LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

 

Į S A K Y M A S

DĖL VĮ REGISTRŲ CENTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJŲ PATVIRTINIMO

 

2007 m. spalio 4 d. Nr. 1R-389

Vilnius

 

Vadovaudamasis Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimo Nr. 410 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 2007, Nr. 49-1891) 2 punktu:

1. Tvirtinu VĮ Registrų centro informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Skiriu:

2.1. VĮ Registrų centro informacinės sistemos saugos įgaliotiniu Vilmą Andziulevičienę – VĮ Registrų centro ekspertę- juriskonsultę;

2.2. VĮ Registrų centro informacinės sistemos saugos politiką įgyvendinančių dokumentų rengėjais:

Vilmą Andziulevičienę – VĮ Registrų centro ekspertę-juriskonsultę,

Martyną Savicką – duomenų saugos įgaliotinį;

Romualdą Staniulį – VĮ Registrų centro Registrų ir informacinių sistemų departamento viršininko pavaduotoją, Registrų informacijos teikimo vartotojams projektavimo skyriaus vedėją.

3. Įpareigoju saugos politiką įgyvendinančių dokumentų rengėjus iki 2007 m. lapkričio 1 d. parengti ir pateikti teisingumo ministrui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.

 

 

 

TEISINGUMO MINISTRAS                                                                            PETRAS BAGUŠKA

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2007 m. rugsėjo 26 d. raštu Nr. 1D-7450(13)

 

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2007 m. spalio 4 d. įsakymu Nr. 1R-389

 

VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybės įmonės Registrų centro (toliau vadinama – VĮ Registrų centras) informacinės sistemos duomenų saugos nuostatai (toliau vadinama – šie nuostatai) reglamentuoja VĮ Registrų centro informacinės sistemos (toliau vadinama – RC IS) paskirtį, funkcijas, jos valdytoją, tvarkytoją, jų teises ir pareigas, RC IS duomenis, jų apdorojimo procesus, duomenų saugos reikalavimus.

2. RC IS – tai elektroninę informaciją, reikalingą teisės aktuose nustatytoms funkcijoms atlikti, apdorojanti sistema, kurią sudaro VĮ Registrų centro tvarkomi valstybės registrai ir posistemės, nurodytos šių nuostatų 23 punkte. VĮ Registrų centro tvarkomi valstybės registrai:

2.1. Nekilnojamojo turto registras;

2.2. Juridinių asmenų registras;

2.3. Adresų registras.

3. Elektroninės informacijos saugos tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją RC IS, išsaugant informacijos konfidencialumą, vientisumą ir prieinamumą.

4. Užtikrinant saugų RC IS tvarkymą, nustatomos elektroninės informacijos saugumo užtikrinimo kryptys:

4.1. Vidinis informacijos saugumo organizavimas:

4.1.1. RC IS valdytojo ir tvarkytojo vadovų įsipareigojimas užtikrinti informacijos saugumą;

4.1.2. informacijos saugumo koordinavimo užtikrinimas;

4.1.3. atsakomybės už informacijos saugumą nustatymas;

4.1.4. prieigos prie informacijos apdorojimo priemonių suteikimas;

4.1.5. nuolatinis RC IS naudotojų švietimas;

4.1.6. konfidencialumo sutartys su RC IS naudotojais;

4.1.7. ryšys su valdžios institucijomis;

4.1.8. ryšių plėtojimas su išoriniais saugumo specialistais;

4.1.9. nepriklausoma informacijos saugumo peržiūra.

4.2. Informacijos saugumo organizavimas su išorinėmis šalimis.

5. Šių nuostatų reikalavimai privalomi RC IS valdytojui, tvarkytojui ir naudotojams.

6. RC IS valdytoja yra Lietuvos Respublikos teisingumo ministerija (Gedimino pr. 30/1, Vilnius). RC IS tvarkytoja – valstybės įmonė Registrų centras (V. Kudirkos g. 18, Vilnius).

7. RC IS valdytoja:

7.1. užtikrina veiksmingą ir spartų RC IS funkcijų pokyčių valdymo planavimą, apimantį pokyčių nustatymą, suskirstymą į kategorijas, įtakos įvertinimą ir pokyčių prioritetų nustatymo procesus;

7.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.3. koordinuoja ir kontroliuoja RC IS tvarkytojo darbą;

7.4. tvirtina teisės aktus, reguliuojančius RC IS informacinių technologijų ir telekomunikacijų infrastruktūros, informacinės sistemos posistemių duomenų tvarkymą ir saugą;

7.5. užtikrina, kad RC IS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais nuostatais ir kitais teisės aktais;

7.6. tvirtina RC IS plėtros strategiją;

7.7. teisės aktų nustatyta tvarka teikia suinteresuotiems asmenims informaciją apie RC IS veiklą;

7.8. sprendžia klausimus dėl informacinės sistemos techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;

7.9. skiria saugos įgaliotinį;

7.10. atsako už informacijos tvarkymo teisėtumą ir informacijos saugą.

8. RC IS tvarkytoja:

8.1. teikia siūlymus RC IS valdytojai dėl informacinės sistemos eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą ir modernizavimą, pagal kompetenciją atlieka RC IS techninės, programinės įrangos priežiūros ir tobulinimo darbus;

8.2. užtikrina RC IS duomenų saugą;

8.3. Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka organizuoja RC IS registrų ir posistemių tarpusavio sąveiką bei jų sąveiką su valstybės registrais, kurie naudoja RC IS infrastruktūrą;

8.4. užtikrina telefoninio, radijo ir duomenų perdavimo tinklų išteklių teikimą teritoriniams padaliniams;

8.5. atlieka centralizuotą RC IS naudotojų administravimą;

8.6. užtikrina saugaus tarnybinio elektroninio pašto (@registrucentras.lt) paslaugos RC IS naudotojams teikimą;

8.7. tvarko VĮ Registrų centro interneto tinklalapį ir užtikrina jo saugą;

8.8. užtikrina interneto paslaugos teikimą naudotojams;

8.9. rengia RC IS plėtros strategiją, RC IS sudarančių registrų ir posistemių duomenų tvarkymą ir elektroninės informacijos saugą reglamentuojančių teisės aktų projektus;

8.10. tvarko RC IS sudarančius registrus jų nuostatuose nustatyta tvarka, RC IS posistemes, kitų valstybės institucijų ir įstaigų valdomų duomenų bazių duomenis duomenų teikimo sutartyse nustatyta tvarka ir sąlygomis;

8.11. užtikrina RC IS plėtros strategijos įgyvendinimą;

8.12. teikia pasiūlymus duomenų valdytojai dėl veiklos tęstinumo valdymo grupės sudėties;

8.13. tvirtina audito metu pastebėtų trūkumų šalinimo planą;

8.14. atsako už duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo teisės aktų nustatyta tvarka;

8.15. atlieka kitas šiuose nuostatuose ir kituose teisės aktuose, susijusiuose su informacinės sistemos tvarkymu, nustatytas funkcijas.

9. RC IS saugos įgaliotinis:

9.1. teikia RC IS valdytojo vadovui pasiūlymus dėl:

9.1.1. administratorių paskyrimo;

9.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

9.1.3. VĮ Registrų centro informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių RC IS, tyrimą;

9.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

9.4. periodiškai inicijuoja RC IS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir kt.);

9.5. kasmet organizuoja visų informacinių sistemų rizikos įvertinimą;

9.6. prireikus gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą;

9.7. rengia rizikos įvertinimo ataskaitą;

9.8. atlieka kitas informacinės sistemos valdytojo vadovo pavestas ir šiais nuostatais jam paskirtas funkcijas;

9.9. atsako už elektroninės informacijos saugos RC IS įgyvendinimą.

10. RC IS administratorius:

10.1. atlieka funkcijas, susijusias su RC IS naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, RC IS sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimo aptikimo sistemomis, duomenų perdavimo tinklais), RC IS sudarančių komponentų sąranka, RC IS pažeidžiamų vietų nustatymu, atitikties saugumo reikalavimams nustatymu;

10.2. turi teisę patikrinti informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius;

10.3. atlikdamas RC IS funkcijų pakeitimus, turi laikytis RC IS valdytojos nustatytos RC IS pokyčių valdymo tvarkos.

11. Saugų registrų informacinės sistemos duomenų tvarkymą reglamentuoja:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

11.2. Lietuvos standartai LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006;

11.3. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

11.4. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

11.5. Lietuvos Respublikos nekilnojamojo turto registro įstatymas (Žin., 1996, Nr. 100-2261; 2001, Nr. 55-1948);

11.6. Nekilnojamojo turto registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. liepos 20 d. nutarimu Nr. 1129 (Žin., 2002, Nr. 72-3077);

11.7. Lietuvos Respublikos nekilnojamojo turto kadastro įstatymas (Žin., 2000, Nr. 58-1704; 2003, Nr. 57-2530);

11.8. Lietuvos Respublikos nekilnojamojo turto kadastro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. balandžio 15 d. nutarimu Nr. 534 (Žin., 2002, Nr. 41-1539; 2005, Nr. 80-2899);

11.9. Juridinių asmenų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2003 m. lapkričio 12 d. nutarimu Nr. 1407 (Žin., 2003, Nr. 107-4810);

11.10. Lietuvos Respublikos adresų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2004 m. birželio 10 d. nutarimu Nr. 715 (Žin., 2004, Nr. 93-3415).

 

II. REGISTRŲ CENTRO INFORMACINĖS SISTEMOS APIBŪDINIMAS

 

12. RC IS paskirtis:

12.1. Operatyviai ir kokybiškai tvarkyti, kaupti, apdoroti, grupuoti, sisteminti, saugoti, naudoti ir teikti atitinkamo registro nuostatuose nurodytus registro duomenis.

12.2. Automatizuotu būdu teikti sukauptus duomenis pagal poreikį:

12.2.1. susijusiems registrams ir informacinėms sistemoms;

12.2.2. valstybės ir savivaldybių institucijoms, kurios atlieka valstybės priskirtas funkcijas, susijusias su registro duomenimis, ar kurioms registro duomenų reikia jų tiesioginėms funkcijoms atlikti įstatymų ir kitų teisės aktų nustatyta tvarka;

12.2.3. registro duomenų teikėjui, kurio duomenys įrašyti registre, jo paties įregistruotus duomenis;

12.2.4. įstatymų ir kitų teisės aktų nustatyta tvarka draudimo įmonėms, bankams, kitiems fiziniams ir juridiniams asmenims, turintiems teisę gauti registro duomenis, išskyrus tuos duomenis, kurių teikimą riboja Lietuvos Respublikos įstatymai, kiti teisės aktai ir šie nuostatai.

12.3. Garantuoti registruose saugomų duomenų saugumą.

13. RC IS tvarkomų duomenų grupės aprašytos atitinkamų registrų nuostatuose.

14. RC IS sudaro:

14.1. Administravimo posistemės, skirtos:

14.1.1. RC IS administruoti;

14.1.2. RC IS stebėti ir testuoti;

14.1.3. duomenų ir duomenų mainų apsaugai užtikrinti;

14.1.4. duomenims konfigūruoti;

14.1.5. rezerviniams duomenims kopijuoti ir archyvuoti;

14.1.6. esamiems ir naujiems naudotojams bei jų grupėms kurti ir administruoti;

14.1.7. ryšiui su RC IS išorine aplinka užtikrinti;

14.1.8. susidariusioms kritinėms situacijoms spręsti;

14.1.9. kompiuterinei technikai, tinklo ir sisteminei programinei įrangai, taikomųjų programų funkcionavimui prižiūrėti.

14.2. Duomenų mainų posistemės, skirtos:

14.2.1. duomenims gauti iš tvarkomų registrų nuostatuose nustatytų duomenų teikėjų;

14.2.2. duomenims teikti tvarkomų registrų nuostatuose nurodytiems duomenų gavėjams;

14.2.3. duomenų tarp RC IS naudotojų ir registrų informacinės sistemos išorės srautams kontroliuoti.

14.3. Paslaugų apskaitos posistemė, skirta:

14.3.1. prašymų atlikti registrų darbus rengimui ir apskaitai;

14.3.2. apmokėjimo dokumentams rengti;

14.3.3. atsiskaitymų už paslaugas apskaitai ir kontrolei;

14.3.4. darbų atlikimo apskaitai ir kontrolei pagal darbų rūšis, atlikėjus, įvykdymo terminus;

14.3.5. tarpusavio atsiskaitymų tarp filialų apskaitai;

14.3.6. buhalterinėms ataskaitoms rengti;

14.3.7. suvestiniams duomenims apie atliktus darbus, atsiskaitymus, skolas rengti.

14.4. Archyvinių bylų posistemė, skirta:

14.4.1. bylų užsakymui iš archyvo formuoti;

14.4.2. bylų judėjimo apskaitai ir kontrolei;

14.4.3. bylų paieškai archyve;

14.4.4. ataskaitoms apie bylų judėjimą rengti.

14.5. Elektroninio archyvo posistemė, skirta:

14.5.1. dokumentams nuskaityti;

14.5.2. elektroniniams dokumentams tvarkyti elektroniniame archyve;

14.5.3. elektroniniams dokumentams teikti.

14.6. Duomenų teikimo registruotiems naudotojams iš registrų duomenų banko posistemė skirta duomenims teikti internetu.

14.7. Registrų duomenų tvarkymo posistemės skirtos registrų nuostatuose aprašytiems duomenims tvarkyti (įregistruoti, išregistruoti, pakeisti) ir juridiniams dokumentams rengti nuostatuose nustatyta tvarka.

 

III. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. Pagal Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymą Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 78-3160) RC IS priskiriama pirmos kategorijos informacinei sistemai.

16. RC IS rizikos veiksnių vertinimas vykdomas:

16.1. periodiškai kasmet;

16.2. pasikeitus RC IS struktūrai (sistemos pakitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas);

16.3. nustačius naujų rizikos formų.

17. Rizikos vertinimas atliekamas vadovaujantis LSR ISO/IEC 17799: 2007 ir LST ISO/IEC TR 15443: 2007 tarptautiniais standartais.

18. Už rizikos vertinimą atsakingas saugos įgaliotinis.

19. Visuose VĮ Registrų centro kompiuteriuose bei serveriuose privalo būti įdiegta antivirusinė sistema ir apsauga nuo nepageidaujamos programinės įrangos. Apsaugos sistemos valdymas:

19.1. apsaugos sistema turi būti valdoma centralizuotai;

19.2. centrinis serveris visą parą privalo tikrinti atnaujinimo galimybę (iš apsaugos sistemos gamintojo serverių) vienos valandos intervalu;

19.3. informacinės sistemos serverių atnaujinimas turi būti vykdomas vienos valandos intervalu;

19.4. kompiuterizuotų darbo vietų apsaugos atnaujinimas turi būti vykdomas keturių valandų intervalu;

19.5. visuose kompiuteriuose ir serveriuose prijungtine veiksena turi veikti antivirusinė ir nepageidaujamos programinės įrangos filtravimo sistema;

19.6. centralizuotas nuskaitymas nuo virusų ir nuo nepageidaujamos programinės įrangos vykdomas vienos savaitės intervalu.

 

IV. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

20. Programinės įrangos naudojimas:

20.1. darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine veikla ir funkcijomis;

20.2. centralizuotai ribojama prieiga prie tam tikro turinio interneto svetainių (žaidimų, pornografinio turinio, nelegalios programinės įrangos puslapiai ir kt.);

20.3. draudžiamas rinkmenų apsikeitimo programų naudojimas.

21. Kompiuterių tinklo kontrolės priemonės:

21.1. visos prieigos prie sistemos iš išorinio interneto tinklo privalomai komutuojamos per užkardą;

21.2. vidinis tinklas turi būti atskirtas nuo išorinio papildoma užkarda;

21.3. tinklu gaunamas duomenų srautas privalo būti filtruojamas;

21.4. naršymas interneto svetainėse privalo būti indeksuojamas ir saugomas taip, kad būtų galima nustatyti, koks naudotojas kuriose svetainėse lankėsi. Šie duomenys privalomai saugomi vieną mėnesį;

21.5. visos gaunamos ir siunčiamos elektroninio pašto žinutės privalomai tikrinamos nuo virusų;

21.6. už kompiuterinio tinklo kontrolės priemones atsakingas Informacinių komunikacijų skyriaus vadovas, kuris sistemų administratoriams priskiria atsakomybės sritis.

22. Kompiuterių naudojimo ribos ne įstaigos patalpose:

22.1. jungtis prie sistemos iš išorinio tinklo, turint tik vidiniame tinkle veikiantį naudotojo statusą, – negalima;

22.2. iš vidinių įmonės išteklių per interneto tinklą gali būti prieinama tik naudotojo pašto dėžutė su autorizacija;

22.3. kaupti ir laikyti registrų informaciją nešiojamajame kompiuteryje griežtai draudžiama;

22.4. leidimas naudotis nešiojamuoju kompiuteriu išduodamas tik pagal prašymą, pagrindžiant tokį poreikį.

23. Duomenų teikimas/priėmimas:

23.1. duomenys teikiami išrašų forma (dokumentai);

23.2. duomenys teikiami vykdant paiešką, prisijungiant išoriniu tinklu (pagal sutartis, nurodant asmenis ir jų IP adresus, iš kurių leidžiamas prisijungimas);

23.3. duomenys teikiami periodiškai teikiant duomenų bazės arba jos dalies kopiją, XML formatu (pagal duomenų teikimo sutartis);

23.4. duomenys teikiami laikmenoje (pagal duomenų teikimo sutartis);

23.5. duomenys teikiami paketų forma juos publikuojant tinklalapyje (pagal duomenų teikimo sutartis, su autorizuotu prisijungimu);

23.6. duomenų priėmimas nustatytas atitinkamų registrų nuostatuose.

24. Duomenų atsarginių kopijų darymas ir atkūrimo reikalavimai reglamentuojami dokumente „VĮ Registrų centro duomenų rezervinio kopijavimo sistemos politika ir instrukcijos“.

25. Siekiant užtikrinti nuostatuose ir kituose saugos politiką reguliuojančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

25.1. įvertinama nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų ir realios informacijos saugos atitiktis;

25.2. inventorizuojama RC IS techninė ir programinė įranga;

25.3. tikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose RC IS duomenis tvarkančių darbuotojų, administratoriaus bei saugos įgaliotinio darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

25.4. patikrinama (įvertinama) RC IS duomenis tvarkantiems darbuotojams, administratoriui bei saugos įgaliotiniui suteiktų teisių atitiktis vykdomoms funkcijoms;

25.5. įvertinamas pasirengimas užtikrinti RC IS veiklos tęstinumą įvykus saugos incidentui.

26. Atlikus 25 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato RC IS valdytojo vadovas.

 

V. REIKALAVIMAI PERSONALUI

 

27. RC IS valdytojo personalui taikomi kvalifikaciniai reikalavimai, nustatomi darbuotojų pareiginiuose nuostatuose.

28. Informacinės sistemos tvarkytojo personalui taikomi kvalifikaciniai reikalavimai:

28.1. saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (Žin., 2007, Nr. 49-1891), Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais;

28.2. RC IS administratoriumi gali būti darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais;

28.3. RC IS naudotojai privalo turėti pareiginiuose nuostatuose nustatytų atitinkamų darbo kompiuteriu įgūdžių.

 

VI. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

29. RC IS naudotojai tvarkyti informacinės sistemos duomenis gali tik susipažinę su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, ir raštu sutikę laikytis jų reikalavimų (pasirašę konfidencialumo sutartį).

30. RC IS naudotojai, prieš suteikiant jiems prieigą prie informacijos, turi išklausyti įvadinį mokymą, skirtą supažindinti su įmonės saugumo politika, saugumo reikalavimais ir teisine atsakomybe.

31. Tolesnis RC IS naudotojų mokymas turi vykti ne rečiau kaip kartą per metus, siekiant ugdyti sąmoningumą ir įgūdžius, išmokti atpažinti informacijos saugumo problemas ir incidentus.

32. Pasikeitus saugos dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos tvarkymą, nuostatoms, saugos įgaliotinis privalo RC IS naudotojus supažindinti su pasikeitimais.

33. Mokymas turi atitikti RC IS naudotojo funkcijas ir atsakomybę.

34. RC IS naudotojus su saugos dokumentais, kitais teisės aktais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis.

35. Už RC IS naudotojų mokymo organizavimą yra atsakingas saugos įgaliotinis.

______________