2.1. Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos (toliau – departamentas) Informacinių technologijų ir ryšių skyrių atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;

2.2. departamento Informacinių technologijų ir ryšių skyriaus vedėją Viačeslavą Jabluniną departamento valdomų valstybės informacinių sistemų ir Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotiniu.

3.1. departamento direktoriaus 2009 m. sausio 30 d. įsakymo Nr. 1-28 „Dėl Valstybinės priešgaisrinės gelbėjimo tarnybos informacinės sistemos nuostatų ir Valstybinės priešgaisrinės gelbėjimo tarnybos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 1.2 papunktį ir 2 punktą;

3.2. departamento direktoriaus 2011 m. gegužės 18 d. įsakymą Nr.1-178 „Dėl Valstybinės priešgaisrinės priežiūros veiklos administravimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

3.3. departamento direktoriaus 2011 m. gruodžio 5 d. įsakymo Nr. 1-342 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos nuostatų ir Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 2 punktą;

3.4. departamento direktoriaus 2016 m. sausio 4 d. įsakymo Nr. 1/2015-412 „Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų, Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklių, Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklių ir Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo plano patvirtinimo“ 1.1 papunktį ir 3 punktą;

3.5. departamento direktoriaus 2016 m. sausio 27 d. įsakymą Nr. 1-24 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

3.6. departamento direktoriaus 2018 m. spalio 11 d. įsakymą Nr.1-361 „Dėl Kai kurių Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos valdomų valstybės informacinių sistemų ir registro duomenų saugos nuostatų patvirtinimo“;

3.7. Specialiosios priešgaisrinės gelbėjimo valdybos direktoriaus 2018 m. lapkričio 28 d. įsakymą Nr. 4-265 „Dėl atsakingų darbuotojų paskyrimo“.

1.       Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos valdomų valstybės informacinių sistemų ir Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos (toliau – departamentas) valdomų valstybės informacinių sistemų ir Valstybinės reikšmės ir pavojingų objektų registro (toliau – informacinės sistemos) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).

2.       Saugos nuostatų reikalavimai taikomi tvarkant informacines sistemas, nurodytas Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos valdomų valstybės informacinių sistemų ir registro sąraše (Saugos nuostatų priedas).

3.       Elektroninės informacijos saugos politika įgyvendinama vadovaujantis departamento direktoriaus tvirtintais Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos valdomų informacinių sistemų ir Valstybinės reikšmės ir pavojingų objektų registro saugos politiką įgyvendinančiais dokumentais: saugaus elektroninės informacijos tvarkymo taisyklėmis, naudotojų administravimo taisyklėmis, veiklos tęstinumo valdymo planu (toliau – saugos politiką įgyvendinantys dokumentai).

4.       Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.

5.       Informacinių sistemų elektroninės informacijos (toliau – elektroninė informacija) sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.

6.       Elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:

7.       Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

8.       Elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.

9.       Saugos nuostatų reikalavimai taikomi:

10.     Už elektroninės informacijos saugą pagal kompetenciją atsako informacinių sistemų valdytojas ir informacinių sistemų tvarkytojai.

11.     Informacinių sistemų valdytojas atsako už elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą.

12.     Informacinių sistemų naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.

13.     Paslaugų, susijusių su informacinėmis sistemomis, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį ir pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.

14.     Informacinių sistemų valdytojas atlieka informacinių sistemų nuostatuose nustatytas funkcijas, taip pat:

15.     Informacinių sistemų tvarkytojas  atlieka informacinių sistemų nuostatuose nustatytas funkcijas,  taip pat:

16.     Kiti informacinių sistemų tvarkytojai atlieka šias funkcijas:

17.     Informacinių sistemų tvarkytojai užtikrina tvarkytojo įstaigoje tvarkomos elektroninės informacijos saugą. Informacinių sistemų tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

18.     Saugos įgaliotinis:

19.     Saugos įgaliotinis ir kitų informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai negali atlikti administratorių funkcijų.

20.     Departamento paskirti administratoriai atlieka funkcijas, susijusias su informacinių sistemų naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinių sistemų komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į saugos incidentus ir jų valdymu, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

21.     Departamento skiriami administratoriai:

22.     Departamento paskirti administratoriai:

23.     Departamento paskirti administratoriai yra atsakingi už tinkamą informacinių sistemų saugos dokumentuose nustatytų funkcijų vykdymą.

24.     Departamento paskirti administratoriai privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus dėl elektroninės informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į saugos incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

25.     Teisės aktai, kuriais vadovaujantis tvarkoma elektroninė informacija ir užtikrinama jos sauga:

26.     Informacinėse sistemose tvarkomos elektroninės informacijos svarbos kategorija, informacinių sistemų kategorijos ir priskyrimo tam tikrai kategorijai kriterijai yra nurodyti Saugos nuostatų priede.

27.     Informacinių sistemų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.

28.     Pagrindinės informacinių sistemų rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet ne vėliau nei iki spalio 1 dienos, o prireikus – ir neeilinio rizikos įvertinimo ataskaitą iki informacinių sistemų valdytojo nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:

29.     Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis ir jų kopijas informacinės sistemos valdytojas ar jo įgaliotas informacinės sistemos tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

30.     Informacinių sistemų rizikos veiksniams vertinti naudojama ARSIS.

31.     Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į informacinių sistemų valdytojo skiriamus išteklius, vadovaujantis šiais principais:

32.     Informacinių sistemų valdytojas, atsižvelgdamas į informacinių sistemų rizikos įvertinimo ataskaitą, prireikus tvirtina departamento parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

33.     Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka kasmet organizuojamas informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimas.

34.     Informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas ir vykdant kibernetinių incidentų imitavimo pratybas. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.

35.     Atlikus informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinių sistemų valdytojas.

36.     Informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytojas arba jos įgaliotas tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

37.     Ne rečiau kaip kartą per trejus metus informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

38.     Programinės įrangos, skirtos informacinėms sistemoms apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

39.     Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

40.     Informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD ir (arba) DVD ir kt.) ir kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.

41.     Informacinių sistemų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD ir (arba) DVD ir kt.) naudojimą.

42.     Informacinių sistemų programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

43.     Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

44.     Informacinėse sistemose naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:

45.     Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

46.     Informacinių sistemų elektroninei informacijai perduoti naudojamas VRTT ir kiti saugūs elektroninių ryšių tinklai.

47.     Informacinių sistemų tvarkytojai apie diegiamus vietinius belaidžius tinklus, jungtis su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti Informatikos ir ryšių departamentą – VRTT pagrindinį tvarkytoją.

48.     Visos informacinių sistemų naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones (pvz., katalogų tarnybą „Active direktory“).

49.     Informacinių sistemų naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuosiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas informacinių sistemų naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.

50.     Informacinių sistemų naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie informacinių sistemų galimybė:

51.     Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

52.  Turi būti užtikrintas saugos incidentų, įvykusių informacinėse sistemose, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo ir informacinių sistemų valdytojo patvirtintų kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje plano ir informacinių sistemų veiklos tęstinumo valdymo plano nustatyta tvarka:

53.  Ne rečiau kaip kartą per savaitę turi būti atliekama informacinių sistemų naudotojų veiksmų audito įrašų analizė (esant poreikiui Informatikos ir ryšių departamentas teikia informaciją apie informacinių sistemų naudotojų atliktus veiksmus atitinkamiems informacinių sistemų tvarkytojams).

54.  Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.

55.  Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.

56.  Perkant paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis informacinių sistemų saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.

57.  Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

58.     Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

59.     Saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

60.     Visi administratoriai privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į vykdomas funkcijas, atitinkamai  turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.

61.     Visi administratoriai ir naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, pagal kompetenciją ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.

62.     Naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą ir valstybės tarnybos ar darbo santykius.

63.     Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir teikimu, pasirašytinai įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Asmens duomenų teisinės apsaugos įstatymas nenumato ko kita.

64.     Naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai ITT pagalbos tarnybai arba administratoriui ar saugos įgaliotiniui.

65.     Informacinių sistemų naudotojai privalo:

66.     Informacinių sistemų naudotojams draudžiama:

67.     Informacinių sistemų naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja pagrindinis saugos įgaliotinis ir kitų informacinių sistemų tvarkytojų paskirti  saugos įgaliotiniai pagal kompetenciją.

68.     Tvarkyti informacinių sistemų elektroninę informaciją gali tik informacinių sistemų naudotojai, susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat  atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.

69.     Informacinių sistemų naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais pagal kompetenciją organizuoja saugos įgaliotinis.

70.     Informacinių sistemų naudotojai su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą (jungiantis prie informacinės sistemos per naudotojo sąsają ar pan.).

71.     Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Informacinių sistemų saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotiniai pagal kompetenciją atsakingi, kad informacinių sistemų naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.