;

15.2. teisę dirbti su Studentų registro tarnybinės stoties administravimo programine įranga turintis Studentų registro sisteminis administratorius arba jį pavaduojantis asmuo;

15.3. slaptažodžiai, suteikiantys teisę dirbti su Studentų registro tarnybinės stoties administravimo programine įranga, žinomi tik Studentų registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui;

15.4. Studentų registro programinis kodas apsaugotas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės, kaip ir Studentų registro duomenims. Naudojama specializuota kovos su virusais programinė priemonė atnaujinama ne rečiau kaip kartą per savaitę;

15.5. teisė dirbti su Studentų registro programine įranga suteikiama Studentų registro naudotojams;

15.6. taikomos programinės priemonės, skirtos Studentų registro naudotojų tapatybei ir veiksmams su Studentų registro duomenims nustatyti. Vykdoma Studentų registro naudotojų ketinimų ir veiksmų su Studentų registro duomenimis apskaita. Studentų registro naudotojai duomenis pasiekia internetu per „ugniasienę“ (ang. – firewall);

15.7. Studentų registro naudotojo veiksmai su Studentų registro duomenimis ar bandymai juos atlikti registruojami programiniu būdu. Suteikiama prieigos prie Studentų registro duomenų teisė atlikti veiksmus tik su jam priskirtų Studentų registro objektų duomenimis;

15.8. Studentų registro programinė įranga apsaugota nuo pagrindinių per tinklą vykdomų atakų.

16. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

16.1. Studentų registro duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

16.2. iš nutolusių darbo vietų prie Studentų registro jungiamasi per IP VPN (virtualus privatus tinklas);

16.3. naudojami tik saugūs ir patikimi Studentų registro duomenų perdavimo tinklais protokolai;

16.4. kontroliuojamas išorinis prisijungimas prie vidinio Studentų registro duomenų perdavimo tinklo.

17. Saugos užtikrinimo bendrosioms Studentų registro patalpoms priemonės:

17.1. patalpų rakinimas;

17.2. veikianti patekimo į patalpas kontrolės sistema;

17.3. įrengta signalizacija;

17.4. gaisro gesinimo priemonės nuolat tikrinamos.

18. Studentų registro saugos užtikrinimo priemonės patalpoms, kuriose yra Studentų registro tarnybinės stoties administravimo programine įranga, yra:

18.1. patalpose įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

18.2. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

18.3. patalpos, atitinkančios priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

18.4. patalpos rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

18.5. asmenys, nesusiję su Studentų registro duomenų tvarkymu, patekti į šias patalpas gali tik Studentų registro sisteminio administratoriaus, administratorių pavaduojančio asmens lydimi;

18.6. patekimas į tarnybinių stočių patalpas registruojamas.

19. Elektroniniame žurnale įrašomi duomenys apie Studentų registro tarnybinių stočių, Studentų registro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Studentų registro tarnybinėse stotyse, Studentų registro taikomojoje programinėje įrangoje, visus Studentų registro naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Įrašai analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne ilgiau nei 1 metus.

20. Studentų registro informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per du metus.

21. Studentų registro toleruotinas neveikimo laikas yra 16 val.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

22. Studentų registro naudotojai įveda, keičia, atnaujina, naikina Studentų registro duomenis pagal nustatytą jų teisių lygmenį.

23. Studentų registro naudotojų tapatybė ir jų veiksmai su Studentų registro duomenimis atpažįstami programinėmis priemonėmis, įrašomi Studentų registro duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Studentų registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Studentų registro administratoriui arba jį pavaduojančiam asmeniui.

24. Studentų registro duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, ketinimus ar veiksmus Studentų registro programinei įrangai ir duomenims.

25. Duomenys iš susijusių registrų, informacinių sistemų teikiami ir gaunami automatiniu būdu.

26. Studentų registro naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

27. Studentų registro duomenų kopijavimas atliekamas kiekvieną darbo dieną:

27.1. duomenų kopijų darymas fiksuojamas žurnale;

27.2. elektroninė informacija kopijose užšifruota ir neleidžia panaudoti kopijų elektroninei informacijai atkurti neteisėtu būdu;

27.3. duomenų kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

27.4. patekimas į patalpas, kuriose laikomos kopijos, registruojamas žurnale.

28. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, duomenų gavimo iš jų tvarka nustatyta Studentų registro nuostatuose.

29. Studentų registro sisteminis administratorius atsako už Studentų registro duomenų kopijavimo saugą ir duomenų atkūrimą iš Studentų registro duomenų kopijų.

30. Studentų registro saugos įgaliotinis atsako už Studentų registro duomenų kopijų saugojimo kontrolę.

31. Prarasti Studentų registro duomenys atkuriami iš Studentų registro duomenų kopijų.

32. Studentų registro duomenų atkūrimo iš kopijų bandymai atliekami ne rečiau kaip kartą per metus.

33. Studentų registro duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:

33.1. Studentų registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Studentų registro administratoriui arba saugos įgaliotiniui;

33.2. Studentų registro administratorius nedelsdamas turi imtis veiksmų neteisėtai veiklai su Studentų registro duomenimis užkirsti;

33.3. Studentų registro administratorius apie Tvarkymo taisyklių 32.1 papunktyje nurodytus pažeidimus informuoja Studentų registro saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią Studentų registro saugą (konfidencialumą, vientisumą ar prieinamumą), Studentų registro saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

34. Studentų registro programinės įrangos keitimo, atnaujinimo, Studentų registro kompiuterinės įrangos keitimo (toliau – pokyčiai) tvarka:

34.1. Studentų registro naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

34.2. Studentų registro programinės įrangos pokyčiai įgyvendinami tik atlikus jos testavimą;

34.3. įgyvendinant Studentų registro programinės įrangos pokyčius, kurių metu galimi veikimo sutrikimai, ne vėliau kaip prieš dvi darbo dienas iki planuojamų Studentų registro programinės įrangos pokyčių vykdymo pradžios Studentų registro naudotojai informuojami apie pokyčių pradžią ir galimus veiklos sutrikimus;

34.4. jei yra sudaroma paslaugų teikimo sutartis dėl Studentų registro papildomo funkcionalumo kūrimo ar modernizavimo, pokyčių įgyvendinimo tvarka nustatoma paslaugų teikimo sutartyje;

34.5. Studentų registro administratorius arba jį pavaduojantis asmuo supažindina Studentų registro naudotojus su Studentų registro pokyčiais.

35. Studentų registro pokyčių valdymo tvarka:

35.1. Studentų registro valdytojas užtikrina registro pokyčių planavimą, apimantį pokyčių identifikavimą valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas) pokyčių prioritetų nustatymo (eiliškumas) procesus;

35.2. pokyčiai identifikuojami nustačius Studentų registro naudotojų, administratorių ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas ir kitais gerosios praktikos įvardinamais atvejais;

35.3. pokyčius turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos įgaliotinis ar administratorius, o įgyvendinti – sisteminis administratorius arba paslaugų teikėjas;

35.4. visi potencialūs pokyčiai registruojami, įvertinus ir valdytojui patvirtinus įtakos vertinimą ir prioritetą ir atliekami tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;

35.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Studentų registro darbą, turi būti suderinti su registro pagrindiniu tvarkytoju bei duomenų valdymo įgaliotiniu;

35.6. prieš atlikdamas Studentų registro pokyčius, kurių metu gali iškilti grėsmė duomenų ir registro konfidencialumui, vientisumui ar pasiekiamumui, paslaugų teikėjas ir (arba) administratoriai privalo pokyčius ištestuoti registro testinėje aplinkoje;

35.7. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kuri atskirta nuo eksploatuojamo Studentų registro;

35.8. atlikę vykdomų Studentų registro pokyčių testavimą paslaugų teikėjas ir (arba) registro administratoriai gali pradėti įgyvendinti registro pokyčius tik gavęs patvirtinimą ir suderinęs pokyčio diegimo grafiką su registro pagrindinių tvarkytoju;

35.9. planuodamas Studentų registro pokyčius, kurių metu galimi registro veikimo sutrikimai, paslaugų teikėjas ir(arba) administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki registro pokyčių vykdymo pradžios elektroniniu paštu informuoti Studentų registro duomenų valdymo ir saugos įgaliotinius, kitus administratorius ir vidinius registro naudotojus apie tokių darbų pradžią ir galimus registro veikimo sutrikimus.

36. Studentų registro naudotojų pareigoms atlikti nešiojamų kompiuterių naudojimo tvarka:

36.1. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose; kelionės metu nešiojamieji kompiuteriai turi būti saugomi;

36.2. visi nešiojamieji kompiuteriai turi būti apsaugoti saugiais slaptažodžiais, vadovaujantis prieigos valdymo procedūra. Kompiuterio išdavimo metu turi būti nedelsiant pakeistas standartinis ar prieš tai nustatytas slaptažodis;

36.3. prieš perduodant nešiojamąjį kompiuterį Studentų registro naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

36.4. nešiojamojo kompiuterio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami.

IV SKYRIUS

REIKALAVIMAI, KELIAMI STUDENTŲ REGISTRO FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

37. Paslaugų teikimo sutartyje nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Studentų registro programinę įrangą, naudodamas:

37.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

37.2. sertifikuotą sisteminę programinę įrangą;

37.3. Studentų registro testinės duomenų bazės duomenis (Studentų registro taikomajai programinei įrangai modifikuoti).

38. Prieigos prie Studentų registro išteklių teisę – matyti Studentų registro duomenis, atlikti užklausas Studentų registro ir vykdyti veiksmus su Studentų registro duomenimis – Studentų registro administratorius suteikia tik paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti. Paslaugų teikėjui suteikiamas tik toks prieigos lygmuo, kuris yra būtinas sutartinių įsipareigojimų įvykdymui, laikantis visų saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Sutartyje privalom būti apibrėžti konfidencialios informacijos išsaugojimo įsipareigojimai, kurie galioja ir pasibaigus sutarties galiojimo terminui.

39. Studentų registro administratorius atsako už Studentų registro kompiuterinių, programinių paslaugų teikėjams prieigos prie Studentų registro išteklių suteikimą ir panaikinimą.

40. Studentų registro administratorius, suteikdamas prieigos prie Studentų registro išteklių teisę, paslaugų teikėjo įgaliotąjį fizinį asmenį supažindina su prieigos prie Studentų registro duomenų sąlygomis.

41. Pasibaigus prieigos prie Studentų registro išteklių teisei, atsiradus kitoms aplinkybėms, Studentų registro administratorius nedelsdamas panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie Studentų registro duomenų teisę ir apie tai nedelsiant raštiškai ar elektroniniu paštu jį informuoja.

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2016 m. rugsėjo mėn. 13 d.

įsakymu Nr. V-777

STUDENTŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Studentų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Studentų registro naudotojų įgaliojimus, teises, pareigas, jų supažindinimo su saugos dokumentais tvarką ir saugaus Studentų registro tvarkomų duomenų teikimo Studentų registro naudotojams kontrolės tvarką.

2. Administravimo taisyklės parengtos pagal Bendruosius elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatyto gairių aprašo patvirtinimo“, Studentų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymu Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“.

3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos reikalavimuose, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Studentų registro duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. vasario 5 d. įsakymu Nr. V-173 „Dėl Studentų registro duomenų saugos nuostatų patvirtinimo“, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Už Administravimo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Studentų registro saugos įgaliotinis. Už Administravimo taisyklių įgyvendinimą atsako Studentų registro administratorius.

5. Studentų registro tvarkytojo vadovo paskirtų fizinių asmenų – Studentų registro naudotojų – įgaliojimų, teisių, pareigų, jų supažindinimo su saugos dokumentais tvarka ir saugaus Studentų registro tvarkomų duomenų teikimo Studentų registro naudotojams kontrolės tvarkos principai paremti Studentų registro duomenų saugumu, stabilumu, operatyvumu.

6. Administravimo taisyklės taikomos visiems Studentų registro naudotojams, administratoriams ir saugos įgaliotiniui ir kitų institucijų darbuotojams, kurie naudojasi Studentų registru.

II SKYRIUS

STUDENTŲ REGISTRO NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. Studentų registro naudotojai gali naudotis tik tomis Studentų registro dalimis ir jo apdorojamais duomenimis, prie kurių prieigą jiems suteikė administratorius.

8. Studentų registro naudotojų įregistravimą ir administravimą vykdo Švietimo informacinių technologijų centro (toliau - ITC) Studentų registro administratorius, kuris registruoja Studentų registro naudotojus, bei Studentų registro Lietuvos aukštųjų mokyklų ar Lietuvoje veikiančių aukštųjų mokyklų filialų (toliau - Institucijos) administratoriai, kurie registruoja savo Institucijos Studentų registro naudotojus.

9. Studentų registro naudotojai privalo užtikrinti jų naudojamo Studentų registro ir jo apdorojamų duomenų konfidencialumą, vientisumą ir pasiekiamumą, vadovaudamiesi Administravimo taisyklėse apibrėžtais reikalavimais.

10. Studentų registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Studentų registro administratoriui arba saugos įgaliotiniui.

11. Studentų registro naudotojai turi teisę reikalauti iš Studentų registro ITC administratoriaus užtikrinti deramą jų naudojamo Studentų registro ir jo apdorojamų duomenų apsaugos lygį, gauti informaciją apie taikomas apsaugos priemones ir rekomenduoti papildomas apsaugos priemones.

12. Studentų registro ITC administratorius turi teisę:

12.1. matyti visų institucijų duomenis;

12.2. tvarkyti duomenis;

12.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus;

12.4. stebėti funkcionavimą ir šalinti netikslumus;

12.5. kurti Institucijų Studento registro administratorių ir kitų Studentų registro naudotojų prisijungimus

13. Institucijų Registro administratoriai turi teisę:

13.1. matyti savo institucijos duomenis;

13.2. tvarkyti duomenis;

13.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus;

13.4. kurti savo institucijos Studentų registro naudotojų prisijungimus.

14. Institucijų Registro naudotojai turi teisę:

14.1. matyti savo institucijos duomenis;

14.2. tvarkyti duomenis;

14.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus.

15. Studentų registro ITC administratoriaus, Studentų registro naudotojų veiksmai, duomenų registravimo, duomenų koregavimo veiksmai nurodyti Studentų registro nuostatuose, Studentų registro duomenų saugos nuostatuose.

16. Studentų registro ITC administratoriaus, Studentų registro naudotojų veiksmų registravimas vyksta automatiškai, tam sukurtomis programinės įrangos priemonėmis. Yra fiksuojami visi naudotojų atlikti veiksmai.

17. Už Studentų registro naudotojų supažindinimą su Studentų registro duomenų saugos nuostatais, Studentų registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Studentų registro veiklos tęstinumo valdymo planu, Studentų registro naudotojų administravimo taisyklėmis atsakingas Studentų registro saugos įgaliotinis. Studentų registro saugos įgaliotinis naujai paskirtus Studentų registro naudotojus pasirašytinai supažindina su Studentų registro saugos dokumentais. Studentų registro naudotojas gali dirbti su Studentų registro elektronine informacija tik pasirašytinai susipažinęs su Studentų registro saugos dokumentais. Jei Studentų registro saugos dokumentuose atsiranda pakeitimų, Studentų registro saugos įgaliotinis su jais supažindina visus Studentų registro naudotojus.

18. Studentų registro saugos įgaliotinis duomenų saugos klausimais ne rečiau kaip kartą per metus Studentų registro administratoriui ir Studentų registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) supažindina šiuos asmenis su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais.

19. Studentų registro tvarkytojo vadovas sudaro galimybes Studentų registro administratoriui, Studentų registro naudotojams dalyvauti Studentų registro saugos įgaliotinio organizuojamuose elektroninės informacijos saugos renginiuose.

20. Studentų registro saugos įgaliotinis nedelsdamas siunčia Studentų registro naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) priimtus naujus elektroninės informacijos saugos teisės aktus ir jų pakeitimus, informuoja apie šiems asmenims organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, priimtiems naujiems Studentų registro naudotojams siunčia atmintines.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO STUDENTŲ REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

21. Visi Studentų registro naudotojai, dirbantys su Studentų registro duomenimis, privalo turėti leidimą dirbti su Studentų registru (prisijungimo vardą ir slaptažodį). Unikalus naudotojo vardas ir slaptažodis Studentų registro naudotojui perduodami asmeniškai arba siunčiami elektroniniu paštu, užšifruotame dokumente. Nutraukus darbo santykius su Studentų registro naudotoju, kuris buvo užregistruotas ITC administratoriaus, atitinkamos įstaigos vadovas ar personalo skyrius (ar padalinys (asmuo), atsakingas už personalą) informuoja el. paštu ir / ar paprastu paštu apie tai ITC Studentų registro administratorių, kuris panaikina Studentų registro naudotojo prisijungimo vartotojo vardą ir slaptažodį. Nutraukus darbo santykius su Studentų registro naudotoju, kuris buvo užregistruotas Institucijos administratoriaus, atitinkamai jį turi panaikinti Institucijos administratorius, šis procesas turi būti organizuojamas Institucijos viduje nustatyta tvarka.

22. Studentų registro ITC administratorius, vadovaudamasis ITC direktoriaus tvirtinama Leidimų dirbti su registro asmens duomenimis išdavimo tvarka, arba Studentų registro Institucijos administratorius pagal rašytinį prašymą Studentų registro naudotojui suteikia unikalų prisijungimo prie Studentų registro vardą ir pirminį slaptažodį, kurį perduoda Studentų registro naudotojui asmeniškai arba išsiunčia elektroniniu paštu.

23. Studentų registro naudotojo tapatybė nustatoma vadovaujantis naudotojo pateikta prašymo suteikti prisijungimą prie Studentų registro anketa, kuri yra tvirtinama ITC direktoriaus Leidimų dirbti su registro asmens duomenimis išdavimo tvarkoje. Studentų registro naudotojui jungiantis prie registro, jo tapatybė nustatoma, pagal unikalų Studentų registro naudotojo prisijungimo vardą, patvirtinamą asmeniniu slaptažodžiu.

24. Unikalus prisijungimo vardas ir pirminis slaptažodis žinomi tik Studentų registro administratoriui arba Studentų registro Institucijos administratoriui ir Studentų registro naudotojui.

25. Suteiktas naudotojo vardas nekeičiamas ir negali būti suteiktas kitam Studentų registro naudotojui.

26. Pirmo prisijungimo prie Studentų registro metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

27. Studentų registro naudotojo slaptažodžiui yra keliami šie reikalavimai:

27.1. slaptažodis formuojamas iš raidžių, skaičių ir specialiųjų simbolių;

27.2. slaptažodžiui neturi būti naudojama asmeninio pobūdžio informacija;

27.3. draudžiama slaptažodžius atskleisti tretiems asmenims;

27.4. Studentų registro dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

27.5. Slaptažodžiai negali būti saugomi atviru tekstu;

27.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 5 kartai. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, Studentų registras turi užsirakinti ir neleisti Studentų registro naudotojui identifikuotis. Atblokuoti Studentų registro naudotojo prisijungimą gali tik Studentų registro administratorius.

28. Papildomi reikalavimai Studentų registro naudotojų slaptažodžiams:

28.1. gavęs Studentų registro administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Studentų registro, nedelsdamas slaptažodį pakeisti ir jį įsiminti;

28.2. privalo keisti slaptažodį ne rečiau kaip kartą per 3 mėnesius;

28.3. slaptažodį turi sudaryti ne mažiau kaip 6 simboliai, kurie negali kartotis;

28.4. keisdamas slaptažodį, turi bent kartą slaptažodį pakartoti;

28.5. neturi teisės palikti užrašyto slaptažodžio matomoje vietoje;

28.6. pamiršęs slaptažodį, privalo kreiptis į Studentų registro administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį;

28.7. įtaręs, kad tretieji asmenys žino jo slaptažodį, nedelsdamas privalo slaptažodį pakeisti.

29. Naujai paskirtam Studentų registro naudotojui Studentų registro administratorius suteikia naują prisijungimo vardą ir pirminį slaptažodį.

30. Studentų registro administratorius nedelsdamas blokuoja netekusio teisės dirbti (gavus raštišką informaciją iš Institucijos) su Studentų registro duomenimis Studentų registro naudotojo prisijungimo vardą ir slaptažodį.

31. Nuotoliniam prisijungimui prie Studentų registro išoriniams naudotojams papildomi reikalavimai nekeliami. Nuotolinis prisijungimas galimas tik saugiu HTTP protokolu – HTTPS. Priklausomai nuo informacijos pateikimo į Studentų registro būdą, nuotolinis prisijungimas papildomai gali būti kontroliuojamas pagal besijungiančio kompiuterio IP adresą.

________________