Sveikatos apsaugos ministerijai

HIGIENOS INSTITUTO

DIREKTORIUS

ĮSAKYMAS

DĖL TRAUMŲ IR NELAIMINGŲ ATSITIKIMŲ STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2023 m. spalio 25 d. Nr. V-119

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu:

1. Tvirtinu Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatus (pridedama).

2. N u s t a t a u, kad šis įsakymas įsigalioja 2023 m. spalio 31 d.

Direktorius Remigijus Jankauskas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. rugsėjo 22 d. raštu Nr. (4.1.E) 6K-696

PATVIRTINTA

Higienos instituto direktoriaus

2023 m. spalio 25 d.

įsakymu Nr. V-119

TRAUMŲ IR NELAIMINGŲ ATSITIKIMŲ STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I skyrius

BENDROSIOS NUOSTATOS

1. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika), kurios tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti elektroninę informaciją, ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ar neteisėto tvarkymo.

2. Informacinės sistemos elektroninės informacijos saugos politika įgyvendinama pagal Informacinės sistemos valdytojo tvirtinamus Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau visi kartu – Saugos dokumentai).

3. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.

4. Informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:

4.1. automatiniu būdu tvarkomos elektroninės informacijos saugumo užtikrinimas;

4.2. elektroninės informacijos patikimumo ir saugumo nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo, užtikrinimas;

4.3. elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), asmens duomenų saugumo pažeidimų prevencijos vykdymas, reagavimas į saugos incidentų, asmens duomenų saugumo pažeidimus ir jų operatyvus valdymas.

5. Informacinės sistemos elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Informacinės sistemos duomenų saugai užtikrinti, įgyvendinimas ir šių priemonių kontrolė;

5.2. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.3. Informacinės sistemos veiklos tęstinumo užtikrinimas;

5.4. Informacinės sistemos asmens duomenų apsauga.

6. Saugos nuostatų reikalavimai taikomi:

6.1. Informacinės sistemos valdytojui ir tvarkytojui – Higienos institutui (toliau – Informacinės sistemos valdytojas ir tvarkytojas), Studentų g. 45A, Vilnius;

6.2. Informacinės sistemos saugos įgaliotiniui;

6.3. Informacinės sistemos administratoriui;

6.4. Informacinės sistemos duomenų valdymo įgaliotiniui;

6.5. Informacinės sistemos naudotojams;

6.6. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą Higienos institute tvarkomuose registruose ir informacinėse sistemose (toliau – kibernetinio saugumo vadovas).

7. Informacinės sistemos valdytojo ir tvarkytojo funkcijos:

7.1. pagal kompetenciją atsako už Informacinės sistemos saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

7.2. užtikrina veiksmingą ir spartų Informacinės sistemos pokyčių valdymo planavimą;

7.3. skiria kibernetinio saugumo vadovą, Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos saugos įgaliotinį, Informacinės sistemos administratorių;

7.4. atlieka Informacinės sistemos duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Informacinės sistemos veikimą;

7.5. užtikrina saugią Informacinės sistemos sąveiką su kitomis informacinėmis sistemomis ir registrais;

7.6. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.7. teikia pasiūlymus Lietuvos Respublikos sveikatos apsaugos ministerijai dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, finansavimo, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;

7.8. vykdo kitas teisės aktuose, reglamentuojančiuose valstybės registrų ir informacinių sistemų saugą, nustatytas funkcijas.

8. Informacinės sistemos saugos įgaliotinio funkcijos:

8.1. koordinuoja ir prižiūri Informacinės sistemos elektroninės informacijos saugos politikos įgyvendinimą;

8.2. teikia Informacinės sistemos valdytojui ir tvarkytojui pasiūlymus, kaip nustatyta Bendrųjų elektroninės informacijos saugos reikalavimų apraše;

8.3. organizuoja Informacinės sistemos informacinių technologijų saugos atitikties vertinimą ir parengia saugos atitikties vertinimo ataskaitą;

8.4. organizuoja Informacinės sistemos rizikos įvertinimą (prireikus ir neeilinius rizikos vertinimus) ir parengia rizikos įvertinimo ataskaitą;

8.5. supažindina Informacinės sistemos administratorių ir Informacinės sistemos naudotojus su Saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

8.6. teikia Informacinės sistemos administratoriui ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.7. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems Informacinės sistemos valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

8.8. koordinuoja saugos incidentų, įvykusių Informacinėje sistemoje, tyrimą;

8.9. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Saugos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

9. Informacinės sistemos administratoriaus funkcijos:

9.1. atsako už Informacinės sistemos techninės ir programinės įrangos funkcionavimą;

9.2. diegia ir prižiūri programinę įrangą, reikalingą Informacinės sistemos naudotojų funkcijoms vykdyti;

9.3. suteikia teisę Informacinės sistemos naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti;

9.4. užtikrina Informacinės sistemos komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato pažeidžiamas Informacinės sistemos vietas;

9.5. dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

9.6. pagal kompetenciją teikia Informacinės sistemos valdytojo ir tvarkytojo vadovui pasiūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

9.7. nuolat teikia Informacinės sistemos saugos įgaliotiniui informaciją apie Informacinės sistemos saugą užtikrinančių pagrindinių komponentų būklę, taip pat informuoja apie saugos incidentus ir teikia pasiūlymus dėl saugos incidentų pašalinimo;

9.8. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Saugos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

10. Teisės aktai, kuriais vadovaujantis tvarkoma Informacinės sistemos elektroninė informacija ir užtikrinama jos sauga:

10.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

10.2. Valstybės informacinių išteklių valdymo įstatymas;

10.3. Kibernetinio saugumo įstatymas;

10.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.5. Kibernetinio saugumo reikalavimų aprašas;

10.6. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika);

10.7. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

10.8. Informacinės sistemos nuostatai;

10.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugos valdymą valstybės institucijose.

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Informacinėje sistemoje tvarkoma elektroninė informacija pagal svarbą priskiriama vidutinės svarbos informacijos kategorijai.

12. Informacinės sistemos saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – Kibernetinio saugumo centras) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacinės technologijos. Saugumo metodai“ grupės standartus, kasmet organizuoja Informacinės sistemos rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Informacinės sistemos rizikos įvertinimą.

13. Informacinės sistemos rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Informacinės sistemos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su Informacinės sistemos rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Informacinės sistemos kibernetiniam saugumui, vertinimas. Svarbiausieji rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše.

14. Informacinės sistemos rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:

14.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

14.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

14.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

14.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

14.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

15. Informacinės sistemos rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Informacinės sistemos valdytojas ir tvarkytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame yra numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. Patvirtintas rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, jei toks buvo parengtas, kopijas Informacinės sistemos valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS).

17. Elektroninės informacijos saugos priemonių parinkimo principai:

17.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

17.2. saugos priemonės diegimo kaina turi būti adekvati saugomos elektroninės informacijos vertei;

17.3. kur galima, turi būti įdiegiamos prevencinės elektroninės informacijos saugos priemonės;

17.4. parenkamos tokios saugos priemonės, kad būtų užtikrintas Informacinės sistemos veiklos tęstinumas ir saugus Informacinės sistemos darbas, patiriant kuo mažiau išlaidų.

18. Siekiant įvertinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, vadovaujantis Saugos atitikties vertinimo metodika kartą per metus organizuojamas Informacinės sistemos informacinių technologijų saugos atitikties vertinimas naudojantis ARSIS.

19. Atlikus Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama Informacinės sistemos saugos atitikties vertinimo ataskaita, prireikus ir pastebėtų trūkumų šalinimo planas.

20. Informacinių technologijų saugos atitikties vertinimo ataskaitos kopiją, pastebėtų trūkumų šalinimo plano kopiją Informacinės sistemos valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti ARSIS.

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

21. Programinės įrangos, skirtos apsaugoti Informacinę sistemą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:

21.1. Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

21.2. apsaugai naudojama programinė įranga turi atsinaujinti automatiniu būdu ne rečiau kaip kartą per 24 valandas;

21.3. elektroninės informacijos apsaugai naudojama programinė įranga turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti kenkimo programų apsaugas;

21.4. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

22. Programinės įrangos, įdiegtos Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

22.1. turi būti naudojama tik legali Informacinės sistemos funkcijoms vykdyti būtina programinė įranga;

22.2. Informacinės sistemos programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik Informacinės sistemos administratorius arba kitas Informacinės sistemos valdytojo ir tvarkytojo įgaliotas asmuo;

22.3. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Informacinės sistemos elektroninės informacijos, atliktus veiksmus;

22.4. Informacinės sistemos programinė įranga atnaujinama laikantis gamintojo reikalavimų.

23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų ir kita) pagrindinės naudojimo nuostatos:

23.1. Informacinės sistemos elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DoS (angl. Denial of Service) ir DDoS (angl. Distributed Denial of Service), ir kitų atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;

23.2. Informacinės sistemos tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

23.3. viešaisiais ryšių tinklais perduodamos Informacinės sistemos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones.

24. Leistinos kompiuterių naudojimo ribos:

24.1. Informacinės sistemos duomenų tvarkymui leidžiama naudoti tik leistinus stacionarius ir nešiojamuosius kompiuterius, atitinkančius teisės aktų nustatytus elektroninės informacijos saugos reikalavimus;

24.2. stacionarieji ir nešiojamieji Informacinės sistemos naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš perduodamų remontuoti ar techninei priežiūrai atlikti kompiuterių turi būti pašalinti visi Informacinės sistemos duomenys ir Informacinės sistemos informacija;

24.3. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis, jie turi būti atskirti nuo viešojo interneto tinklo užkarda;

24.4. Informacinės sistemos naudotojai privalo naudotis visomis saugumo priemonėmis, siekiant apsaugoti kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo, nenaudojami nešiojamieji kompiuteriai turi būti saugomi saugioje vietoje.

25. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:

25.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

25.2. prieigos prie Informacinės sistemos elektroninės informacijos teises gali suteikti tik Informacinės sistemos administratorius. Informacinės sistemos naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

25.3. prieiga prie Informacinės sistemos elektroninės informacijos leidžiama tik per registracijos slaptažodžių sistemą. Prieigos prie Informacinės sistemos elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse.

26. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

26.1. Informacinės sistemos atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiniu būdu kas 24 valandas, esant aktyviai Informacinės sistemos duomenų bazei;

26.2. elektroninė informacija kopijose turi būti šifruota;

26.3. kopijas turi teisę tvarkyti Informacinės sistemos administratorius arba techninės bei programinės įrangos priežiūros paslaugų teikėjai;

26.4. laikmenos, kuriose yra kopijos, saugomos kitoje patalpoje nei Informacinės sistemos tarnybinės stotys;

26.5. atkurti elektroninę informaciją iš kopijų turi teisę tik Informacinės sistemos administratorius.

27. Kopijų darymo ir saugojimo tvarka nustatoma Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

28. Turi būti užtikrintas saugos incidentų, įvykusių Informacinėje sistemoje, registravimas, valdymas ir tyrimas Kibernetinio saugumo reikalavimo aprašo bei Informacinės sistemos veiklos tęstinumo valdymo plano nustatyta tvarka:

28.1. registruojami Informacinėje sistemoje įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis pagal kompetenciją saugos incidentai valdomi, tiriami ir šalinami bei atkuriama Informacinės sistemos veikla;

28.2. Kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.

29. Perkant paslaugas, darbus ar įrangą, susijusius su Informacine sistema, jos projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad asmuo, atliekantis Informacinės sistemos techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali turėti neišnykusio ar nepanaikinto teistumo už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat negali turėti paskirtos administracinės nuobaudos už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo yra praėję mažiau kaip vieni metai, taip pat privalo laikytis Informacinės sistemos Saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems Kibernetinio saugumo reikalavimų aprašo reikalavimams.

30. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti.

IV skyrius

REIKALAVIMAI PERSONALUI

31. Informacinės sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, prireikus tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą. Informacinės sistemos saugos įgaliotinis ar kibernetinio saugumo vadovas pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

32. Informacinės sistemos saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriami asmenys, turintys neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už Bendrųjų saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

33. Informacinės sistemos administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, gebėti administruoti ir prižiūrėti Informacinės sistemos duomenų bazę, turi būti susipažinęs su Saugos nuostatais, Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą. Informacinės sistemos administratorius, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

34. Informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Informacinės sistemos duomenis Saugos nuostatų nustatyta tvarka, būti susipažinę su Saugos dokumentais ir pasirašę pasižadėjimus saugoti konfidencialią elektroninę informaciją (toliau – Pasižadėjimas).

35. Informacinės sistemos naudotojai, pastebėję saugos reikalavimų, pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones Informacinėje sistemoje, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.

36. Kibernetinio saugumo vadovas arba Informacinės sistemos saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas.

37. Informacinės sistemos naudotojų mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos naudotojų, Informacinės sistemos duomenų valdymo įgaliotinio ir Informacinės sistemos administratoriaus poreikius.

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

38. Tvarkyti Informacinės sistemos duomenis ir gauti informaciją gali tik Informacinės sistemos naudotojai, susipažinę su Saugos dokumentais ir raštu pasirašę Pasižadėjimus. Pasikeitus Informacinės sistemos Saugos dokumentams ar kitiems saugos politiką įgyvendinantiems teisės aktams, Informacinės sistemos naudotojai su jais supažindinami pakartotinai.

39. Už Informacinės sistemos naudotojų supažindinimą su Saugos dokumentais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą atsakingas Informacinės sistemos saugos įgaliotinis.

40. Informacinės sistemos naudotojai, pažeidę Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_______________________