3.1. valstybės įmonei Registrų centrui (toliau – Registrų centras) (Lvivo g. 25-101, 09320 Vilnius) – IPP valdytojai ir tvarkytojai;

3.2. IPP saugos įgaliotiniui (-iams);

3.3. IPP administratoriams;

3.4. IPP naudotojams;

3.5. IPP funkcionuoti reikalingų paslaugų teikėjams.

5.1. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

5.2. IPP kibernetinio saugumo užtikrinimas;

5.3. asmens duomenų apsauga;

5.4. IPP naudotojų mokymas.

6.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti IPP elektroninę informaciją;

6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

6.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

7.1. atlikti Integruotų paslaugų platformos nuostatuose, patvirtintuose Registrų centro generalinio direktoriaus 2023 m. gruodžio 28 d. įsakymu Nr. VE-641 (1.3E) „Dėl Integruotų paslaugų platformos nuostatų patvirtinimo“ (toliau – IPP nuostatai), nustatytas funkcijas;

7.2. tvirtinti saugos dokumentus ir kitus teisės aktus, susijusius su IPP elektroninės informacijos sauga ir kibernetiniu saugumu;

7.3. užtikrinti saugos dokumentų ir kitų teisės aktų, susijusių su IPP elektroninės informacijos sauga ir kibernetiniu saugumu, tinkamą įgyvendinimą bei užtikrinti IPP elektroninės informacijos saugą ir kibernetinį saugumą;

7.4. atlikti elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų laikymosi priežiūrą ir kontrolę;

7.5. skirti IPP saugos įgaliotinį (-ius) ir IPP administratorius;

7.6. prižiūrėti IPP komponentus (kompiuterius, operacines sistemas ir kitus IPP komponentus, nurodytus Saugos nuostatų 14.3 papunktyje), užtikrinti jų veikimą;

7.7. teikti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą IPP kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

7.8. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 19 punkte nurodytuose teisės aktuose nustatytas IPP valdytojo funkcijas.

8.1. elektroninės informacijos saugą ir kibernetinį saugumą, 

8.2. elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

8.3. reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka.

10.1.  kokiam IPP posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms IPP saugos įgaliotinio ir (arba) IPP administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir (arba) administratorius;

10.2.  kuriam iš IPP saugos įgaliotinių ir (arba) IPP administratorių pavedama koordinuoti IPP saugos įgaliotinių ir (arba) IPP administratorių veiklą.

12.1.  koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą saugos dokumentuose nustatyta tvarka;

12.2.  teikti IPP valdytojo vadovui pasiūlymus dėl:

12.3.  organizuoti rizikos ir informacinių technologijų saugos atitikties įvertinimą;

12.4.  koordinuoti elektroninės informacijos saugos incidentų ir kibernetinių incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais ir kibernetiniais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;

12.5.  teikti IPP administratoriams ir IPP naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

12.6.  turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems IPP valdytojo darbuotojams, dirbantiems pagal darbo sutartį (toliau – darbuotojai), jeigu tai būtina elektroninės informacijos saugos ir kibernetinio saugumo politikai įgyvendinti;

12.7.  atlikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), nustatytas asmens, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą, funkcijas;

12.8.  atlikti kitas saugos dokumentuose ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše saugos įgaliotiniui nustatytas funkcijas.

14.1.  koordinuojantysis administratorius, kuris prižiūri IPP administratorių veiklą, siekdamas užtikrinti tinkamą IPP administratorių funkcijų vykdymą;

14.2.  IPP naudotojų administratoriai, kurie atlieka funkcijas, susijusias su IPP naudotojų teisių valdymu;

14.3.  IPP komponentų administratoriai, kurie atlieka funkcijas, susijusias su IPP komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja IPP ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei IPP komponentų sąranka);

14.4.  IPP saugos administratoriai, kurie atlieka funkcijas, susijusias su IPP pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

19.1.  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir kiti Europos Sąjungos teisės aktai, reglamentuojantys asmens duomenų apsaugą; 

19.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

19.3.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.4.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.5.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.6.  Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

19.7.  Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Metodika);

19.8.  Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

19.9.  Informacinių technologijų saugos atitikties vertinimo metodika;

19.10.  Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.

21.1.    IPP saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo metodai“ grupės standartus, kasmet arba po esminių organizacinių ar sisteminių pokyčių organizuoja IPP rizikos įvertinimą. IPP rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Prireikus IPP saugos įgaliotinis gali organizuoti neeilinį IPP rizikos įvertinimą. Organizuojant rizikos vertinimą, rekomenduojama IPP rizikos vertinimą įtraukti į IPP valdytojo veiklos rizikos vertinimo procesus;

21.2.    organizuojant rizikos vertinimą turi būti paskirtas (-i) už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingas (-i) asmuo (-enys). Atsakingu (-ais) asmeniu (-imis) gali būti skiriamas (-i) IPP valdytojo darbuotojas (-ai) arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu, kuriam reikalavimai kvalifikacijai nustatomi pirkimo dokumentuose.

21.3.    rizikos vertinimo metu turi būti:

21.4.    IPP rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama IPP valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos IPP elektroninės informacijos saugai ir kibernetiniam saugumui, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai rizikos įvertinimo ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:

21.5.    atsižvelgdamas į rizikos įvertinimo ataskaitą, IPP valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

21.6.    rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas IPP valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka;

21.7.    atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu Saugos nuostatų 22 punkte nustatyta tvarka atliekamo informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo, IPP nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas IPP veiklos tęstinumo valdymo planas ir (arba) Kibernetinių ir elektroninės informacijos saugos incidentų valdymo tvarkos aprašas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi šių planų veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.

22.1.  informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę;

22.2.  informacinių technologijų saugos atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip. Ne rečiau kaip kartą per trejus IPP informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai;

22.3.  informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;

22.4.  IPP atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus;

22.5.  atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita ir pastebėtų trūkumų šalinimo planas (prireikus), kurie pateikiami IPP valdytojo vadovui. Pastebėtų trūkumų šalinimo planą prireikus tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IPP valdytojo vadovas;

22.6.  informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas IPP valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

23.1.  techninės, programinės, organizacinės ir kitos IPP elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į IPP valdytojo turimus išteklius, vadovaujantis šiais principais:

23.2.  atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

27.1.  detalūs organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai nustatomi saugos politiką įgyvendinančiuose dokumentuose;

27.2.  turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamų elektroninių laiškų ir pan.). Detalios šios programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.3.  IPP techninėje įrangoje ir vidinių IPP naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Detalios programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, jos atnaujinimo reikalavimai nustatomi IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.4.  turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Detalios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.5.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie IPP būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.6.  stacionarius kompiuterius leidžiama naudoti tik IPP valdytojo patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš IPP valdytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir panašiai).

28.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną IPP neveikimo laikotarpį (angl. recovery time objective);

28.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad IPP veiklos sutrikimo, elektroninės informacijos saugos incidento, kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais neveikimo laikotarpis nebūtų ilgesnis nei teisės aktais nustatytas IPP rūšiai, nurodytai Saugos nuostatų 20 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

28.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau nei nustatyta IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

28.4.  elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

28.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose nei yra IPP tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

28.6.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

28.7.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas IPP saugaus elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

29.1.  visi IPP naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, IPP elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo laikyti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

29.2.  IPP saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. Turi būti sudarytos sąlygos IPP saugos įgaliotiniui kelti kvalifikaciją. IPP saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikalstamas veikas, nurodytas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

29.3.  IPP administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).

30.1.  IPP naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IPP naudotojams, IPP administratoriams ir panašiai);

30.2.  mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), IPP saugos įgaliotinio, IPP naudotojų ar IPP administratorių poreikius;

30.3.  mokymai gali būti vykdomi tiesioginiu (pavyzdžiui: paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu (pavyzdžiui: vaizdo konferencijos, mokomosios medžiagos pateikimas elektroniniu paštu, elektroninėje erdvėje ir panašiai) būdu;

30.4.  mokymai IPP naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už IPP naudotojų mokymų organizavimo koordinavimą atsakingas IPP saugos įgaliotinis;

30.5.  mokymai IPP saugos įgaliotiniui ir IPP administratoriams turi būti organizuojami pagal poreikį.