4.1.      valstybės įmonei Registrų centrui (toliau – Registrų centras) (Lvovo g. 25-101, 09320 Vilnius) – MEPIS valdytojai ir tvarkytojai;

4.2.      civilinės metrikacijos įstaigoms – MEPIS tvarkytojoms;

4.3.      MEPIS saugos įgaliotiniams MEPIS administratoriams, MEPIS naudotojams, MEPIS funkcionuoti reikalingų paslaugų teikėjams.

7.1.      elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

7.2.      MEPIS kibernetinio saugumo užtikrinimas;

7.3.      asmens duomenų apsauga;

7.4.      MEPIS naudotojų mokymas.

8.1.      sudaryti sąlygas saugiai automatiniu būdu tvarkyti MEPIS elektroninę informaciją;

8.2.      užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

8.3.      vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

9.1.      atlikti MEPIS nuostatuose, patvirtintuose valstybės įmonės Registrų centro direktoriaus 2018 m. birželio 14 d. įsakymu Nr. v-212 „Dėl Metrikacijos paslaugų informacinės sistemos nuostatų patvirtinimo“ (toliau – Nuostatai), nustatytas funkcijas;

9.2.      tvirtinti saugos dokumentus ir kitus teisės aktus, susijusius su MEPIS elektroninės informacijos sauga ir kibernetiniu saugumu;

9.3.      koordinuoti MEPIS tvarkytojų darbą įgyvendinant elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;

9.4.      atlikti elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų laikymosi priežiūrą ir kontrolę;

9.5.      nagrinėti MEPIS tvarkytojų pasiūlymus dėl elektroninės informacijos saugos ir kibernetinio saugumo tobulinimo ir priimti dėl jų sprendimus;

9.6.      skirti koordinuojantį saugos įgaliotinį ir pavesti MEPIS tvarkytojams paskirti MEPIS saugos įgaliotinius ir MEPIS administratorius;

9.7.      pagal kompetenciją teikti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą MEPIS kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

9.8.      atlikti kitas Saugos nuostatuose ir Saugos nuostatų 27 punkte nurodytuose teisės aktuose nustatytas MEPIS valdytojo funkcijas.

10.1.    užtikrinti saugos dokumentų ir kitų dokumentų, susijusių su MEPIS elektroninės informacijos sauga ir kibernetiniu saugumu, tinkamą įgyvendinimą Registrų centre;

10.2.    pagal kompetenciją prižiūrėti MEPIS komponentus (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas ir kitus MEPIS komponentus, nurodytus Saugos nuostatų 22.3 papunktyje), už kurių tvarkymą yra atsakingas Registrų centras savo organizacijoje, užtikrinti jų veikimą;

10.3.    įgyvendinti MEPIS elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus Registrų centre;

10.4.    užtikrinti MEPIS elektroninės informacijos saugą ir kibernetinį saugumą Registrų centre;

10.5.    pagal kompetenciją teikti Nacionaliniam kibernetinio saugumo centrui techninę informaciją, reikalingą MEPIS kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

10.6.    atlikti kitas Saugos nuostatuose ir Saugos nuostatų 27 punkte nurodytuose teisės aktuose nustatytas MEPIS tvarkytojo funkcijas Registrų centre.

11.1.    atlikti MEPIS Nuostatuose nustatytas funkcijas;

11.2.    užtikrinti saugos dokumentų ir kitų MEPIS valdytojo priimtų teisės aktų, susijusių su MEPIS elektroninės informacijos sauga ir kibernetiniu saugumu, tinkamą įgyvendinimą savo organizacijose;

11.3.    pagal kompetenciją prižiūrėti MEPIS komponentus (kompiuterius, operacines sistemas ir kitus MEPIS komponentus, nurodytus Saugos nuostatų 22.3 papunktyje), už kurių tvarkymą yra atsakingi MEPIS tvarkytojai savo organizacijose, užtikrinti jų veikimą;

11.4.    įgyvendinti MEPIS elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus savo organizacijose;

11.5.    užtikrinti MEPIS elektroninės informacijos saugą ir kibernetinį saugumą savo organizacijose;

11.6.    teikti MEPIS valdytojui pasiūlymus dėl MEPIS elektroninės informacijos saugos ir kibernetinio saugumo tobulinimo;

11.7.    MEPIS valdytojo pavedimu skirti MEPIS saugos įgaliotinius ir MEPIS administratorius savo organizacijose;

11.8.    pagal kompetenciją teikti Nacionaliniam kibernetinio saugumo centrui techninę informaciją, reikalingą MEPIS kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

11.9.    atlikti kitas Saugos nuostatuose ir Saugos nuostatų 27 punkte nurodytuose teisės aktuose nustatytas MEPIS tvarkytojo funkcijas savo organizacijose.

16.1.    kokiam MEPIS posistemiui, funkciškai savarankiškoms sudedamosioms dalims, ar kurioms MEPIS saugos įgaliotinio ir (arba) MEPIS administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir (arba) administratorius;

16.2.    kuriam iš MEPIS saugos įgaliotinių ir (arba) MEPIS administratorių pavedama koordinuoti MEPIS saugos įgaliotinių ir (arba) MEPIS administratorių veiklą.

18.1.    MEPIS koordinuojančio saugos įgaliotinio funkcijos:

18.2.    MEPIS tvarkytojų paskirtų MEPIS saugos įgaliotinių funkcijos:

22.1.  koordinuojantysis administratorius, kuris prižiūri MEPIS administratorių veiklą, siekdamas užtikrinti tinkamą MEPIS administratorių funkcijų vykdymą;

22.2.  MEPIS naudotojų administratoriai, kurie atlieka funkcijas, susijusias su MEPIS naudotojų teisių valdymu;

22.3.  MEPIS komponentų administratoriai, kurie atlieka funkcijas, susijusias su MEPIS komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja MEPIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei MEPIS komponentų sąranka);

22.4.  MEPIS saugos administratoriai, kurie atlieka funkcijas, susijusias su MEPIS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

27.1.  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1);

27.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

27.3.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

27.4.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

27.5.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

27.6.  Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Klasifikavimo gairių aprašas);

27.7.  Techniniai elektroninės informacijos saugos reikalavimai;

27.8.  Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas;

27.9.  Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.

30.1.  MEPIS koordinuojantis saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet arba po esminių organizacinių ar sisteminių pokyčių, organizuoja MEPIS rizikos įvertinimą. MEPIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Prireikus, koordinuojantis MEPIS saugos įgaliotinis gali organizuoti neeilinį MEPIS rizikos įvertinimą. Organizuojant rizikos vertinimą, rekomenduojama MEPIS rizikos vertinimą įtraukti į veiklos rizikos vertinimo procesus;

30.2.  Organizuojant rizikos vertinimą turi būti paskirtas (-i) už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingas asmuo (-ys), sertifikuotas tarptautinės Informacinių sistemų audito ir valdymo asociacijos ISACA (angl. Information Systems Audit and Control Association) ar kitų visuotinai pripažintų tarptautinių organizacijų. Atsakingu asmeniu (-imis), kuris atitinka šiame papunktyje nustatytus reikalavimus, gali būti skiriamas informacinių sistemų valdytojo darbuotojas (-ai) arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu;

30.3.  Rizikos vertinimo metu turi būti:

30.4.  MEPIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama MEPIS valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos MEPIS elektroninės informacijos saugai ir kibernetiniam saugumui, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai rizikos įvertinimo ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:

30.5.  Atsižvelgdamas į rizikos įvertinimo ataskaitą, MEPIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

30.6.  Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas MEPIS valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai) nustatyta tvarka;

30.7.  Atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu Saugos nuostatų 31 punkte nustatyta tvarka atliekamo informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo, MEPIS tvarkytojų nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas MEPIS veiklos tęstinumo valdymo planas ir (arba) Kibernetinių ir elektroninės informacijos saugos incidentų valdymo tvarkos aprašas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi šių planų veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.

31.1.  informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę;

31.2.  MEPIS informacinių technologijų saugos atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per 2 (dvejus) metus, jei teisės aktuose nenustatyta kitaip;

31.3.  informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, kuri tvirtinama Lietuvos Respublikos krašto apsaugos ministro, nustatyta tvarka. Atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas atliekamas informacinių technologijų saugos atitikties vertinimo metu;

31.4.  atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita ir pastebėtų trūkumų šalinimo planas, kurie pateikiami MEPIS valdytojo vadovui. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato MEPIS valdytojo vadovas;

31.5.  informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas MEPIS valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

32.1.  Techninės, programinės, organizacinės ir kitos MEPIS elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į MEPIS valdytojo turimus išteklius, vadovaujantis šiais principais:

32.2.  Atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

36.1.  detalūs organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai nustatomi saugos politiką įgyvendinančiuose dokumentuose;

36.2.  turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamų elektroninių laiškų ir pan.). Detalios šios programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse;

36.3.  MEPIS techninėje įrangoje ir vidinių MEPIS naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Detalios programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, jos atnaujinimo reikalavimai nustatomi MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse;

36.4.  turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Detalios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse;

36.5.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie MEPIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse;

36.6.  stacionarius kompiuterius leidžiama naudoti tik MEPIS valdytojo ir MEPIS tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš MEPIS valdytojo ar MEPIS tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir panašiai).

37.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną MEPIS neveikimo laikotarpį (angl. recovery time objective);

37.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad MEPIS veiklos sutrikimo, elektroninės informacijos saugos incidento, kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais neveikimo laikotarpis nebūtų ilgesnis nei teisės aktais nustatyta MEPIS svarbos kategorijai, nurodytai Saugos nuostatų 29 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

37.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau nei nustatyta MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse;

37.4.  elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

37.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose nei yra MEPIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

37.6.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

37.7.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas MEPIS saugaus elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

38.1.  visi MEPIS naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, MEPIS elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo laikyti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

38.2.  MEPIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. MEPIS tvarkytojai turi sudaryti sąlygas MEPIS saugos įgaliotiniui kelti kvalifikaciją. MEPIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikalstamas veikas, nurodytas Valstybės informacinių išteklių valdymo įstatyme;

38.3.  MEPIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).

39.1.  MEPIS naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems MEPIS naudotojams, ir panašiai);

39.2.  mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), MEPIS saugos įgaliotinio, MEPIS naudotojų ar MEPIS administratorių poreikius;

39.3.  mokymai gali būti vykdomi tiesioginiu (pavyzdžiui, paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pavyzdžiui, vaizdo konferencijos, mokomosios medžiagos pateikimas elektroniniu paštu, elektroninėje erdvėje ir panašiai);

39.4.  mokymai MEPIS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus. Už MEPIS naudotojų mokymų organizavimo koordinavimą atsakingi saugos įgaliotiniai;

39.5.  mokymai MEPIS saugos įgaliotiniui ir MEPIS administratoriams turi būti organizuojami pagal poreikį.