3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. registrų elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos ir duomenų tvarkymo kontrolė;

3.3. fizinė elektroninės informacijos apdorojimo priemonių (patalpų, tarnybinių stočių, elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;

3.4. registrų veiklos tęstinumo užtikrinimas;

3.5. registrų naudotojų mokymas;

3.6. asmens duomenų apsauga.

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti registrų elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

6.1. metodiškai vadovauti registrų tvarkytojui ir koordinuoti registrų funkcionavimą;

6.2. koordinuoti registrų tvarkytojo ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, nustatyta tvarka atlikti jų veiklos priežiūrą;

6.3. atlikti elektroninės informacijos saugos reikalavimų laikymosi priežiūrą;

6.4. nagrinėti registrų tvarkytojo pasiūlymus dėl registrų elektroninės informacijos saugos tobulinimo ir priimti dėl jų sprendimus;

6.5. priimti įsakymus dėl registrų elektroninės informacijos saugumo užtikrinimo;

6.6. užtikrinti veiksmingą ir spartų registrų pokyčių valdymo planavimą;

6.7. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.8. prireikus tvirtinti registrų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.9.  atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.  

7.1. užtikrinti registrų nepertraukiamą veikimą;

7.2. užtikrinti registrų elektroninės informacijos saugą ir saugų jos perdavimą elektroninių ryšių tinklais;

7.3. užtikrinti registrų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

7.4. ne rečiau kaip kartą per metus organizuoti saugos dokumentų persvarstymą (peržiūrėjimą);

7.5. organizuoti registrų naudotojams mokomuosius ir pažintinius kursus registrų elektroninės informacijos tvarkymo klausimais;

7.6. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

11.1. teikti registrų tvarkytojo vadovui pasiūlymus dėl:

11.2. teikti registrų valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

11.3. informuoti registrų valdytojo vadovą apie registrų saugos problemas;

11.4. koordinuoti registrų elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

11.5. teikti administratoriui ir registrų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

11.6.  organizuoti registrų rizikos ir informacinių technologijų saugos atitikties įvertinimą;

11.7. periodiškai organizuoti registrų naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoti juos apie elektroninės informacijos saugos problemas;

11.8. atlikti kitas Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, saugos įgaliotiniui priskirtas funkcijas.

13.1. suteikia teisę registrų tvarkytojo darbuotojams naudotis duomenimis priskirtoms funkcijoms atlikti;

13.2. atlieka registrų naudotojų teisių valdymą;

13.3. administruoja registrų komponentus (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, informacijos perdavimo tinklus), nustato pažeidžiamas vietas ir saugos reikalavimų atitiktį, vykdo stebėseną;

13.4. teikia saugos įgaliotiniui informaciją apie registrų komponentų būklę;

13.5. registruoja saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia siūlymus dėl minėtų incidentų šalinimo;

13.6. ne rečiau kaip kartą per metus ir (arba) po registrų pokyčio patikrina registrų komponentų sąranką ir registrų būsenos rodiklius;

13.7. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su registrų saugos užtikrinimu.

14.1.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

14.2.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

14.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.5.  Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

14.6.  Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.7.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.8.  Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

14.9.  Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą ir saugą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

15.1. Lietuvos Respublikos geležinkelių riedmenų registre ir Traukinio mašinistų registre tvarkoma elektroninė informacija, vadovaujantis Gairių aprašo 4.2.3, 4.2.4 ir 4.2.7 papunkčių nuostatomis, priskiriama svarbios elektroninės informacijos kategorijai;

15.2. Lietuvos Respublikos geležinkelių infrastruktūros registre tvarkoma elektroninė informacija, vadovaujantis Gairių aprašo 4.3.1, 4.3.2 ir 4.3.4 papunkčių nuostatomis, priskiriama žinybinės svarbos elektroninės informacijos kategorijai.

16.1. Lietuvos Respublikos geležinkelių riedmenų registras ir Traukinio mašinistų registras, vadovaujantis Gairių aprašo 5.2 papunkčio nuostatomis, priskiriami antrai kategorijai;

16.2. Lietuvos Respublikos geležinkelių infrastruktūros registras, vadovaujantis Gairių aprašo 5.3 papunkčio nuostatomis, priskiriamas trečiai kategorijai.

20.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis registru elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

20.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

21.1. registrus sudarančių informacinių išteklių inventorizacija;

21.2. įtakos registrų veiklai vertinimas;

21.3. grėsmių ir pažeidimų analizė;

21.4. liekamosios rizikos vertinimas.

22.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

22.2. informacijos saugos priemonės diegimo kaina turi atitikti saugomos informacijos vertę;

22.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

25.1. įvertinama Saugos nuostatų, kitų saugos politikos įgyvendinamųjų teisės aktų ir esamos informacijos saugos atitiktis;

25.2. inventorizuojama registrų techninė ir programinė įranga;

25.3. tikrinama ne mažiau kaip 10 procentų registrų duomenis tvarkančių darbuotojų darbo vietų ir tarnybinių stočių programinė įranga ir jų sąranka;

25.4. patikrinama (įvertinama), ar registrų naudotojams suteiktos teisės atitinka vykdomas funkcijas;

25.5. įvertinama, ar pasirengta užtikrinti registrų veiklos tęstinumą įvykus saugos incidentui (nenumatytai situacijai).

28.1. įvykus registrų techninės ar programinės įrangos pokyčiams, kurie galėtų daryti įtaką registrų veikimui;

28.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė registrų techninei, programinei įrangai ar registruose tvarkomiems duomenims;

28.3. po saugos incidento, kurio metu būtų sutrikdyta registrų veikla, sugadinta ar prarasta registrų elektroninė informacija.

30.1. Turi būti naudojama ir ne rečiau kaip kartą per parą automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.).

30.2. Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

30.3. Registrams funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos kontrolę atlieka administratorius.

30.4. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.

30.5. Programinė įranga turi informuoti administratorių apie pradelstą jos atsinaujinimo laiką.

31.1. Registrų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga, įtraukta į su registrų valdytoju suderintą leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti saugos įgaliotinis. Rasta nelegali programinė įranga nedelsiant pašalinama.

31.2. Registrų naudotojų kompiuterinėje įrangoje turi būti naudojama tik darbo (tarnybos) funkcijoms atlikti reikalinga programinė įranga.

31.3. Tarnybinių stočių ir registrų naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai turi būti operatyviai išbandomi ir įdiegiami.

31.4. Saugos administratorius reguliariai, ne rečiau kaip kartą per mėnesį turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius registrų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių registrų naudotojų darbo vietų kompiuterinėje įrangoje. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį.

31.5.  Programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

31.6. Programinę įrangą diegia, šalina ir konfigūruoja administratorius.

31.7.  Programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“.

32.1. Kompiuterių tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, apsaugos nuo pagrindinių per tinklą vykdomų atakų, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą ir kt.

32.2. Kompiuterių tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių vidinių registrų naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

32.3.  Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

32.4. Naudojami tarnybinės stoties operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius.

32.5. Draudžiama neatpažintiems vartotojams prisijungti prie kompiuterių tinklo iš kompiuterio, nepriklausančio šiam tinklui.

33.1.  Stacionariuosius kompiuterius leidžiama naudoti tik registrų tvarkytojo patalpose.

33.2. Draudžiama keisti stacionariųjų kompiuterių išdėstymo vietas registrų tvarkytojo patalpose be administratoriaus leidimo.

33.3. Stacionarieji kompiuteriai naudojami tik tarnybinėms funkcijoms vykdyti.

33.4. Tarnybiniai nešiojamieji kompiuteriai, turintys prieigą prie registrų, ne registrų tvarkytojo patalpose gali būti naudojami tik tarnybinėms funkcijoms vykdyti.

33.5. Tarnybiniams nešiojamiesiems kompiuteriams, turintiems prieigą prie registrų ir naudojamiems nustatytoms funkcijoms vykdyti, išnešamiems iš registrų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas).

33.6.  Iš stacionariųjų ir tarnybinių nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti nebeatkuriamai pašalinta visa nevieša elektroninė informacija.

33.7. Iš nutolusių registrų tvarkytojo darbo vietų prie registrų jungiamasi naudojant virtualų privatų tinklą.

34.1. Prieiga prie registro yra ribojama ugniasienėmis pagal duomenų teikimo sutartyse numatytus kriterijus (IP adresus).

34.2. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai. Informacijai perduoti gali būti naudojamas Saugus valstybės duomenų perdavimo tinklas (SVDPT).

34.3. Teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas. Tam naudojami saugūs ryšio kanalai (VPN).

35.1. Kontroliuojamas patekimas į registrų tvarkytojo patalpas, įrengiama signalizacija (nuo įsilaužimo ir gaisro).

35.2. Registrų naudotojai atpažįstami pagal vartotojų vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

35.3. Prireikus (jei būtina registrų veiklai užtikrinti) galimas administratoriaus prisijungimas prie kompiuterių ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo nuotoliniu būdu, naudojant virtualų privatų tinklą.

38.1. Registrų naudotojų, administratoriaus, saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose.

38.2. Registrų naudotojai privalo turėti darbo kompiuteriu, taikomosiomis programomis įgūdžių.

38.3. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

38.4.  Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrenginio, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo administracinės nuobaudos paskyrimo praėję mažiau kaip vieneri metai.

38.5. Administratorius pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbą su kompiuterių tinklais, gebėti užtikrinti jų saugą, išmanyti informacinių sistemų komponentų administravimo ir priežiūros pagrindus, būti susipažinęs su saugos dokumentais ir sutikęs laikytis jų reikalavimų.

38.6. Registrų naudotojai turi būti įgiję darbo kompiuteriu įgūdžių, mokėti tvarkyti registrų elektroninę informaciją registrų nuostatuose nurodyta tvarka, išmanyti saugos politiką reglamentuojančius teisės aktus.

38.7. Registrų naudotojai turi būti pasirašytinai susipažinę su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais teisės aktais.

39.1. Registrų naudotojams ir administratoriui turi būti periodiškai, bet ne rečiau kaip kartą per metus organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems registrų naudotojams ir administratoriui ir pan.);

39.2. Mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), registrų naudotojų ar administratoriaus poreikius.

39.3.  Už mokymų organizavimą atsakingas saugos įgaliotinis.