NEMIS_Įsak projektas0906.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

2017 m. rugsėjo 28 d. Nr. V-723

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais:

1. T v i r t i n u pridedamus:

1.1. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos naudotojų administravimo taisykles;

1.3. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo valdymo planą.

2. P a v e d u:

2.1. Informacinių sistemų ir dokumentų valdymo skyriui pateikti patvirtintų Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos naudotojų administravimo taisyklių ir Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo valdymo plano dokumentų kopijas Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS) ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo šios informacinės sistemos nuostatų nustatyta tvarka;

2.2. Švietimo informacinių technologijų centrui organizuoti Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos naudotojų administravimo taisyklių, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo valdymo plano įgyvendinimą.

Švietimo ir mokslo ministrė Jurgita Petrauskienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-07-17 raštu Nr. 1D-3845

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo ministro 2017 m. rugsėjo 28 d.

įsakymu Nr. V-723

NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos (toliau – NEMIS) tvarkytojų, jų vadovų paskirtų tvarkyti NEMIS duomenis fizinių asmenų, NEMIS naudotojų, Švietimo informacinių technologijų centro (toliau – ITC) NEMIS administratoriaus, NEMIS saugos įgaliotinio – veiksmus, užtikrinančius saugų NEMIS kompiuterinės, programinės įrangos funkcionavimą, NEMIS duomenų tvarkymą ir teikimą.

2. Tvarkymo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms reikalavimais, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatais, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymu Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“.

3. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatuose, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymu Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. NEMIS informacija prieinama tik registruotiems naudotojams pagal jiems priskirtas teises. NEMIS informaciją gali tvarkyti NEMIS tvarkytojai, tik susipažinę su savo pareigybių aprašymuose nurodytomis funkcijomis, skirtomis savo veiksmams atlikti.

5. Už NEMIS duomenų saugų tvarkymą atsakingas NEMIS tvarkytojas, NEMIS naudotojai, NEMIS administratorius.

6. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas NEMIS saugos įgaliotinis.

7. Tvarkymo taisyklės taikomos NEMIS valdytojui, NEMIS tvarkytojui, visiems NEMIS naudotojams, NEMIS duomenų valdymo ir NEMIS saugos įgaliotiniui ir NEMIS administratoriui.

8. NEMIS tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymu Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, 19-22 punktuose.

9. NEMIS tvarkoma informacija yra skirstoma į šias grupes:

9.1. NEMIS administratoriaus tvarkoma informacija;

9.2. NEMIS tvarkytojų tvarkoma informacija.

10. NEMIS administratorius atsakingas už šios informacijos tvarkymą:

10.1. klasifikatoriai;

10.2. naudotojų duomenys;

10.3. naudotojų vaidmenys;

10.4. naudotojų teisės;

10.5. NEMIS internetinės svetainės titulinio puslapio https://nemis.emokykla.lt turinys (naujienos, dažnai užduodami klausimai, dokumentai ir kt.);

10.6. duomenų gavimo iniciavimo ir teikimo duomenys;

10.7. duomenų teikimą aprašantys duomenys;

10.8. duomenų paklausimo ir perdavimo laikas;

10.9. kiti techniniai duomenys duomenų teikimo stebėsenai atlikti.

11. NEMIS tvarkytojas atsakingas už Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymu Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NEMIS nuostatai), 19-22 punktuose aprašytos informacijos ir duomenų tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

12. NEMIS duomenys nuolat apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis nuo duomenų praradimo, iškraipymo ar duomenų sunaikinimo.

13. NEMIS kompiuterinės įrangos saugos užtikrinimo priemonės:

13.1. visus įrangos pakeitimus turi atlikti NEMIS tvarkytojas;

13.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

13.3. kompiuterinės įrangos gedimai registruojami žurnale;

13.4. pagrindinė NEMIS kompiuterinė įranga ir duomenų perdavimo tinklo elementai turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą nuo elektros energijos dingimo;

13.5. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo elementai ir ryšio linijos turi būti dubliuoti;

13.6. kompiuterinės įrangos būklė nuolat stebima.

14. NEMIS sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra:

14.1. naudojama tik legali, įteisinta ir darbo funkcijoms atlikti reikalinga NEMIS programinė įranga;

14.2. teisę dirbti su NEMIS tarnybinės stoties administravimo programine įranga turintis NEMIS administratorius arba jį pavaduojantis asmuo;

14.3. slaptažodžiai, suteikiantys teisę dirbti su NEMIS tarnybinės stoties administravimo programine įranga, žinomi tik NEMIS administratoriui arba jį pavaduojančiam asmeniui;

14.4. NEMIS programinis kodas apsaugotas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės, kaip ir NEMIS duomenims. Naudojama specializuota kovos su virusais programinė priemonė, atnaujinama ne rečiau kaip kartą per savaitę;

14.5. taikomos programinės priemonės, skirtos NEMIS naudotojų tapatybei ir veiksmams su NEMIS duomenimis nustatyti. Vykdoma NEMIS naudotojų sėkmingų ir nesėkmingų bandymų registruotis NEMIS ir veiksmų su NEMIS duomenimis apskaita. NEMIS naudotojai duomenis pasiekia internetu per „ugniasienę“ (angl. – firewall);

14.6. NEMIS naudotojo veiksmai su NEMIS duomenimis ar bandymai juos atlikti registruojami programiniu būdu. Suteikiama prieigos prie NEMIS duomenų teisė atlikti veiksmus tik su jam priskirtų NEMIS objektų duomenimis;

14.7. NEMIS programinė įranga apsaugota nuo pagrindinių per tinklą vykdomų atakų.

15. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

15.1. NEMIS duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

15.2. iš nutolusių darbo vietų prie NEMIS jungiamasi per IP VPN (virtualus privatus tinklas);

15.3. naudojami tik saugūs ir patikimi NEMIS duomenų perdavimo tinklais protokolai;

15.4. kontroliuojamas išorinis prisijungimas prie vidinio NEMIS duomenų perdavimo tinklo.

16. Saugos užtikrinimo bendrosioms NEMIS patalpoms priemonės:

16.1. patalpų rakinimas;

16.2. veikianti patekimo į patalpas kontrolės sistema;

16.3. įrengta signalizacija;

16.4. gaisro gesinimo priemonės nuolat tikrinamos.

17. NEMIS saugos užtikrinimo priemonės patalpoms, kuriose yra NEMIS tarnybinės stoties administravimo programine įranga, yra:

17.1. patalpose įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

17.2. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

17.3. patalpos, atitinkančios priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

17.4. patalpos rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

17.5. asmenys patekti į NEMIS tarnybinių stočių patalpas gali tik NEMIS administratoriaus, administratorių pavaduojančio asmens lydimi;

17.6. patekimas į NEMIS tarnybinių stočių patalpas registruojamas.

18. Elektroniniame žurnale įrašomi duomenys apie NEMIS tarnybinių stočių, NEMIS taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis NEMIS tarnybinėse stotyse, NEMIS taikomojoje programinėje įrangoje, visus NEMIS naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant NEMIS naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Įrašai analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne ilgiau nei 1 metus.

19. NEMIS informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per du metus.

20. NEMIS toleruotinas neveikimo laikas yra 16 val.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

21. NEMIS naudotojai įveda, keičia, atnaujina, naikina NEMIS duomenis pagal nustatytą jų teisių lygmenį.

22. NEMIS naudotojų tapatybė ir jų veiksmai su NEMIS duomenimis atpažįstami programinėmis priemonėmis, įrašomi NEMIS duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. NEMIS duomenų bazės veiksmų žurnalo duomenys prieinami tik NEMIS administratoriui arba jį pavaduojančiam asmeniui.

23. NEMIS duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, sėkmingus ir nesėkmingus bandymus registruotis NEMIS ar veiksmus NEMIS programinei įrangai ir duomenims.

24. NEMIS naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

25. NEMIS duomenų kopijavimas atliekamas kiekvieną darbo dieną:

25.1. duomenų kopijų darymas fiksuojamas duomenų kopijų darymo žurnale;

25.2. elektroninė informacija kopijose užšifruota ir neleidžia panaudoti kopijų elektroninei informacijai atkurti neteisėtu būdu;

25.3. duomenų kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

25.4. patekimas į patalpas, kuriose laikomos kopijos, registruojamas žurnale.

26. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, duomenų gavimo iš jų tvarka nustatyta NEMIS nuostatų 29-38 punktuose.

27. NEMIS administratorius atsako už NEMIS duomenų kopijavimo saugą ir duomenų atkūrimą iš NEMIS duomenų kopijų.

28. Prarasti NEMIS duomenys atkuriami iš NEMIS duomenų kopijų.

29. NEMIS duomenų atkūrimo iš kopijų bandymai atliekami ne rečiau kaip kartą per metus.

30. NEMIS duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:

30.1. NEMIS naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai NEMIS administratoriui arba NEMIS saugos įgaliotiniui.

30.2. NEMIS administratorius nedelsdamas turi imtis veiksmų neteisėtai veiklai su NEMIS duomenimis užkirsti;

30.3. NEMIS administratorius apie Tvarkymo taisyklių 30.1 papunktyje nurodytus pažeidimus informuoja NEMIS saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią NEMIS saugą (konfidencialumą, vientisumą ar prieinamumą), NEMIS saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms ir informuoti NEMIS valdytojo vadovą.

31. NEMIS programinės įrangos keitimo, atnaujinimo, NEMIS kompiuterinės įrangos keitimo (toliau – pokyčiai) tvarka:

31.1. NEMIS naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

31.2. NEMIS programinės įrangos pokyčiai įgyvendinami tik atlikus jos testavimą;

31.3. įgyvendinant NEMIS programinės įrangos pokyčius, kurių metu galimi veikimo sutrikimai, ne vėliau kaip prieš dvi darbo dienas iki planuojamų NEMIS programinės įrangos pokyčių vykdymo pradžios, NEMIS naudotojai informuojami apie pokyčių pradžią ir galimus veiklos sutrikimus;

31.4. jei yra sudaroma paslaugų teikimo sutartis dėl NEMIS papildomo funkcionalumo kūrimo ar modernizavimo (toliau – sutartis), NEMIS pokyčių įgyvendinimo sąlygos nustatomos sutartyje;

31.5. NEMIS administratorius arba jį pavaduojantis asmuo supažindina NEMIS naudotojus su NEMIS pokyčiais.

32. NEMIS pokyčių valdymo tvarka:

32.1. NEMIS valdytojas užtikrina NEMIS pokyčių planavimą, apimantį pokyčių identifikavimą, valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas) pokyčių prioritetų nustatymo (eiliškumas) procesus;

32.2. pokyčiai identifikuojami, nustačius NEMIS naudotojų, NEMIS administratoriaus ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas, ir kitais gerosios praktikos įvardinamais atvejais;

32.3. pokyčius turi teisę inicijuoti NEMIS duomenų valdymo įgaliotinis, NEMIS saugos įgaliotinis ar NEMIS administratorius, o įgyvendinti – NEMIS administratorius arba sutartį sudaręs paslaugų teikėjas;

32.4. visi potencialūs pokyčiai registruojami, įvertinus ir NEMIS valdytojui patvirtinus įtakos vertinimą ir prioritetą, ir atliekami tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus NEMIS modernizavimo mastą;

32.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti NEMIS darbą, turi būti suderinti su NEMIS pagrindiniu tvarkytoju bei NEMIS duomenų valdymo įgaliotiniu;

32.6. prieš atlikdamas NEMIS pokyčius, kurių metu gali iškilti grėsmė duomenų ir NEMIS konfidencialumui, vientisumui ar pasiekiamumui, sutartį sudaręs paslaugų teikėjas ir (arba) NEMIS administratorius privalo pokyčius patikrinti NEMIS testinėje aplinkoje;

32.7. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kuri atskirta nuo eksploatuojamo NEMIS;

32.8. atlikę vykdomų NEMIS pokyčių testavimą sutartį sudaręs paslaugų teikėjas ir (arba) NEMIS administratorius gali pradėti įgyvendinti NEMIS pokyčius tik gavę patvirtinimą ir suderinę pokyčio diegimo grafiką su NEMIS tvarkytoju;

32.9. planuodamas NEMIS pokyčius, kurių metu galimi NEMIS veikimo sutrikimai, sutartį sudaręs paslaugų teikėjas ir(arba) NEMIS administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki NEMIS pokyčių vykdymo pradžios elektroniniu paštu informuoti NEMIS duomenų valdymo ir NEMIS saugos įgaliotinius, kitus administratorius ir vidinius NEMIS naudotojus apie tokių darbų pradžią ir galimus NEMIS veikimo sutrikimus.

33. NEMIS naudotojų pareigoms atlikti nešiojamų kompiuterių naudojimo tvarka:

33.1. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose; kelionės metu nešiojamieji kompiuteriai turi būti saugomi;

33.2. visi nešiojamieji kompiuteriai turi būti apsaugoti saugiais slaptažodžiais, vadovaujantis prieigos valdymo procedūra. Kompiuterio išdavimo metu turi būti nedelsiant pakeistas standartinis ar prieš tai nustatytas slaptažodis;

33.3. prieš perduodant nešiojamąjį kompiuterį NEMIS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

33.4. nešiojamojo kompiuterio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami.

IV SKYRIUS

REIKALAVIMAI, KELIAMI NEMIS FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

34. Sutartyje nurodoma, kad paslaugų teikėjas kuria ar modifikuoja NEMIS programinę įrangą, naudodamas:

34.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

34.2. sertifikuotą sisteminę programinę įrangą;

34.3. NEMIS testinės duomenų bazės duomenis (NEMIS taikomajai programinei įrangai) modifikuoti.

35. Prieigos prie NEMIS išteklių teises – matyti NEMIS duomenis, atlikti užklausas NEMIS ir vykdyti veiksmus su NEMIS duomenimis – NEMIS administratorius suteikia tik paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti. Paslaugų teikėjui suteikiamas tik toks prieigos lygmuo, kuris yra būtinas sutartiniams įsipareigojimams įvykdyti, laikantis visų NEMIS saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Sutartyje privalo būti apibrėžti konfidencialios informacijos išsaugojimo įsipareigojimai, kurie galioja ir pasibaigus sutarties galiojimo terminui.

36. NEMIS administratorius atsako už NEMIS kompiuterinių, programinių paslaugų teikėjams prieigos prie NEMIS išteklių suteikimą ir panaikinimą.

37. NEMIS administratorius, suteikdamas prieigos prie NEMIS išteklių teises, paslaugų teikėjo įgaliotąjį fizinį asmenį supažindina su prieigos prie NEMIS duomenų sąlygomis.

38. Pasibaigus prieigos prie NEMIS išteklių teisėms, atsiradus kitoms aplinkybėms, NEMIS administratorius nedelsdamas panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie NEMIS duomenų teisę ir apie tai nedelsdamas raštiškai ar elektroniniu paštu jį informuoja.

______________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. rugsėjo 28 d.

įsakymu Nr. V-723

NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) reglamentuoja Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos (toliau – NEMIS) naudotojų, administratorių įgaliojimus, teises, pareigas, jų supažindinimo su saugos dokumentais tvarką ir saugaus NEMIS tvarkomų duomenų teikimo NEMIS naudotojams kontrolės tvarką.

2. Administravimo taisyklės parengtos pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymu Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NEMIS duomenų saugos nuostatai).

3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, NEMIS duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Už Administravimo taisyklių įgyvendinimo organizavimą ir kontrolę atsako NEMIS saugos įgaliotinis. Už Administravimo taisyklių įgyvendinimą atsako NEMIS administratorius.

5. NEMIS naudotojų įgaliojimų, teisių, pareigų, jų supažindinimo su saugos dokumentais tvarka ir saugaus NEMIS tvarkomų duomenų teikimo NEMIS naudotojams kontrolės tvarkos principai paremti NEMIS duomenų saugumu, stabilumu, operatyvumu.

6. Administravimo taisyklės taikomos visiems NEMIS naudotojams, NEMIS administratoriui ir NEMIS saugos įgaliotiniui ir kitų institucijų darbuotojams, kurie naudojasi NEMIS.

II SKYRIUS

NEMIS NAUDOTOJŲ IR NEMIS ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. NEMIS naudotojai gali naudotis tik tomis NEMIS dalimis ir jo apdorojamais duomenimis, prie kurių prieigą jiems suteikė administratorius.

8. NEMIS naudotojų įregistravimą ir administravimą vykdo Švietimo informacinių technologijų centro (toliau – ITC) NEMIS administratorius, kuris registruoja NEMIS naudotojus.

9. NEMIS naudotojai privalo užtikrinti jų naudojamo NEMIS ir jo apdorojamų duomenų konfidencialumą, vientisumą ir pasiekiamumą, vadovaudamiesi Administravimo taisyklėse apibrėžtais reikalavimais.

10. NEMIS naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai NEMIS administratoriui arba NEMIS saugos įgaliotiniui.

11. NEMIS naudotojai turi teisę reikalauti iš NEMIS administratoriaus užtikrinti deramą jų naudojamo NEMIS ir jo apdorojamų duomenų apsaugos lygį, gauti informaciją apie taikomas apsaugos priemones ir rekomenduoti papildomas apsaugos priemones.

12. NEMIS administratorius turi teisę:

12.1. matyti institucijų visus duomenis;

12.2. tvarkyti institucijų visus duomenis;

12.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus;

12.4. stebėti funkcionavimą ir šalinti netikslumus;

12.5. kurti NEMIS naudotojų prisijungimus.

13. NEMIS naudotojai turi teisę:

13.1. matyti savo institucijos duomenis;

13.2. tvarkyti savo institucijos duomenis;

13.3. atlikti duomenų paiešką pagal pasirinktus užklausos kriterijus.

14. NEMIS administratoriaus, NEMIS naudotojų veiksmai, duomenų registravimo, duomenų koregavimo veiksmai nurodyti Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatuose, patvirtintuose 2010 m. balandžio 13 d. įsakymo Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ ir NEMIS duomenų saugos nuostatuose.

15. NEMIS administratoriaus, NEMIS naudotojų veiksmų registravimas vyksta automatiškai, tam sukurtomis programinės įrangos priemonėmis. Yra fiksuojami visi naudotojų atlikti veiksmai.

16. Už NEMIS naudotojų supažindinimą su NEMIS duomenų saugos nuostatais, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo valdymo planu, Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos administravimo taisyklėmis atsakingas NEMIS saugos įgaliotinis. NEMIS saugos įgaliotinis naujai paskirtus NEMIS naudotojus pasirašytinai supažindina su NEMIS saugos dokumentais. NEMIS naudotojas gali dirbti su NEMIS elektronine informacija tik pasirašytinai susipažinęs su NEMIS saugos dokumentais. Jei NEMIS saugos dokumentuose atsiranda pakeitimų, NEMIS saugos įgaliotinis su jais supažindina visus NEMIS naudotojus.

17. NEMIS saugos įgaliotinis duomenų saugos klausimais ne rečiau kaip kartą per metus NEMIS administratoriui ir NEMIS naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) supažindina šiuos asmenis su saugumo politiką reglamentuojančiais teisės aktais, saugaus darbo su duomenimis būdais.

18. NEMIS tvarkytojo vadovas sudaro galimybes NEMIS administratoriui, NEMIS naudotojams dalyvauti NEMIS saugos įgaliotinio organizuojamuose elektroninės informacijos saugos renginiuose.

19. NEMIS saugos įgaliotinis nedelsdamas siunčia NEMIS naudotojams elektroniniu ar kitu priimtinu būdu (paštu, faksu) priimtus naujus elektroninės informacijos saugos teisės aktus ir jų pakeitimus, informuoja apie šiems asmenims organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, priimtiems naujiems NEMIS naudotojams siunčia atmintines.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO NEMIS NAUDOTOJAMS KONTROLĖS TVARKA

20. Visi NEMIS naudotojai, dirbantys su NEMIS duomenimis, privalo turėti leidimą dirbti su NEMIS (prisijungimo vardą ir slaptažodį). Unikalus naudotojo vardas ir slaptažodis NEMIS naudotojui perduodami asmeniškai arba siunčiami elektroniniu paštu, užšifruotame dokumente. Nutraukus darbo santykius su NEMIS naudotoju, atitinkamos įstaigos vadovas ar personalo skyrius (ar padalinys (asmuo), atsakingas už personalą) informuoja el. paštu ir / ar paprastu paštu apie tai NEMIS administratorių, kuris panaikina NEMIS naudotojo prisijungimo vartotojo vardą ir slaptažodį.

21. NEMIS administratorius, vadovaudamasis ITC direktoriaus tvirtinama Leidimų dirbti su NEMIS asmens duomenimis išdavimo tvarka, pagal rašytinį prašymą NEMIS naudotojui suteikia unikalų prisijungimo prie NEMIS vardą ir pirminį slaptažodį, kurį perduoda NEMIS naudotojui asmeniškai arba išsiunčia elektroniniu paštu.

22. NEMIS naudotojo tapatybė nustatoma vadovaujantis naudotojo pateikta prašymo suteikti prisijungimą prie NEMIS anketa, kuri yra tvirtinama ITC direktoriaus Leidimų dirbti su NEMIS asmens duomenimis išdavimo tvarkoje. NEMIS naudotojui jungiantis prie NEMIS, jo tapatybė nustatoma pagal unikalų NEMIS naudotojo prisijungimo vardą, patvirtinamą asmeniniu slaptažodžiu.

23. Unikalus prisijungimo vardas ir pirminis slaptažodis žinomi tik NEMIS administratoriui ir NEMIS naudotojui.

24. Suteiktas naudotojo vardas nekeičiamas ir negali būti suteiktas kitam NEMIS naudotojui.

25. Pirmo prisijungimo prie NEMIS metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

26. NEMIS naudotojo slaptažodžiui yra keliami šie reikalavimai:

26.1. slaptažodis formuojamas iš raidžių, skaičių ir specialiųjų simbolių;

26.2. slaptažodžiui neturi būti naudojama asmeninio pobūdžio informacija;

26.3. draudžiama slaptažodžius atskleisti tretiems asmenims;

26.4. NEMIS dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

26.5. Slaptažodžiai negali būti saugomi atviru tekstu;

26.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 3 kartai. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, NEMIS turi užsirakinti ir neleisti NEMIS naudotojui identifikuotis. Atblokuoti NEMIS naudotojo prisijungimą gali tik NEMIS administratorius.

27. Papildomi reikalavimai NEMIS naudotojų slaptažodžiams:

27.1. gavęs NEMIS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie NEMIS, nedelsdamas slaptažodį pakeisti ir jį įsiminti;

27.2. privalo keisti slaptažodį ne rečiau kaip kartą per 3 mėnesius;

27.3. slaptažodį turi sudaryti ne mažiau kaip 6 simboliai, kurie negali kartotis;

27.4. keisdamas slaptažodį, turi bent kartą slaptažodį pakartoti;

27.5. neturi teisės palikti užrašyto slaptažodžio matomoje vietoje;

27.6. pamiršęs slaptažodį, privalo kreiptis į NEMIS administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį;

27.7. įtaręs, kad tretieji asmenys žino jo slaptažodį, nedelsdamas privalo slaptažodį pakeisti.

28. Naujai paskirtam NEMIS naudotojui NEMIS administratorius suteikia naują prisijungimo vardą ir pirminį slaptažodį.

29. NEMIS administratorius nedelsdamas blokuoja netekusio teisės dirbti su NEMIS duomenimis NEMIS naudotojo prisijungimo vardą ir slaptažodį. Nuotoliniam prisijungimui prie NEMIS išoriniams naudotojams papildomi reikalavimai nekeliami. Nuotolinis prisijungimas galimas tik saugiu HTTP protokolu – HTTPS. Priklausomai nuo informacijos pateikimo į NEMIS būdo, nuotolinis prisijungimas papildomai gali būti kontroliuojamas pagal prie NEMIS besijungiančio kompiuterio IP adresą.

_______________________

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. rugsėjo 28 d.

įsakymu Nr. V-723

NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) nustato Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos (toliau – NEMIS) tvarkytojo, NEMIS naudotojų, Švietimo informacinių technologijų centro (toliau – ITC) NEMIS administratoriaus, NEMIS saugos įgaliotinio – veiksmus esant elektroninės informacijos saugos incidentui NEMIS tvarkymo įstaigoje, kurios metu gali kilti pavojus NEMIS duomenims, NEMIS kompiuterinės, programinės įrangos funkcionavimui.

2. Planas parengtas pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos saugos nuostatus, patvirtintus Švietimo ir mokslo ministro 2010 m. balandžio 13 d. įsakymo Nr. V-515 „Dėl Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NEMIS duomenų saugos nuostatai).

3. Plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, NEMIS duomenų saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Planas taikomas įvykus elektroninės informacijos saugos incidentui ir (ar) aplinkybėms (pvz.: gaisras, gamtos veiksniai, įrangos gedimai ir kt.), keliantiems pavojų NEMIS naudotojų, NEMIS administratoriaus, NEMIS saugos įgaliotinio gyvybei ar sveikatai, dėl kurių gali būti prarandama įranga arba duomenys.

5. Planas privalomas NEMIS tvarkytojui, NEMIS valdytojui, NEMIS saugos įgaliotiniui, NEMIS administratoriui ir NEMIS naudotojams.

6. Prieinamumas prie NEMIS informacijos užtikrinamas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

7. NEMIS veiklos atkūrimas užtikrinamas ne ilgiau kaip per 16 (šešiolika) valandų.

8. Už Plano įgyvendinimą atsako NEMIS tvarkytojas, NEMIS naudotojai, NEMIS administratorius. Už Plano įgyvendinimo organizavimą ir kontrolę atsako NEMIS saugos įgaliotinis.

9. NEMIS tvarkytojo, NEMIS naudotojų, NEMIS administratoriaus, NEMIS saugos įgaliotinio – įgaliojimai, kurie yra suteikiami įvykus saugos incidentui bei funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos veiklos tęstinumo detaliajame plane (toliau – Detalus planas) (Plano 1 priedas).

10. Elektroninės informacijos saugos incidento metu patirti nuostoliai NEMIS tvarkytojo įstaigoje padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

11. Kriterijai, pagal kuriuos nustatoma, kad NEMIS veikla atkurta, yra:

11.1. nuolat atnaujinami NEMIS duomenys;

11.2. išsaugomi atnaujinti NEMIS duomenys;

11.3. pasiekiami NEMIS duomenys darbo dienomis;

11.4. susijusių registrų nuolat teikiami duomenys, atnaujinami NEMIS;

11.5. duomenys, formuojami ir teikiami NEMIS duomenų gavėjams, duomenų teikimo sutartyje nustatytomis sąlygomis arba pagal gavėjo prašymą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. NEMIS veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis:

12.1. ITC direktorius (veiklos tęstinumo valdymo grupės vadovas);

12.2. ITC direktoriaus pavaduotojas (veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

12.3. ITC AIKOS ir integralių IS skyriaus vedėjas;

12.4. NEMIS saugos įgaliotinis;

12.5. NEMIS duomenų valdymo įgaliotinis.

13. Veiklos tęstinumo valdymo grupės funkcijos:

13.1. elektroninės informacijos saugos incidento analizė ir sprendimų NEMIS veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų NEMIS veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;

13.6. NEMIS duomenų fizinė sauga įvykus elektroninės informacijos saugos incidentui;

13.7. logistika (žmonių, daiktų, įrangos gabenimas organizavimas ir jų gabenimas);

13.8. kitos veiklos tęstinumo valdymo grupei pavestos funkcijos.

14. NEMIS veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis:

14.1. ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas);

14.2. NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

14.3. NEMIS administratorius.

15. Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už jų vykdymą:

15.1. NEMIS veiklos atkūrimo priežiūra ir koordinavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas);

15.2. tarnybinės stoties veiklos atkūrimo organizavimas – funkciją vykdo NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), NEMIS administratorius;

15.3. kompiuterių tinklo veikimo atkūrimo organizavimas – funkciją vykdo NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), NEMIS administratorius;

15.4. NEMIS duomenų atkūrimo organizavimas – funkciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), NEMIS administratorius;

15.5. taikomųjų programų tinkamo veikimo atkūrimo organizavimas – funkciją vykdo NEMIS administratorius;

15.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas – funkciją vykdo NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), NEMIS administratorius;

15.7. kitos veiklos atkūrimo grupei pavestos funkcijos – funkcijas pagal kompetenciją vykdo ITC direktoriaus pavaduotojas (veiklos atkūrimo grupės vadovas), NEMIS saugos įgaliotinis (veiklos atkūrimo grupės vadovo pavaduotojas), NEMIS administratorius.

16. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja susirinkimą kartą per metus arba įvykus esminių pokyčių NEMIS.

17. Įvykus elektroninės informacijos saugos incidentui ITC patalpose, kuriose yra NEMIS tarnybinės stoties administravimo kompiuterinė ir programinė įranga:

17.1. NEMIS administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą NEMIS saugos įgaliotinį, ir ŠVIS ir statistikos skyriaus vedėją;

17.2. ŠVIS ir statistikos skyriaus vedėjas apie elektroninės informacijos saugos incidentą nedelsdamas informuoja ITC direktorių;

17.3. NEMIS saugos įgaliotinis informaciją įrašo Elektroninės informacijos saugos incidentų registravimo žurnale (Plano 2 priedas), vadovauja Detaliajame plane nurodytiems veiksmams;

17.4. NEMIS administratorius atkuria NEMIS tarnybinės stoties, kompiuterių tinklo veiklą, NEMIS duomenis, NEMIS kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja ITC AIKOS ir integralių IS skyriaus vedėją ir NEMIS saugos įgaliotinį;

17.5. NEMIS saugos įgaliotinis organizuoja žalos NEMIS duomenims, NEMIS kompiuterinei, programinei įrangai vertinimą, koordinuoja NEMIS veiklai atkurti kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos įsigijimą.

18. Įvykus elektroninės informacijos saugos incidentui, reguliarus ir pastovus bendravimas veiklos tęstinumo valdymo grupėje ir veiklos atkūrimo grupėse vyksta elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.

19. ITC darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, o veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių tarnybinio mobiliojo ir namų telefonų numeriai ir gyvenamosios vietos adresai, saugomas ITC Sisteminio-techninio aptarnavimo skyriuje.

20. Elektroninės informacijos saugos incidento metu sunaikinta kompiuterinė įranga, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

21. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių tęsti veiklą pagrindinėse patalpose, Detalus planas užtikrina NEMIS veiklos atnaujinimą atsarginėse patalpose (ITC administracinio pastato pirmas aukštas, adresas: Suvalkų g. 1, Vilnius, LT-03106) per tokį laikotarpį, kad nebūtų nusižengta ITC įsipareigojimams, susijusiems su NEMIS veikla. Atsarginėms patalpoms keliami šie reikalavimai:

21.1. patalpose turi būti įrengta langų ir durų fizinė apsauga. Languose įrengtos švieslaidės ir metalinės grotos, rakinamos, šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

21.2. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos;

21.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės. Vykdoma gaisro gesinimo priemonių patikra;

21.4. patalpos turi būti rakinamos ir yra atskirtos nuo bendro naudojimo patalpų;

21.5. asmenys, nesusiję su NEMIS duomenų tvarkymu, patekti į šias patalpas gali tik NEMIS administratoriaus, administratorių pavaduojančio asmens lydimi;

21.6. patekimas į tarnybinių stočių patalpas turi būti registruojamas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

22. Minimalus NEMIS veiklai atkurti, nesant NEMIS administratoriaus, personalui reikalingos kompetencijos lygis ir minimali funkcionalumo informacinių technologijų įranga, tinkama NEMIS poreikiams ir atitinkamai NEMIS veiklai elektroninės informacijos saugos incidento metu užtikrinti, reglamentuota Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos specifikacijoje (toliau – NEMIS specifikacija), patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas NEMIS administratorių.

23. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai NEMIS veiklai užtikrinti, aprašymas pateikiamas NEMIS specifikacijoje, patvirtintoje švietimo ir mokslo ministro, saugoma ITC AIKOS ir integralių IS skyriuje, pas NEMIS administratorių (pagal pareigines instrukcijas). Atkuriant NEMIS veiklą elektroninės informacijos saugos incidento metu, būtinos 2 tarnybinės stotys ir interneto linija, kurios minimalus greitis 2 Mb/s.

24. ITC patalpų, kuriose yra NEMIS tarnybinės stoties administravimo kompiuterinė įranga, sisteminė ir taikomoji programinė įranga, detalieji pastato planai parengti ūkvedžio ir patvirtinti ITC direktoriaus saugomi ITC Ūkio ir personalo skyriuje, pas skyriaus vadovą.

25. NEMIS tarnybinės stoties administravimo, NEMIS kompiuterinės ir programinės įrangos aprašai saugomi ITC Sisteminio-techninio aptarnavimo skyriuje.

26. NEMIS duomenų, NEMIS programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys, NEMIS specifikacija saugoma ITC AIKOS ir integralių IS skyriuje, pas NEMIS administratorių.

27. NEMIS atsarginių duomenų kopijos daromos ITC direktoriaus patvirtintame Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos atsarginių duomenų kopijų darymo apraše, patvirtintame ITC direktoriaus, nurodyta tvarka ir saugomos ITC Sisteminio-techninio aptarnavimo skyriuje. Už NEMIS atsarginių duomenų kopijų darymą, saugojimą, duomenų iš NEMIS atsarginių duomenų kopijų atkūrimą atsako ITC direktoriaus įsakymu paskirtas ITC Sisteminio-techninio aptarnavimo skyriaus specialistas – NEMIS administratorius.

28. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis saugomas ITC AIKOS ir integralių IS skyriuje, pas NEMIS administratorių.

29. ITC interneto svetainėje skelbiami NEMIS duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. NEMIS saugos įgaliotinis, per kalendorinius metus įvertinęs ITC rizikos veiksnių galimybes, išnagrinėjęs Elektroninės informacijos saugos incidentų registravimo žurnale įrašus, kartą per metus – iki gruodžio 31 dienos – rengia Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos rizikos įvertinimo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), prireikus saugos įgaliotinis gali organizuoti neeilinį NEMIS įvertinimą. Ataskaitą tvirtina ITC direktorius.

31. Plano veiksmingumo išbandymo data nustatoma kiekvienais metais sausio mėnesį. Nustatytą dieną imituojamos elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidentų metu veiksmus. Atsarginėje NEMIS tarnybinėje stotyje iš atsarginių NEMIS duomenų kopijose esamų duomenų atkuriami NEMIS duomenys.

32. NEMIS saugos įgaliotinis atsakingas už Plano veiksmingumą. Už pastebėtų Plano trūkumų ataskaitos parengimą ir teikimą NEMIS valdytojui atsakingas NEMIS saugos įgaliotinis.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

______________________

Nesimokančių vaikų ir mokyklos

nelankančių mokinių informacinės

sistemos veiklos tęstinumo valdymo

plano

1 priedas

NESIMOKANČIŲ VAIKŲ IR MOKYKLOS NELANKANČIŲ MOKINIŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Elektroninės informacijos incidentas	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Pasekmės likvidavimo atsakingi vykdytojai
1. Pavojingų gamtinių reiškinių sukeltas incidentas	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC ŠVIS ir statistikos skyriaus vedėjas
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	NEMIS saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	NEMIS administratorius
	1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	ITC ŠVIS ir statistikos skyriaus vedėjas
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
	1.4. Asmenims, dirbantiems pavojaus vietoje, rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
		1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	NEMIS saugos įgaliotinis
		1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	NEMIS priežiūros administratorius
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	NEMIS priežiūros administratorius
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	NEMIS saugos įgaliotinis
	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	NEMIS administratorius
	2.1. Ugniagesių tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC AIKOS ir integralių IS skyriaus vedėjas
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	NEMIS saugos įgaliotinis
	2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	NEMIS saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvos stadijos gaisro gesinimas, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC ŠVIS ir statistikos skyriaus vedėjas
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	NEMIS administratorius
	3.1. Teisėsaugos tarnybos informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	ITC ŠVIS ir statistikos skyriaus vedėjas
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	NEMIS saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	ITC ŠVIS ir statistikos skyriaus vedėjas
	3.3. Patalpų užrakinimas, jei yra galimybė
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	NEMIS saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	NEMIS saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	ITC direktoriaus pavaduotojas
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	ITC ŠVIS ir statistikos skyriaus vedėjas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti pavojaus zonoje	NEMIS saugos įgaliotinis
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	NEMIS saugos įgaliotinis
	4.2. Atsarginių patalpų įrengimas	4.2.1. Darbuotojų informavimas apie darbą patalpose	ITC ŠVIS ir statistikos skyriaus vedėjas
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos kompiuterinės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų pašalinimo organizavimas	ITC direktoriaus pavaduotojas
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	ITC direktoriaus pavaduotojas
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	NEMIS saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	NEMIS saugos įgaliotinis
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	ITC direktoriaus pavaduotojas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	NEMIS saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	NEMIS saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	ITC direktoriaus pavaduotojas
	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų	ITC direktoriaus pavaduotojas
	7.3. Sutrikimo šalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	ITC direktoriaus pavaduotojas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas, instruktavimas, jų veiksmų nustatymas	ITC direktoriaus pavaduotojas
	8.2. Elektroninės informacijos saugos incidento pasekmės šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	ITC direktoriaus pavaduotojas
		8.2.2. Įsigytos įrangos skyrimas NEMIS tvarkymo įstaigai	ITC direktoriaus pavaduotojas
		8.2.2. Įsigytos įrangos skyrimas NEMIS tvarkymo įstaigai	ITC direktoriaus pavaduotojas
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	ITC ŠVIS ir statistikos skyriaus vedėjas NEMIS administratorius
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas
	9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų skyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	NEMIS saugos įgaliotinis
		9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir vykdyti jų nurodymus	ITC direktoriaus pavaduotojas
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	ITC direktoriaus pavaduotojas
10. Dokumentų praradimas		Prarastų dokumentų gavimas	ITC ŠVIS ir statistikos skyriaus vedėjas
11. Darbuotojų praradimas	Elektroninės informacijos saugos incidento pasekmės įvertinimas	Trūkstamų darbuotojų paieška ir priėmimas į darbą	ITC direktorius

___________________

Nesimokančių vaikų ir mokyklos

nelankančių mokinių informacinės

sistemos veiklos tęstinumo valdymo

plano

2 priedas

(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20 __m. _____mėn. _____d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	NEMIS tvarkytojo įstaigos pavadinimas	požymio kodas	įvykio aprašymas	pradžia (metai, mėnuo, diena, valanda)	pabaiga (metai, mėnuo, diena, valanda)	pašalino (vardas, pavardė)	NEMIS saugos įgaliotinis (vardas, pavardė, parašas)
1
2
3
4
5
6

Elektroninės informacijos saugos incidentų požymiai:

1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpų pažeidimas arba praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas.

_______________________________

Nesimokančių vaikų ir mokyklos

nelankančių mokinių informacinės

sistemos veiklos tęstinumo valdymo

plano

3 priedas

(Rizikos įvertinimo ataskaitos formos pavyzdys)

TVIRTINU

Švietimo informacinių technologijų centro direktorius

(Parašas)

(Vardas ir pavardė)

(Data)

RIZIKOS ĮVERTINIMO ATASKAITA

20__ m. pusmetis

Rizikos veiksniai	Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinės sistemos tvarkytojo įstaigos pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai		pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpų pažeidimas arba praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties, komutacinės įrangos sugadinimas
9. Programinės įrangos sugadinimas, praradimas
10. Duomenų pakeitimas, praradimas. Dokumentų praradimas
11. Darbuotojų praradimas

NEMIS saugos įgaliotinis ___________________________________ __________________________

(vardas, pavardė) (parašas)

_______________________________