1.1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatus;

1.2. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatus.

2.1. Informacinės visuomenės plėtros komitetui per mėnesį nuo šio įsakymo įsigaliojimo dienos paskirti:

2.2. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugos įgaliotiniui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti, suderinti ir pateikti ekonomikos ir inovacijų ministrui tvirtinti Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos elektroninės informacijos saugos (kibernetinio saugumo) politiką įgyvendinančių dokumentų, nurodytų Bendrųjų reikalavimų aprašo 7.2, 7.3 ir 7.4 papunkčiuose, projektus.

1.    Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatai (toliau – Nuostatai) nustato Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) steigimo teisinį pagrindą, tikslą, uždavinius, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.

2.    VIPVIS yra valstybės informacinė sistema, skirta Lietuvos Respublikos Vyriausybės paskirtam informacinių technologijų paslaugų teikėjui (toliau – IT paslaugų teikėjas) tvarkyti duomenis, reikalingus centralizuotai teikiant Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarime Nr. 498 „Dėl valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo“ nurodytų grupių informacinių technologijų paslaugas (toliau ‑ IT  aslaugos).

3.    VIPVIS steigimo pagrindas – Septynioliktosios Lietuvos Respublikos Vyriausybės programos, kuriai pritarta Lietuvos Respublikos Seimo 2016 m. gruodžio 13 d. nutarimu XIII-82 „Dėl Lietuvos Respublikos Vyriausybės programos“, 197.1 papunktis, Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarimo Nr. 498 „Dėl valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo“ 5.1 papunktis.

4.    VIPVIS kuriama ir tvarkoma vadovaujantis:

5.    Incidentas šiuose Nuostatuose suprantamas kaip nenumatytas IT paslaugų sutrikimas, IT paslaugų kokybės pablogėjimas arba įvykis, kuris gali sutrikdyti IT paslaugų teikimą. Incidentas turi būti sprendžiamas kuo greičiau priklausomai nuo incidento pobūdžio, siekiant, kad IT paslaugos vėl būtų teikiamos arba kad jų kokybė atitiktų IT paslaugų teikimo sutartyse apibrėžtas charakteristikas.

6.    Įvykis šiuose Nuostatuose suprantamas kaip IT paslaugų teikimui naudojamos programinės įrangos pateiktas pranešimas apie stebimų charakteristikų būklės pasikeitimą.

7.    Problema šiuose Nuostatuose suprantama kaip priežastis, dėl kurios kyla vienas arba daugiau nei vienas incidentas.

8.    Užklausa šiuose Nuostatuose suprantama kaip IT paslaugų gavėjo kreipimasis į IT paslaugos teikėją gauti IT paslaugą ir (arba) informaciją, susijusią su IT paslaugomis, jų teikimu.

9.    VIPVIS naudotojas šiuose Nuostatuose suprantamas kaip Lietuvos Respublikos Vyriausybės kanceliarijos, ministerijos, Vyriausybės įstaigos, įstaigos prie ministerijos, taip pat biudžetinės įstaigos ar viešosios įstaigos, kurių savininko ar dalininko teises ir pareigas įgyvendina Vyriausybės kanceliarija, ministerijos ar Vyriausybės įstaigos, valstybės įmonės, kurios steigia, kuria ir (arba) tvarko valstybės registrus, kadastrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamas iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų (toliau – IT paslaugų gavėjas) bei IT paslaugų teikėjo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, naudojantis  IT paslaugas  ir (ar) tvarkantis VIPVIS duomenis.

10.  Nuostatuose vartojamos sąvokos atitinka šių Nuostatų 4.1–4.7 papunkčiuose nurodytuose teisės aktuose vartojamas sąvokas.

11.  VIPVIS tikslas – informacinių technologijų priemonėmis vykdyti VIPVIS IT paslaugų sąrašo ir IT paslaugų aprašų (toliau – IT paslaugų katalogo) valdymo, IT paslaugų teikimo, komunikacijos valdymo, stebėsenos ir informacinių ir ryšių technologijų (toliau – IRT) išteklių poreikio formavimo procesus bei tvarkyti IT paslaugų katalogo valdymo, IT paslaugų teikimo, komunikacijos valdymo, stebėsenos ir IRT išteklių naudojimo duomenis.

12.  VIPVIS uždaviniai:

13.  VIPVIS funkcijos:

14.  Asmens duomenys, nurodyti Nuostatų 26.2 ir 26.13.4 papunkčiuose, tvarkomi vadovaujantis Reglamentu (ES) 2016/679.

15.  Asmens duomenų VIPVIS tvarkymo tikslas – VIPVIS naudotojų tapatybės nustatymas, VIPVIS naudotojų prieigos teisių suteikimas, IT paslaugų teikimas.

16.  Lietuvos Respublikos ekonomikos ir inovacijų ministerija yra VIPVIS valdytoja (toliau – VIPVIS valdytojas) ir VIPVIS asmens duomenų valdytoja (toliau – VIPVIS asmens duomenų valdytojas).

17.  Informacinės visuomenės plėtros komitetas yra VIPVIS tvarkytojas (toliau – VIPVIS tvarkytojas) ir VIPVIS asmens duomenų tvarkytojas (toliau – VIPVIS asmens duomenų tvarkytojas).

18.  VIPVIS valdytojas turi Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui nustatytas teises ir pareigas.

19.  VIPVIS valdytojas atlieka šias funkcijas:

20.  VIPVIS tvarkytojas turi Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos tvarkytojui nustatytas teises.

21.  VIPVIS tvarkytojas atlieka šias funkcijas:

22.  VIPVIS asmens duomenų valdytojas turi Reglamente (ES) 2016/679 nustatytas teises ir pareigas.

23.  VIPVIS asmens duomenų tvarkytojas:

24. VIPVIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, ne vėliau kaip per 24 valandas informuoja VIPVIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu pateikia pranešimą pagal Reglamento (ES) 2016/679 33 straipsnio 3 dalies reikalavimus. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis ekonomikos ir inovacijų ministro patvirtintu Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašu.

25.  VIPVIS duomenų, informacijos teikėjai:

26.  VIPVIS tvarkomi šie duomenys ir duomenų grupės:

27.  Iš VIPVIS duomenų teikėjų gaunami šie duomenys:

28.  VIPVIS funkcinę struktūrą sudaro:

29.  VIPVIS duomenys yra vieši, išskyrus asmens duomenis, ir teikiami valstybės institucijoms ir įstaigoms, kitiems fiziniams asmenims (toliau – FA) ir JA (toliau – duomenų gavėjai), jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip. VIPVIS duomenų teikimas gali būti apribotas, jeigu yra nors vienas Valstybės informacinių išteklių valdymo įstatymo 27 straipsnio 7 dalyje nurodytas pagrindas.

30.  Asmens duomenys viešai neskelbiami.

31.  VIPVIS duomenys duomenų gavėjams teikiami neatlygintinai. VIPVIS duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kokie yra naudojami VIPVIS ir kurių nereikia papildomai apdoroti.

32.  Daugkartinio duomenų, įskaitant ir asmens duomenis, teikimo atveju VIPVIS duomenys teikiami pagal duomenų teikimo sutartis. Duomenų teikimo sutartyje turi būti nurodyta prašomų pateikti duomenų kiekis, teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

33.  Vienkartinio teikimo atveju VIPVIS duomenys, įskaitant ir asmens duomenis, teikiami raštu ryšio priemonėmis arba laikmenoje pagal tvarkytojui teikiamą duomenų gavėjo prašymą, kuriame nurodomas duomenų naudojimo tikslas, jų teikimo ir gavimo teisinis pagrindas ir prašomų pateikti duomenų kiekis.

34.  Pagal duomenų teikimo sutartis kitoms informacinėms sistemoms ir registrams VIPVIS duomenys teikiami automatiniu būdu elektroninių ryšių tinklais. VIPVIS duomenys duomenų gavėjams gali būti pateikiami kitais duomenų teikimo sutartyje, Lietuvos Respublikos įstatymuose, Europos Sąjungos teisės aktuose nustatytais būdais.

35.  VIPVIS skelbiami Nuostatų 26.3 papunktyje nurodyti duomenys. Šie duomenys gali būti pakartotinai panaudoti be atskiro VIPVIS tvarkytojo leidimo, tačiau juos naudojant privaloma nurodyti duomenų šaltinį ir datą, kada duomenys buvo gauti.

36.  Duomenų gavėjai negali keisti VIPVIS duomenų – privalo juos naudoti tik duomenų teikimo sutartyje ar prašyme nurodytu tikslu ir užtikrinti duomenų teikimo sutartyje numatytas apsaugos priemones.

37.  VIPVIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių FA ir JA, JA statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami tokia pat tvarka kaip ir Lietuvos Respublikos JA ir FA. Trečiųjų šalių FA ir JA, JA statuso neturintiems subjektams, jų filialams ir atstovybėms VIPVIS duomenys teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka. Trečiosioms valstybėms arba tarptautinėms organizacijoms VIPVIS tvarkomi asmens duomenys teikiami laikantis Reglamento (ES) 2016/679 V skyriuje nustatytų asmens duomenų perdavimo sąlygų.

38.  Atsisakyti teikti VIPVIS duomenis galima Teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo 15 straipsnyje nustatyta tvarka ir atvejais. Atsisakymas turi būti pagrįstas konkrečiais motyvais ir pateikiamas raštu. Atsisakymas pateikti duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

39.  Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Duomenų gavėjai, tvarkytojas ar kiti asmenys, nustatę gautų duomenų klaidų, elektroniniu paštu, nurodytu VIPVIS interneto svetainėje, informuoja apie tai VIPVIS tvarkytoją.

40.  VIPVIS tvarkytojas, gavęs informaciją apie nustatytus jam perduotus netikslius duomenis, įskaitant asmens duomenis, privalo per 5 darbo dienas nuo informacijos gavimo dienos patikrinti pateiktą informaciją ir, jeigu ji pasitvirtina, ištaisyti netikslius duomenis.  Kai dėl netikslių duomenų ištaisymo būtina kreiptis į duomenų teikėją, šis terminas pratęsiamas iki 30 darbo dienų. Ištaisęs netikslius duomenis, VIPVIS tvarkytojas nedelsdamas (bet ne ilgiau kaip per 3 darbo dienas) apie tai praneša informaciją pateikusiam asmeniui, duomenų gavėjams ar kitiems asmenims, kuriems perduoti netikslūs duomenys.

41.  VIPVIS duomenų saugą reguliuoja VIPVIS valdytojo tvirtinami VIPVIS duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami laikantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo reikalavimų. Asmens duomenų saugumas užtikrinamas vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais.

42.  Už VIPVIS elektroninės informacijos saugą pagal kompetenciją atsako VIPVIS valdytojas ir tvarkytojas.

43.  Asmenys, kurie tvarko VIPVIS duomenis, privalo saugoti asmens duomenų paslaptį ir kitų duomenų konfidencialumą, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

44.  Duomenys VIPVIS duomenų bazėje saugomi tol, kol IT paslaugų gavėjui teikiamos IT paslaugos. Nutraukus IT paslaugų teikimą arba pasikeitus jo sąlygoms, IT paslaugoms teikti nebenaudojami duomenys, įskaitant asmens duomenis, perkeliami į VIPVIS duomenų bazės archyvą ir jame saugomi 5 (penkis) metus nuo įtraukimo į VIPVIS duomenų bazės archyvą datos. Pasibaigus šiam terminui, duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

VIPVIS naudotojų asmens duomenys, nurodyti Nuostatų 26.2 ir 26.13.4 papunkčiuose, saugomi visą jų naudojimosi VIPVIS laikotarpį ir 2 (dvejus) metus nuo paskutinio jų prisijungimo dienos. Pasibaigus šiam 2 (dvejų) metų laikotarpiui, asmens duomenys yra sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

45.  VIPVIS kūrimas, tvarkymas, priežiūra ir modernizavimas finansuojami iš Lietuvos Respublikos valstybės biudžeto, įskaitant Europos Sąjungos struktūrinių fondus, lėšų.

46.  VIPVIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.

47.  Likviduojamos VIPVIS duomenys perduodami kitai informacinei sistemai, kuri steigiama vietoj likviduojamos, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

48.  Duomenų subjektų teisės įgyvendinamos ekonomikos ir inovacijų ministro patvirtintu Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašu.

49.  Informacija apie asmens duomenų tvarkymą teikiama Lietuvos Respublikos ekonomikos ir inovacijų ministerijos interneto svetainėje http://eimin.lrv.lt/.

1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) elektroninės informacijos saugos (kibernetinio saugumo) (toliau – elektroninės informacijos sauga) politiką.

2.  Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai).

3. Elektroninės informacijos saugos politika įgyvendinama pagal Lietuvos Respublikos ekonomikos ir inovacijų ministro tvirtinamus VIPVIS saugos politikos įgyvendinamuosius dokumentus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų aprašo
7.2–7.4 papunkčiuose (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatai kartu su saugos politiką įgyvendinančiais dokumentais sudaro VIPVIS saugos dokumentus (toliau – Saugos dokumentai).

4. Saugos dokumentų taikymas ir naudojimas:

5. VIPVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

6. Elektroninės informacijos saugos užtikrinimo tikslai:

7. VIPVIS valdytojo funkcijos:

8. VIPVIS tvarkytojo funkcijos:

9.    Už elektroninės informacijos saugą pagal kompetenciją atsako VIPVIS valdytojas ir VIPVIS tvarkytojas.

10.  VIPVIS valdytojas atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

11.  VIPVIS tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka.

12.  VIPVIS saugos įgaliotinio funkcijos:

13.  VIPVIS administratoriai pagal atliekamas funkcijas skirstomi į grupes:

14.     VIPVIS administratoriai yra atsakingi už tinkamą saugos dokumentuose nustatytų funkcijų atlikimą.

15.     VIPVIS administratoriai privalo vykdyti VIPVIS saugos įgaliotinio nurodymus ir pavedimus dėl VIPVIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos incidentus ir teikti VIPVIS saugos įgaliotiniui informaciją apie pagrindinių saugos užtikrinimo komponentų būklę.

16.  Atlikdamas VIPVIS sąrankos pakeitimus, VIPVIS komponentų administratorius turi laikytis VIPVIS pokyčių valdymo tvarkos, nustatytos VIPVIS valdytojo tvirtinamose VIPVIS saugaus elektroninės informacijos tvarkymo taisyklėse.

17.  VIPVIS komponentų administratorius privalo patikrinti (peržiūrėti) VIPVIS sąranką ir VIPVIS būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) atlikus VIPVIS pakeitimus.

18.  Tvarkant VIPVIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi šiais teisės aktais ir standartais:

19.  VIPVIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos elektroninės informacijos kategorijai. Elektroninė informacija šiai kategorijai priskiriama vadovaujantis Klasifikavimo gairių aprašo 9.2 ir 9.3 papunkčiais.

20.  VIPVIS pagal joje tvarkomos informacijos svarbą, vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, yra priskiriama trečiai informacinių sistemų kategorijai.

21.  Rizikos vertinimo organizavimas:

22. Informacinių technologijų saugos atitikties vertinimo organizavimas:

23.     Elektroninės informacijos saugos būklės gerinimas:

24.  Organizaciniai ir techniniai elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai nustatomi pagal Saugos nuostatų 19 punkte nustatytą VIPVIS svarbos kategoriją, vadovaujantis Saugos nuostatų 18 punkte nurodytais teisės aktais ir standartais.

25.  Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai:

26. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.  Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

28.  VIPVIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, savo darbe vadovautis Saugos dokumentais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą. VIPVIS tvarkytojas turi sudaryti sąlygas kelti VIPVIS saugos įgaliotinio kvalifikaciją.

29.  VIPVIS saugos įgaliotiniu negali būti skiriamas asmuo, neatitinkantis Valstybės informacinių išteklių valdymo įstatymo 42 straipsnio reikalavimų.

30.  VIPVIS saugos įgaliotiniui kasmet turi būti organizuojami mokymai kibernetinio saugumo klausimais arba sudaromos sąlygos kelti kvalifikaciją individualiai.

31.  VIPVIS administratoriai pagal kompetenciją privalo išmanyti informacijos saugos principus, mokėti užtikrinti VIPVIS ir joje tvarkomos elektroninės informacijos saugą, administruoti ir prižiūrėti VIPVIS komponentus (stebėti VIPVIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, gebėti užtikrinti nepertraukiamą VIPVIS komponentų funkcionavimą). VIPVIS administratoriai turi būti susipažinę su Saugos dokumentais.

32.  VIPVIS administratoriais skiriami VIPVIS tvarkytojo darbuotojai, išmanantys darbą su VIPVIS taikomąja programine įranga ir gebantys atlikti funkcijas, susijusias su VIPVIS naudotojų teisių valdymu. VIPVIS administratoriai turi būti pasirašę konfidencialumo pasižadėjimą saugoti asmens duomenų paslaptį.

33.  VIPVIS administratoriai turi būti susipažinę su duomenų bazių administravimo ir priežiūros pagrindais ir kontroliuoti paslaugų teikėją, administruojantį ir prižiūrintį VIPVIS techninę ir programinę įrangą.

34.  VIPVIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos dokumentais.

35.  VIPVIS tvarkytojo darbuotojai (išskyrus VIPVIS saugos įgaliotinį ir VIPVIS administratorius), kurie dalyvauja prižiūrint, valdant ir tobulinant VIPVIS, privalo gerai išmanyti VIPVIS veiklos principus, būti susipažinę ir vykdyti Saugos dokumentuose nustatytus reikalavimus bei atlikti Saugos dokumentuose nurodytas procedūras.

36.  VIPVIS saugos įgaliotinis įvairiais būdais (priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems VIPVIS naudotojams, VIPVIS administratoriams) VIPVIS naudotojams primena apie elektroninės informacijos saugos ar kibernetinio saugumo problemas.

37.  Mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), VIPVIS saugos įgaliotinio, VIPVIS naudotojų ar VIPVIS administratorių poreikius.

38.  Mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje) būdu.

39.  VIPVIS naudotojų, VIPVIS administratorių mokymai turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus kalendorinius metus. Už mokymų organizavimą atsakingas VIPVIS saugos įgaliotinis.

40.  Tvarkyti ir naudoti VIPVIS elektroninę informaciją gali tik VIPVIS naudotojai, susipažinę su VIPVIS Saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir raštu sutikę laikytis šių teisės aktų reikalavimų. Už VIPVIS naudotojų supažindinimą su šiais Saugos dokumentais pagal kompetenciją yra atsakingas VIPVIS saugos įgaliotinis. Asmenys, kurie tvarko asmens duomenis, privalo laikytis Reglamente (ES) 2016/679 nustatytų asmens duomenų tvarkymo principų ir reikalavimų.

41.  VIPVIS naudotojų supažindinimas su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą bei su informacija apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas programinėmis VIPVIS tvarkytojo priemonėmis.

42.  VIPVIS administratorius su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina VIPVIS saugos įgaliotinis per 10 darbo dienų nuo VIPVIS įteisinimo, o su kitais saugos dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.

43.   Su saugos dokumentais pakartotinai supažindinama tik iš esmės pasikeitus VIPVIS arba elektroninės informacijos saugą reguliuojantiems teisės aktams.

44.  VIPVIS naudotojų supažindinimas su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą bei informacija apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas programinėmis VIPVIS tvarkytojo priemonėmis.

45.  VIPVIS naudotojai, VIPVIS administratoriai ir VIPVIS saugos įgaliotinis, pažeidę Saugos dokumentų ir saugų elektroninės informacijos tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

46.  VIPVIS valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba pakeitimai, susiję su teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų saugos dokumentų kopijos.

47.    VIPVIS tvarkytojas Saugos dokumentus iš esmės turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos vertinimą, ryšių ir informacinės sistemos rizikos vertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems VIPVIS valdytojo ar tvarkytojo pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti VIPVIS saugą.