Svietimo portalo saugos nusotatai

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2017 m. kovo 16 d. Nr. V-177

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 punktu:

1. T v i r t i n u Švietimo portalo informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u Švietimo informacinių technologijų centrui per 3 mėnesius nuo šio įsakymo įsigaliojimo:

2.1. pateikti švietimo ir mokslo ministrui tvirtinti Švietimo portalo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Švietimo portalo informacinės sistemos veiklos tęstinumo valdymo planą, Švietimo portalo informacinės sistemos naudotojų administravimo taisykles;

2.2. paskirti Švietimo portalo informacinės sistemos saugos įgaliotinį.

Švietimo ir mokslo ministrė Jurgita Petrauskienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017 m. kovo 3 d. raštu Nr. 1D-1234

PATVIRTINTA

Lietuvos Respublikos švietimo ir mokslo

ministro 2017 m. kovo 13 d.

įsakymu Nr. V-177

ŠVIETIMO PORTALO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Švietimo portalo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Švietimo portale tvarkomos elektroninės informacijos saugos tikslus, elektroninės informacijos saugos užtikrinimo prioritetines kryptis, saugų elektroninės informacijos valdymą, organizacinius, techninius ir personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus, apibrėžia elektroninės informacijos saugos politiką.

2. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos dokumentų turinio gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Švietimo portalo nuostatuose, patvirtintuose Lietuvos Respublikos švietimo ir mokslo ministro 2016 m. gegužės 7 d. įsakymu Nr. V-499 „Dėl Švietimo portalo informacinės sistemos nuostatų patvirtinimo“ (toliau – Švietimo portalo nuostatai), Lietuvos Respublikos standartuose LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.

3. Švietimo portalo elektroninės informacijos saugumas užtikrinamas, vadovaujantis šiomis prioritetinėmis kryptimis:

3.1. įgyvendinant atliekamų veiksmų su Švietimo portalo elektronine informacija automatinį stebėjimą ir įrašų kaupimą;

3.2. suteikiant naudotojams prieigos teises prie Švietimo portalo elektroninės informacijos ir identifikuojant Švietimo portalo naudotojų tapatumą;

3.3. kopijuojant Švietimo portalo duomenų bazę, saugant archyve esančias kopijas;

3.4. saugant Švietimo portalo elektroninę informaciją nuo žalingos programinės įrangos poveikio;

3.5. įrengiant saugias Švietimo portalui tvarkyti skirtas patalpas ir kompiuterizuotas darbo vietas jose;

3.6. tobulinant Švietimo portalo naudotojų kvalifikaciją;

3.7. įgyvendinant Švietimo portalo elektroninės informacijos integralumą su švietimo ir mokslo registrais ir informacinėmis sistemomis;

3.8. įgyvendinant Švietimo portalo elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio Švietimo portalo programinei, techninei įrangai ir (ar) Švietimo portalo programinės įrangos modifikavimo;

3.9. įgyvendinant Švietimo portalo veiklos tęstinumą.

4. Švietimo portalo elektroninės informacijos saugumo užtikrinimo tikslas – sudaryti sąlygas automatizuotu būdu saugiai rinkti, apdoroti, kaupti, saugoti Švietimo portalo elektroninę informaciją ir ją teikti švietimo ir mokslo registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.

5. Saugos nuostatai nustato Švietimo portalo saugos politiką (toliau – saugos politika). Saugos politika įgyvendinama, vadovaujantis Švietimo portalo saugaus elektroninės informacijos tvarkymo taisyklėmis, Švietimo portalo veiklos tęstinumo valdymo planu, Švietimo portalo naudotojų administravimo taisyklėmis ir kitais teisės aktais, reglamentuojančiais Švietimo portalo duomenų tvarkymo teisėtumą ir saugų duomenų valdymą.

6. Saugos nuostatai, Švietimo portalo saugaus elektroninės informacijos tvarkymo taisyklės, Švietimo portalo veiklos tęstinumo valdymo planas, Švietimo portalo naudotojų administravimo taisyklės (toliau visi kartu – Švietimo portalo saugos dokumentai) privalomi:

6.1. Švietimo portalo valdytojui – Švietimo ir mokslo ministerijai;

6.2. Švietimo portalo tvarkytojui – Švietimo informacinių technologijų centrui;

6.3. Švietimo portalo naudotojams;

6.4. Švietimo portalo saugos įgaliotiniui;

6.5. Švietimo portalo sisteminės priežiūros ir tvarkymo administratoriams.

7. Švietimo portalo valdytojas:

7.1. pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;

7.2. tvirtina Švietimo portalo saugos dokumentus ir kitus teisės aktus, kuriuose reglamentuojamas Švietimo portalo tvarkymo teisėtumas ir Švietimo portalo elektroninės informacijos sauga;

7.3. koordinuoja Švietimo portalo tvarkytojo darbą;

7.4. analizuoja Švietimo portalo tvarkytojo pateiktus siūlymus, priima sprendimus dėl Švietimo portalo techninių ir programinių priemonių, būtinų Švietimo portalo elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.5. atlieka kitas Švietimo portalo nuostatų ir Švietimo portalo saugos dokumentuose jam nustatytas funkcijas.

8. Švietimo portalo tvarkytojas:

8.1. pagal kompetenciją atsako už Švietimo portalo elektroninės informacijos tvarkymo teisėtumą ir saugą;

8.2. užtikrina tinkamų organizacinių ir techninių priemonių, skirtų elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;

8.3. pagal kompetenciją vykdo reikalavimus, nustatytus Švietimo portalo saugos dokumentuose;

8.4. teikia siūlymus Švietimo portalo valdytojui dėl Švietimo portalo elektroninės informacijos saugos tobulinimo, Švietimo portalo saugos dokumentų priėmimo, keitimo arba panaikinimo, taip pat rengia Švietimo portalo saugos dokumentų projektus;

8.5. užtikrina, kad Švietimo portalo naudotojai, turintys teisę naudotis Švietimo portalo elektronine informacija, laikytųsi reikalavimų, nustatytų Švietimo portalo saugos dokumentuose;

8.6. atlieka Švietimo portalo duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Švietimo portalo veikimą;

8.7. užtikrina saugią Švietimo portalo sąveiką su kitomis informacinėmis sistemomis ir registrais;

8.8. užtikrina saugų Švietimo portalo funkcijų pokyčių įgyvendinimą;

8.9. teikia siūlymus Švietimo portalo valdytojui dėl Švietimo portalo techninių ir programinių priemonių, būtinų Švietimo portalo elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;

8.10. skiria Švietimo portalo saugos įgaliotinį, paveda jam organizuoti Švietimo portalo saugos politiką ir kontroliuoti jos įgyvendinimą;

8.11. skiria Švietimo portalo sisteminės priežiūros ir tvarkymo administratorius, paveda jiems vykdyti Švietimo portalo administravimo funkcijas, nustatytas Švietimo portalo nuostatuose ir Švietimo portalo saugos dokumentuose;

8.12 teikia informaciją apie Švietimo portalo saugos politikos įgyvendinimą;

8.13. atlieka kitas Švietimo portalo valdytojo pavestas Švietimo portalo nuostatuose, Švietimo portalo saugos dokumentuose jam priskirtas funkcijas.

9. Švietimo portalo saugos įgaliotinis:

9.1. atsako už tinkamą Švietimo portalo elektroninės informacijos saugos priemonių įgyvendinimą;

9.2. teikia Švietimo portalo tvarkytojo vadovui siūlymus dėl Švietimo portalo sisteminės priežiūros ir tvarkymo administratoriaus paskyrimo ir reikalavimų jiems nustatymo;

9.3. teikia Švietimo portalo tvarkytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;

9.4. teikia Švietimo portalo valdytojui siūlymus dėl Švietimo portalo saugos dokumentų priėmimo arba keitimo;

9.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Švietimo portale, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

9.6. organizuoja Švietimo portalo rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;

9.7. teikia sisteminės priežiūros ir tvarkymo administratoriams ir Švietimo portalo naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Švietimo portalo saugos politikos įgyvendinimu;

9.8. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems Švietimo portalo tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

9.9. supažindina sisteminės priežiūros ir tvarkymo administratorius ir Švietimo portalo naudotojus su Švietimo portalo saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Švietimo portalo naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

9.10. atlieka kitas Švietimo portalo tvarkytojo vadovo pavestas, Švietimo portalo saugos dokumentuose jam priskirtas funkcijas.

10. Švietimo portalo administratorių funkcijos::

10.1. Švietimo portalo sisteminės priežiūros administratorius:

10.1.1. užtikrina Švietimo portalo techninės ir programinės įrangos įdiegimą ir funkcionavimą;

10.1.2. diegia ir prižiūri programinę įrangą, reikalingą Švietimo portalo naudotojų funkcijoms vykdyti;

10.1.3. suteikia teisę Švietimo portalo naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;

10.1.4. užtikrina Švietimo portalo duomenų bazėje naudojamų klasifikatorių atnaujinimą automatiniu būdu;

10.1.5. užtikrina Švietimo portalo komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Švietimo portalo pažeidžiamas vietas;

10.1.6. užtikrina sąveikos su susijusiais registrais ir informacinėmis sistemomis technologinį funkcionavimą;

10.1.7. užtikrina, kad Švietimo portalo elektroninė informacija, gauta iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinama ir atitiktų susijusiuose registruose ir informacinėse sistemose esančią elektroninę informaciją;

10.1.8. pagal kompetenciją dalyvauja, vykdant saugumo reikalavimų įgyvendinimo stebėseną;

10.1.9. pagal kompetenciją teikia Švietimo portalo tvarkytojo vadovui siūlymus dėl Švietimo portalo palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

10.1.10. informuoja Švietimo portalo saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

10.1.11. atsako už Švietimo portalo duomenų bazės saugų atsarginių kopijų darymą ir archyve esančių kopijų saugojimą;

10.1.12. atlieka kitas Švietimo portalo tvarkytojo vadovo, Švietimo portalo saugos įgaliotinio pavestas, Švietimo portalo saugos dokumentuose jam nustatytas funkcijas.

10.2. Švietimo portalo tvarkymo administratorius:

10.2.1. administruoja ir tvarko Švietimo portalo duomenų bazę, užtikrina tinkamą ir nepertraukiamą Švietimo portalo veikimą;

10.2.2. administruoja Švietimo portalo naudotojų prieigą prie Švietimo portalo elektroninės informacijos – suteikia jiems teises ir identifikuoja tapatumą;

10.2.3. administruoja Švietimo portalo naudotojų veiksmų automatinį stebėjimą;

10.2.4. informuoja gavėjus, kuriems buvo perduota neteisinga, netiksli, neišsami Švietimo portalo elektroninė informacija, apie ištaisytus netikslumus;

10.2.5. pagal kompetenciją dalyvauja, vykdant duomenų saugos reikalavimų įgyvendinimo stebėseną;

10.2.6. pagal kompetenciją teikia Švietimo portalo tvarkytojo vadovui siūlymus dėl Švietimo portalo palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

10.2.7. informuoja Švietimo portalo saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

10.2.8. atlieka kitas Švietimo portalo tvarkytojo vadovo, Švietimo portalo saugos įgaliotinio pavestas, Švietimo portalo saugos dokumentuose jam nustatytas funkcijas.

11. Švietimo portalo tvarkytojas užtikrina, kad naudotojai laikytųsi Švietimo portalo saugos dokumentuose nurodytų reikalavimų.

12. Teisės aktai, kuriais vadovaujamasi, tvarkant Švietimo portalo elektroninę informaciją ir užtikrinant jos saugumą:

12.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

12.2. Lietuvos Respublikos dokumentų ir archyvų įstatymas;

12.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

12.4. Lietuvos respublikos asmens duomenų teisinės apsaugos įstatymas;

12.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

12.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

12.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

12.8. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

12.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

12.10. Lietuvos standartai LST ISO/IEC 27002:2014, LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;

12.11. Švietimo portalo saugos dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9 punktu, Švietimo portale tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai. Priskyrimo šiai elektroninės informacijos svarbos kategorijai kriterijai: Švietimo portalo elektroninės informacijos praradimas gali pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus ir lemti, kad nebus atliekama svarbi funkcija ministrui pavestoje valdymo srityje.

14. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.3 papunkčiu, Švietimo portalo priskiriamas trečiajai informacinių sistemų kategorijai. Priskyrimo šiai informacinių sistemų kategorijai kriterijus – Švietimo portalo apdorojama vidutinės svarbos elektroninė informacija.

15. Švietimo portalo saugos įgaliotinis:

15.1. atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Švietimo portalo rizikos įvertinimą. Pasikeitus Švietimo portalo duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis Švietimo portalo rizikos įvertinimas;

15.2. Švietimo portalo rizikos įvertinimą išdėsto Švietimo portalo įvertinimo ataskaitoje. Švietimo portalo įvertinimo ataskaita rengiama, atsižvelgus į rizikos veiksnius, galinčius turėti ar turinčius įtakos Švietimo portalo elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę, galimus rizikos valdymo būdus. Svarbiausieji rizikos veiksniai yra šie:

15.2.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis elektronine informacija, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

15.2.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;

15.3. patvirtintą Rizikos įvertinimo ataskaitos kopiją paštu išsiunčia Švietimo portalo valdytojui.

16. Švietimo portalo tvarkytojo vadovui patvirtinus Švietimo portalo įvertinimo ataskaitą, prireikus rengiamas Švietimo portalo rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame numatomos techninės ir administracinės veiksnius šalinančios priemonės, priemonių vykdymo terminai, vykdytojai ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Švietimo portalo rizikos įvertinimo ir rizikos valdymo priemonių planą tvirtina Švietimo portalo valdytojas.

17. Švietimo portalo elektroninei informacijai, techninei, programinei įrangai, patalpoms Švietimo portalo tvarkytojo įstaigoje vertinti naudojama penkiabalė rizikos veiksnių tikėtumo ir žalos vertinimo metodika:

17.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

17.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

17.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

17.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

17.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

18. Švietimo portalo saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius Švietimo portalo elektroninės informacijos vientisumui ir prieinamumui.

19. Švietimo portalo elektroninės informacijos saugos priemonių parinkimo pagrindiniai principai yra tokie:

19.1. saugos priemonės turi būti valdomos centralizuotai;

19.2. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

19.3. likutinė rizika turi būti sumažinta iki priimtino lygio;

19.4. kur galima, būtina įdiegti prevencines informacijos saugos priemones;

19.5. Švietimo portalo veiklos tęstinumo ir elektroninės informacijos sauga turi būti užtikrinama, patiriant kuo mažiau išlaidų.

20. Siekiant įvertinti Švietimo portalo saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas Švietimo portalo informacinių technologijų saugos atitikties vertinimas:

20.1. įvertinama Švietimo portalo saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

20.2. inventorizuojama Švietimo portalo techninė ir programinė įranga;

20.3. patikrinama (įvertinama) Švietimo portalo naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis Švietimo portalo saugos dokumentams;

20.4. įvertinamas pasirengimas užtikrinti Švietimo portalo veiklos tęstinumą, įvykus saugos incidentui.

21. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama Švietimo portalo informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Švietimo portalo tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato Švietimo portalo valdytojo vadovas.

22. Švietimo portalo įvertinimo ataskaitos, Švietimo portalo rizikos įvertinimo ir rizikos valdymo priemonių plano, Švietimo portalo informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Švietimo portalo valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Programinės įrangos, skirtos Švietimo portalo nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

23.1. Švietimo portalo tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

23.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose tarnybinės stoties rinkmenose ir visuose kompiuterių tinklo kompiuteriuose;

23.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

23.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas.

24. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

24.1. turi būti naudojama tik legali, Švietimo portalo funkcijoms vykdyti būtina programinė įranga;

24.2. programinė įranga turi būti nuolatos atnaujinama, laikantis gamintojo reikalavimų;

24.3. programinę įrangą diegti, šalinti ir konfigūruoti gali tik Švietimo portalo sisteminės priežiūros ir tvarkymo administratorius;

24.4. turi būti įdiegta prieigos prie Švietimo portalo elektroninės informacijos per registravimąsi, teisių suteikimą ir slaptažodžius sistema;

24.5. turi būti įgyvendinta prievolė ne rečiau kaip kas tris mėnesius keisti slaptažodžius;

24.6. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Švietimo portalo elektroninės informacijos, atliktus veiksmus.

25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

25.1. Švietimo portalo elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

25.2. Švietimo portalo programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS);

25.3. informacinės sistemos tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Švietimo portalo naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

26. Leistinos kompiuterių naudojimo ribos:

26.1. stacionarūs ir nešiojamieji Švietimo portalo naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Švietimo portalo duomenys ir Švietimo portalo informacija;

26.2. nešiojamieji kompiuteriai gali būti naudojami tik suvestiniams (viešiems) Švietimo portalo duomenims ir negali būti naudojami Švietimo portalo duomenims registruoti, kaupti ir apdoroti;

26.3. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis;

26.4. Švietimo portalo naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo;

26.5. kai nešiojamieji kompiuteriai nenaudojami, jie turi būti saugomi saugioje vietoje;

26.6. Švietimo portalo tvarkytojo stacionarų kompiuterį prijungti prie Švietimo portalo kompiuterių tinklo gali tik Švietimo portalo sisteminės priežiūros ir tvarkymo administratorius.

27. Metodai, kuriais užtikrinamas saugus Švietimo portalo elektroninės informacijos teikimas ir (ar) gavimas:

27.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;

27.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

27.3. prieigos prie Švietimo portalo elektroninės informacijos teises gali suteikti tik Švietimo portalo sisteminės priežiūros ir tvarkymo administratorius. Švietimo portalo naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

27.4. prieiga prie Švietimo portalo elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Švietimo portalo elektroninės informacijos valdymas apibrėžtas Švietimo portalo naudotojų administravimo taisyklėse;

27.5. pasibaigus Švietimo portalo naudotojo darbo sutarčiai, teisė naudotis Švietimo portalo elektronine informacija turi būti panaikinta. Švietimo portalo naudotojui prieiga prie Švietimo portalo turi būti ribojama ar sustabdoma, kai vyksta Švietimo portalo naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

28. Švietimo portalo atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai Švietimo portalo duomenų bazei. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik sisteminės priežiūros ir tvarkymo administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Švietimo portalo saugaus elektroninės informacijos tvarkymo taisyklėse.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

29. Švietimo portalo saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų, ir taisyklių pažeidimą, jeigu nuo jo paskyrimo praėję mažiau kaip vieneri metai.

30. Švietimo portalo saugos įgaliotinis turi:

30.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

30.2. sugebėti vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;

30.3. tobulinti kvalifikaciją elektroninės informacijos saugos srityje;

30.4. savo darbe vadovautis Švietimo portalo saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

31. Švietimo portalo sistemų priežiūros ir tvarkymo administratorius turi:

31.1. išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

31.2. mokėti administruoti ir prižiūrėti duomenų bazes;

31.3. būti susipažinęs su Švietimo portalo nuostatais, Švietimo portalo saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

32. Švietimo portalo naudotojai turi:

32.1. turėti pagrindinius darbo kompiuteriu įgūdžius;

32.2. mokėti tvarkyti Švietimo portalo elektroninę informaciją Švietimo portalo nuostatų nustatyta tvarka;

32.3. būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

33. Švietimo portalo naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Švietimo portalo saugos įgaliotiniui.

34. Švietimo portalo elektroninę informaciją tvarkyti ir teikti Švietimo portalo nuostatuose nurodytiems Švietimo portalo duomenų gavėjams gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti Švietimo portalo elektroninę informaciją Švietimo portalo nuostatuose, Švietimo portalo funkcinėje sistemos specifikacijoje, Švietimo portalo naudojimo ir administravimo instrukcijoje nurodyta tvarka ir susipažinę su Švietimo portalo saugos dokumentų reikalavimais.

35. Švietimo portalo saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Švietimo portalo naudotojų mokymą elektroninės informacijos saugos klausimais, periodiškai įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas).

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU ŠVIETIMO PORTALO SAUGOS DOKUMENTAIS PRINCIPAI

36. Švietimo portalo naudotojus su Švietimo portalo saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Švietimo portalo saugos įgaliotinis. Švietimo portalo saugos įgaliotinis, Švietimo portalo naudotojai, Švietimo portalo sisteminės priežiūros ir tvarkymo administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą.

37. Pakartotinai su Švietimo portalo saugos dokumentais Švietimo portalo naudotojai supažindinami jiems pasikeitus.

38. Saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, skelbiami Švietimo portalo tvarkytojo interneto svetainėje.

39. Už Švietimo portalo naudotojų mokymo organizavimą atsakingas Švietimo portalo saugos įgaliotinis.

40. Švietimo portalo naudotojų supažindinimo su Švietimo portalo saugos dokumentais tvarka nustatyta Švietimo portalo naudotojų administravimo taisyklėse.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

41. Saugos nuostatai ir Švietimo portalo saugos dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

42. Švietimo portalo tvarkytojas privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, nustatytas organizacines, technines ir kitas priemones.

43. Duomenys apie Švietimo portalo naudotojų, Švietimo portalo sisteminės priežiūros ir tvarkymo administratoriaus atliktus veiksmus su Švietimo portalo elektronine informacija saugomi ne trumpiau nei vienerius metus.