1. Organizacinių ir techninių asmens duomenų saugumo priemonių Vyriausiojoje tarnybinės etikos komisijoje įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato organizacines ir technines asmens duomenų saugumo priemones ir jų taikymo tvarką Vyriausiojoje tarnybinės etikos komisijoje (toliau – Komisija, VTEK) tvarkant asmens duomenis automatiniu būdu ir neautomatiniu būdu susistemintose rinkmenose.

2. Aprašas taikomas VTEK, kaip duomenų valdytojai tvarkančiai asmens duomenis, ir jos pasitelktiems paslaugų teikėjams, teikiantiems su asmens duomenų tvarkymu ir (ar) duomenų saugumo užtikrinimu susijusias paslaugas (toliau – Paslaugų teikėjai). Aprašo privalo laikytis visi Komisijos nariai, VTEK valstybės tarnautojai, pagal darbo sutartis dirbantys darbuotojai, praktiką atlikti priimti asmenys bei asmenys kitais pagrindais atliekantys funkcijas ar vykdantys veiklą VTEK (toliau visi šie asmenys – VTEK darbuotojai), kurie tvarko VTEK esančius asmens duomenis arba eidami savo pareigas su jais susipažįsta.

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1–88) (toliau – BDAR) ir Valstybinės duomenų apsaugos inspekcijos 2018 m. spalio 31 d. Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairėmis asmens duomenų valdytojams ir tvarkytojams. 

4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR.

5. VTEK siekia užtikrinti darbuotojų pareigų ir atsakomybės sričių atskyrimą, kad būtų sumažinta neteisėto ar netyčinio asmens duomenų pakeitimo, atskleidimo ar netinkamo panaudojimo rizika.

6. Komisijos pirmininkas, VTEK padalinių vadovai yra atsakingi už tai, kad VTEK darbuotojai ir paslaugų tiekėjai vadovautųsi šiuo Aprašu.

7. VTEK informacinių technologijų (toliau – IT) priežiūrą vykdantis asmuo, kuriuo gali būti VTEK darbuotojas arba išorės paslaugų teikėjas (toliau – IT saugos įgaliotinis), yra atsakingas už informacijos saugos valdymo palaikymą, darbo organizavimą, periodinį informacijos saugos rizikos vertinimą ir informacijos saugos koordinavimą bei kontrolę VTEK.

8. VTEK darbuotojai  yra asmeniškai atsakingi už šių Aprašo nuostatų laikymąsi, tinkamą asmens duomenų tvarkymą ir saugumo priemonių užtikrinimą vadovaujantis šiame Apraše ir teisės aktuose įtvirtintais asmens duomenų tvarkymo reikalavimais.

9. Jeigu įmanoma, VTEK užtikrina, kad prieiga prie visos VTEK informacijos, įskaitant asmens duomenis, nebūtų suteikiama vienam asmeniui, nekontroliuojant jo veiksmų.

10. VTEK užtikrina, kad būtų registruojami naudotojų veiksmai, atliekami su asmens duomenimis.

11. VTEK užtikrina, kad Paslaugų teikėjai būtų supažindinti su VTEK taikomais asmens duomenų saugumo reikalavimais ir raštu įsipareigotų jų laikytis. Asmens duomenų saugumo reikalavimai gali būti įtvirtinti sutartyje su Paslaugų teikėju arba pridedami kaip jos priedas. Paslaugų teikėjai turi laikytis šių principų:

12. VTEK turi IT išteklių, naudojamų asmens duomenims tvarkyti, registrą (techninės, programinės ir tinklo įrangos). Už registro pildymą atsakingas VTEK Administravimo skyriaus vedėjas arba Vyriausioji finansininkė. Registro forma pateikiama šio Aprašo priede.

13. IT ištekliai reguliariai, kartą per 3 mėnesius, peržiūrimi ir prireikus atnaujinami. Už peržiūrą atsakingas IT saugos įgaliotinis.

14. Darbo vietų kompiuteriai, programinė įranga, kompiuterių tinklai, spausdintuvai, interneto ryšys, elektroninio pašto sistema, kita kompiuterių įranga bei kitos VTEK darbuotojams suteiktos elektroninės darbo priemonės turi būti naudojamos tik darbuotojų tiesioginėms darbo funkcijoms atlikti.

15. Darbuotojams draudžiama darbo vietos kompiuteryje diegti ar šalinti programas arba kitaip modifikuoti darbo vietos kompiuteryje veikiančią sistemą.

16. Darbo vietų kompiuteriuose draudžiama diegti nelicencijuotą programinę įrangą, programinę įrangą, kuri sudaro galimybes pasinaudoti šio kompiuterio ištekliais per tinklą.

17. VTEK naudojama tik legali programinė įranga, kuri konfigūruojama ir atnaujinama laikantis jos gamintojo rekomendacijų.

18. Serveriuose, duomenų bazėse, nešiojamuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose tvarkomi asmens duomenys, esant galimybei, yra šifruojami.

19. Kiekvienas stacionarus kompiuteris turi turėti nuolatinę vietą. Draudžiama pernešti kompiuterį į kitą darbo vietą be IT saugos įgaliotinio ar Komisijos pirmininko leidimo ir žinios. Ši nuostata netaikoma nešiojamiesiems kompiuteriams.

20. Nešiojamieji kompiuteriai, mobilieji telefonai ir kiti mobilieji įrenginiai (toliau – mobilieji įrenginiai), VTEK suteikti darbuotojams, gali būti naudojami ir prižiūrimi vadovaujantis gamintojo rekomendacijomis.

21. Vartotojų autentifikavimas ir laiškų pasiėmimas iš pašto serverio prieinamas tik šifruotais protokolais (SSL, TLS, HTTPS). Visas įeinantis elektroninio pašto srautas tikrinamas patikima antivirusine programa, kurios pavyzdžių bazė reguliariai (ne rečiau kaip kartą per savaitę) automatiškai atnaujinama. Gaunami elektroniniai laiškai tikrinami nepageidaujamų elektroninių laiškų (angl. spam) filtru.

22. Darbuotojo elektroninio pašto paskyra išjungiama atleidus darbuotoją. Išjungus elektroninio pašto paskyrą, duomenys yra saugomi 30 kalendorinių dienų nuo šios paskyros išjungimo dienos. Komisijos pirmininkas ar jo įgaliotas asmuo per 30 kalendorinių dienų gali prašyti prieigos prie pašto dėžutės, jei to reikia siekiant užtikrinti VTEK veiklos tęstinumą. Po 30 kalendorinių dienų nuo paskyros išjungimo ji naikinama, o pašto dėžutės duomenys ištrinami arba, esant objektyviai būtinybei, VTEK pirmininko nurodymu perduodami įgaliotam asmeniui saugoti ne ilgiau kaip trejus metus.

23. Darbo tikslais naudojamuose mobiliuosiuose įrenginiuose turi būti naudojamos ne mažesnio saugumo lygio priemonės, nei SIM kortelė su PIN kodu arba ekrano užsklanda su slaptažodžiu. SIM kortelės ir ekrano užsklandos kodai turi būti skirtingi.

24. Darbuotojams draudžiama leisti naudotis turimomis elektroninėmis darbo priemonėms tretiesiems asmenims (šeimos nariams ir kt.).

25. Jeigu VTEK leidžiamas nuotolinis darbas, tokiu atveju privalo būti naudojamos bent šios saugumo priemonės:

26. Asmens duomenis gali tvarkyti tik tie VTEK darbuotojai, kurie yra įgalioti dirbti su asmens duomenimis ir kuriems jie yra būtini darbo funkcijų vykdymui.

27. Prieigos teisių prašymai turi būti registruojami elektroninėmis priemonėmis ar kitu būdu.

28. Naudotojų paskyros yra asmeninės. Naudotojų identifikatoriai (prisijungimo vardai) yra unikalūs ir asmeniniai. Bendrų paskyrų naudojimas yra draudžiamas, išskyrus informacinių sistemų integracijos bei informacinių technologijų infrastruktūros priežiūros tikslais.

29. Darbuotojams yra suteikiamos tik tokios prieigos teisės, kurios yra reikalingos jų darbo funkcijų atlikimui.

30. Privilegijuotų (administratoriaus) prieigos teisių suteikimas ir naudojimas turi būti ribojamas ir kontroliuojamas. Privilegijuotos teisės yra suteikiamos esant tiesioginio darbuotojo vadovo, darbuotojo, atsakingo už asmens duomenų tvarkymą, bei darbuotojo, atsakingo už informacijos saugą, sutikimui. Sutikimai turi būti dokumentuojami arba leidimai turi būti suteikiami tokiu būdu, jog būtų galima įsitikinti, kad leidimas buvo duotas.

31. Prieš suteikiant privilegijuotas teises, turi būti įvertinama darbuotojo esamų pareigų atskyrimo galimybė bei kylančios rizikos.

32. Prieigos teisės turi būti peržiūrimos bent kartą per metus. Šią peržiūrą atlieka darbuotojų tiesioginiai vadovai ir darbuotojai, atsakingi už asmens duomenų tvarkymą.

33. Privilegijuotų naudotojų teisės turi būti peržiūrimos bent du kartus per metus. Šią peržiūrą atlieka darbuotojai, atsakingi už asmens duomenų tvarkymą.

34. Pasikeitus darbuotojo pareigoms, turi būti peržiūrimos ir, jei reikia, keičiamos prieigos prie asmens duomenų teisės.

35. Atleidžiant darbuotoją iš darbo, nutraukiant sutartinius santykius su Paslaugų teikėju, prieigos teisės turi būti panaikintos ne vėliau nei iki paskutinės darbo arba paslaugų teikimo dienos VTEK pabaigos.

36. Konfidencialumo įsipareigojimai lieka galioti darbuotojui ar Paslaugų teikėjui nutraukus santykius su VTEK.

37. Slaptažodžiai turi būti sudaromi laikantis šių reikalavimų:

38. Po 3 nesėkmingų bandymų suvesti slaptažodį įrenginys yra blokuojamas pagal gamintojo saugumo reikalavimus.

39. Pirminiai slaptažodžiai naudotojui turi būti perduodami konfidencialumą užtikrinančiu būdu, pavyzdžiui užrašant ir įteikiant darbuotojui į rankas uždaru pavidalu (užklijuotame voke ar pan.). Pirmo prisijungimo metu naudotojas privalo pasikeisti slaptažodį.

40. Draudžiama palikti informaciją apie slaptažodžius lengvai pasiekiamoje fizinėje ar elektroninėje formoje, pavyzdžiui, užrašyti ant lapelio šalia kompiuterio, patalpinti bendrame serveryje ir panašiai. Draudžiamas automatinis slaptažodžių išsaugojimas.

41. Visi informacinių sistemų gamintojų sukurti pirminiai slaptažodžiai turi būti pakeičiami pirmojo prisijungimo metu.

42. Informacinio turto privilegijuotų (administratoriaus) paskyrų slaptažodžiai turi būti keičiami rankiniu būdu, ne rečiau kaip vieną kartą per metus. Po tokių slaptažodžių pakeitimo apie tai informuojamas Komisijos pirmininkas ar kitas jo įgaliotas asmuo.

43. Darbuotojas yra atsakingas už jo slaptažodžių konfidencialumą. Draudžiama atskleisti naudojamus slaptažodžius kitiems darbuotojams ar kitiems neįgaliotiems asmenims.

44. Slaptažodžiai turi būti nedelsiant pakeičiami, jei įtariama, kad slaptažodžių saugumas yra pažeistas (slaptažodis tapo prieinamas neįgaliotiems asmenims ar kt.).

45. Techninėmis priemonėmis turi būti užtikrinta, kad tinklu perduodami slaptažodžiai būtų šifruoti.

46. Turi būti registruojami sėkmingi ir nesėkmingi naudotojų bandymai prisijungti prie paskyrų, turi būti ribojamas kelių iš eilės nesėkmingų prisijungimų skaičius, blokuojant naudotojo paskyrą.

47. Techninėmis priemonėmis turi būti užtikrinama, jog nenaudojant kompiuterio daugiau nei 15 minučių, automatiškai aktyvuojama ekrano užsklanda. Norint toliau naudotis kompiuteriu, turi būti privaloma įvesti naudotojo slaptažodį.

48. Jei darbuotojas VTEK sutikimu naudoja darbui nuosavas elektronines darbo priemones, būtina užtikrinti, kad nuosavuose įrenginiuose bus įdiegtos tokios pačios apsaugos priemonės, kokios yra įdiegiamos VTEK įrenginiuose. Neužtikrinus tinkamos apsaugos, nuosavus įrenginius naudoti darbui draudžiama.

49. Naudojant darbui nuosavus įrenginius, darbuotojas privalo darbo tikslais sukurti ir šio Aprašo reikalavimus atitinkančiu slaptažodžiu apsaugoti atskirą paskyrą ir / arba naudoti kitas priemones, kurios padėtų atskirti duomenis, tvarkomus vykdant darbo funkcijas, nuo duomenų, tvarkomų asmeniniais tikslais.

50. Jei darbuotojas VTEK sutikimu naudoja darbui nuosavus įrenginius, VTEK turi teisę motyvuotai paprašyti darbuotojo nedelsiant sudaryti galimybę VTEK darbuotojams ar Paslaugų teikėjams susipažinti su darbuotojo nuosavuose įrenginiuose esančiais duomenimis.

51. VTEK turi teisę darbuotojui priklausančiuose nuosavuose įrenginiuose esančius asmens duomenis, susijusius su darbuotojo darbo funkcijų vykdymu, savo nuožiūra naudoti ir / arba tokius duomenis ištrinti.

52. Kai darbuotojas baigia tarnybą VTEK arba nutraukia sutartį su VTEK, jis privalo VTEK atstovo akivaizdoje ištrinti visus su darbu VTEK susijusius asmens duomenis iš nuosavų įrenginių ir išorinių laikmenų. Darbuotojas taip pat turi sudaryti galimybę VTEK atstovui peržiūrėti darbo tikslams naudotus įrenginius ir įsitikinti, jog su darbu VTEK susiję asmens duomenys yra tinkamai ištrinti.

53. VTEK užtikrina patekimo į patalpas kontrolę ir apsaugą, kuri apima apsaugos (judesio) signalizaciją ir kitas priemones.

54. Pašaliniai asmenys į VTEK tarnybines patalpas gali patekti tik lydimi VTEK darbuotojų.

55. Ne darbo metu VTEK patalpose įjungiama signalizacija.

56. Tarnybinėms stotims, kompiuterizuotoms darbo vietoms ir tinklo komutatoriams užtikrinamas atsarginis elektros tiekimas naudojant centrinį nepertraukiamo maitinimo šaltinį. 

57. VTEK patalpose įrengta priešgaisrinė signalizacija, įspėjimo apie gaisrą sistema, ir ugnies gesintuvai (CO2).

58. Tarnybinių stočių patalpoje tinkamas aplinkos drėgnumas ir patalpų temperatūra užtikrinami naudojant kondicionavimo sistemą.

59. Dokumentai, kuriuose yra asmens duomenų, saugomi rakinamose spintose, seifuose arba rakinamose patalpose, į kurias pašaliniai asmenys neįleidžiami.

60. Fizinės saugos priemonių patikrinimas atliekamas ne rečiau kaip kartą per metus arba kitais teisės aktų nustatytais terminais.

61. VTEK priklausanti įranga yra laikoma VTEK patalpose, išskyrus:

62. VTEK naudojama komunalinių paslaugų įranga (elektros skydinė, vandens tiekimo įranga, šildymo ir kondicionavimo įranga) turi būti tinkamai prižiūrima, užtikrinant jos nepertraukiamą veikimą. Tuo tikslu, atsiradus komunalinių paslaugų įrangos gedimams ar iškilus kitokioms su šiomis paslaugomis susijusioms problemoms, apie tai nedelsiant informuojamas VTEK administracinių patalpų valdytojas.

63. VTEK naudojami maitinimo ir telekomunikacijų kabeliai turi būti prižiūrimi ir apsaugoti (prisijungimas prie jų turi būti autorizuotas, kabelių mazgai turi būti paslėpti) nuo slapto prisijungimo, trukdžių ir pažeidimų.

64. VTEK naudojama įranga turi būti techniškai prižiūrima, atliekant reguliarius jos patikrinimus pagal įrangos gamintojo pateiktas specifikacijas, o įrangos priežiūrą gali atlikti tik tinkamą kompetenciją turintys specialistai.

65. Stacionariai VTEK įrangai, kuri yra ne VTEK patalpose, turi būti užtikrinama ne žemesnio lygio sauga kaip ir įrangai, kuri yra VTEK patalpose.

66. Įrangos, kuri yra laikoma Paslaugų teikėjų patalpose, saugumas turi būti užtikrinamas įtraukiant informacijos saugos reikalavimus į sutartį su Paslaugų teikėju. Paslaugų teikėjo atsakomybė ir įsipareigojimai įtvirtinami sutartyje vadovaujantis BDAR nuostatomis.

67. Nebenaudotina stacionari įranga turi būti saugiai sunaikinama, užtikrinant, kad joje esantys asmens duomenys yra sunaikinti ir negali būti atkurti.

68. Keičiant darbuotojo elektronines darbo priemones, informacija iš darbuotojo turėtų elektroninių darbo priemonių turi būti perkeliama į naują priemonę, o turėta įranga paruošiama pakartotiniam naudojimui.

69. Nebenaudotinos elektroninės darbo priemonės gali būti parduodamos, atiduodamos labdarai, atiduodamos sunaikinimui prieš tai įsitikinus, jog įrenginiuose buvę asmens duomenys yra sunaikinti ir negali būti atkurti.

70. Nešiojamos įrangos (elektroninių darbo priemonių) negalima palikti be priežiūros ne VTEK patalpose, išskyrus atvejus, kai nešiojama įranga paliekama saugioje ir ne visiems prieinamoje bei matomoje vietoje, pavyzdžiui, mašinos bagažinėje, užrakintame susitikimų kambaryje. Skrydžio metu įrangą privaloma laikyti rankiniame bagaže.

71. Darbuotojai turi laikytis Švaraus stalo ir Švaraus ekrano politikos.

72. Švaraus stalo politika reiškia, kad:

73. Švaraus ekrano politika reiškia, kad:

74. VTEK naudojama ugniasienė, antivirusinė, programinės įrangos kontrolės ir kita programinė įranga, skirta realiu metu stebėti, aptikti, blokuoti ir šalinti nesankcionuotą ar kenksmingą programinę įrangą. Ši įranga turi nuolat, bet ne rečiau kaip kartą per savaitę, automatiškai pasitikrinti dėl atnaujinimų gamintojo svetainėje ir informuoti administratorių apie reikšmingus įvykius. Darbuotojams draudžiama savarankiškai keisti programinės įrangos atnaujinimų nustatymus.

75. Jei suteikiama galimybė prie VTEK tvarkomų asmens duomenų jungtis nuotoliniu būdu, turi būti jungiamasi naudojant virtualų privatų tinklą (VPN).

76. Darbuotojams draudžiama leisti kitiems asmenims naudotis jiems darbo vietoje priskirta kompiuterine įranga ar savo prieigos vardu (prisijungimo vardu ir slaptažodžiu), išsinešti stacionarią kompiuterinę įrangą iš VTEK patalpų.

77. Kompiuterinėse darbo vietose antivirusinė programinė įranga turi automatiškai pradėti skenuoti į kompiuterį įdėtą išorinę duomenų laikmeną. Darbo vietų kompiuteriuose gali būti naudojamos tik darbo reikmėms skirtos išorinės duomenų laikmenos. Darbuotojams draudžiama asmeniniais tikslais asmens duomenis išsinešti už VTEK ribų išorinėse laikmenose (CD / DVD, USB, kt.).

78. VTEK atsarginės automatiniu būdu tvarkomų asmens duomenų kopijos daromos kiekvieną metų ketvirtį. Atsarginių kopijų tikslas – užtikrinti asmens duomenų prieinamumą ir vientisumą.

79. Asmens duomenys atsarginėse kopijose turi būti užšifruoti arba būtina imtis kitų priemonių duomenų saugumui užtikrinti.

80. Atsarginės kopijos, esant galimybei, saugomos kitame pastate, nei yra įrenginiai, kurių elektroninė informacija buvo nukopijuota.

81. Informacijos saugos įvykiai informacinėse sistemose turi būti registruojami. Siekiant užtikrinti, kad visi informacinių sistemų nesklandumai būtų nustatyti, yra naudojami įvykių, veiksmų ir klaidų registravimo žurnalai, įtraukiant įvykių datą, laiką ir įvykio informaciją. Prisijungimai prie informacinių sistemų (kas ir kada jungėsi, kokius pakeitimus ar kitus veiksmus atliko) protokoluojami pagal konkrečios sistemos funkcines galimybes ir saugomi ne mažiau kaip 6 mėnesius.

82. Įvykių žurnaluose yra asmens duomenų, todėl jiems yra taikomos atitinkamos organizacinės ir techninės saugumo priemonės.

83. Tarnybinių stočių saugumo įvykių žurnalai turi būti reguliariai peržiūrimi bent kartą per mėnesį.

84. Privilegijuotiems naudotojams (administratoriams) draudžiama trinti ar išjungti savo veiklos audito įrašų įrašymo funkciją.

85. Visų VTEK naudojamų informacijos apdorojimo sistemų laikrodžiai privalo būti sinchronizuoti pagal tikslų laiko šaltinį. Tarnybinėse stotyse ir kompiuteriuose laikas sinchronizuojamas nustatytais laiko intervalais siunčiant užklausas į tinklo laiko protokolo (angl. Network Time Protocol) serverius.

86. Serverių operacinės sistemos ir įdiegtos programinės įrangos atnaujinimas vykdomas ne darbo metu numatytomis techninio aptarnavimo valandomis, prieš tai informavus VTEK darbuotojus. Prieš serverių atnaujinimą būtina išsaugoti rezervinę serveriuose saugomos informacijos kopiją.

87. Darbo vietų kompiuterių operacinių sistemų atnaujinimas atliekamas centralizuotai ir, jei techniškai įmanoma, automatiškai, prieš tai apie keitimo poveikį darbui informavus darbuotojus.

88. Darbo vietų kompiuteriai privalo būti reguliariai perkraunami, kad įsigaliotų įdiegti atnaujinimai.

89. Atnaujinimai diegiami tik atlikus išsamų bei sėkmingą testavimą dėl pakeitimo poveikio operacinei sistemai, naudotojo sąsajai ir kitoms įdiegtoms informacinėms sistemoms.

90. Reguliariai turi būti atliekamas VTEK IT infrastruktūros techninio pažeidžiamumo vertinimas.

91. Techninio pažeidžiamumo vertinimo metu nustatyti trūkumai, priklausomai nuo kritiškumo, turi būti šalinami nedelsiant arba sudaromas trūkumų šalimo priemonių planas, numatomi trūkumų šalinimo terminai, paskiriami atsakingi asmenys ir biudžetas.

92. Darbuotojams draudžiama darbo vietų kompiuteriuose savo nuožiūra diegti programinę įrangą.

93. Esant poreikiui darbo vietos kompiuteryje įdiegti nestandartinę programinę įrangą, darbuotojas turi kreiptis į IT saugos įgaliotinį, kuris, įvertinęs su konkrečia programine įranga susijusią riziką, suteiks leidimą ją įdiegti (įdiegs) arba pasiūlys naudoti alternatyvų sprendimą.

94. Nestandartinė programinė įranga gali būti diegiama tik atlikus išsamų bei sėkmingą jos poveikio operacinei sistemai, naudotojo sąsajai, kitoms informacinėms sistemoms testavimą.

95. Kiekvienas naujas prie tinklo prijungiamas informacijos apdorojimo įrenginys turi atitikti šiuos minimalius saugumo reikalavimus:

96. Perduodant asmens duomenis elektroniniu būdu, turi būti naudojami saugūs informacijos perdavimo kanalai ir laikmenos:

97. Asmens duomenys gali būti perduodami ir popierinėje formoje, užtikrinant, jog ji yra perduodama tiesiogiai klientui, naudojantis patvirtintomis informacijos perdavimo paslaugomis: asmeniškai; registruotu laišku; per kurjerius.

98. Kitų elektroninės informacijos apsikeitimo platformų naudojimas galimas tik įsitikinus jų patikimumu.

99. Sutartyse su trečiosiomis šalimis turi būti numatomi tinkami apsikeitimo asmens duomenimis būdai ir su tuo susiję saugumo reikalavimai.

100. Asmeninės elektroninio pašto dėžutės, socialinių tinklų platformų naudojimas susirašinėjimui darbo tikslais yra draudžiamas.

101. Su trečiosiomis šalimis privaloma pasirašyti konfidencialumo susitarimus arba atitinkamas nuostatas įtraukti į sutartis. Su VTEK darbuotojais, tvarkančiais asmens duomenis ar galinčiais su jais susipažinti, pasirašomi konfidencialumo pasižadėjimai.

102. Už konfidencialumo užtikrinimo procesų koordinavimą bei priežiūrą yra atsakingas Komisijos pirmininkas ar kitas jo įgaliotas asmuo.

103. Naujų informacinių sistemų ar funkcionalumų kūrimas turi vykti saugioje, nuo eksploatavimo atskirtoje aplinkoje.

104. Visi pakeitimai ir pakeitimų prašymai turi būti registruojami, fiksuojant jų statusų pakeitimus, statusų pakeitimo autorius bei laiką.

105. Prieš vykdant informacinių sistemų pakeitimus turi būti užtikrinama, kad pakeitimai yra apsvarstyti, ištestuoti bei patvirtinti, kad jie būtų įdiegti tinkamai ir nesukeltų neigiamo poveikio darbui ar informacinėms sistemoms.

106. Visi pakeitimai turi būti diegiami iš anksto numatytu ir suderintu laiku, siekiant kuo mažiau trukdyti VTEK veiklai.

107. Apie pakeitimų, kurie gali turėti įtakos informacinių sistemų ar jų naudotojų darbui, diegimą turi būti informuojami naudotojai.

108. Prieš diegiant pakeitimą turi būti įsitikinama, jog susidarius nenumatytoms aplinkybėms, bus galima atstatyti iki pakeitimo buvusius funkcionalumus ir užtikrinti VTEK veiklos tęstinumą.

109. Už tinkamą pakeitimo diegimą atsakingas IT saugos įgaliotinis.

110. Prieš priimant sukurtą informacinę sistemą turi būti atliekamas sistemos priėmimo testavimas.

111. Priėmimo testavimo metu yra testuojamas informacijos saugos atitikimas reikalavimams bei informacinės sistemos atitikimas specifikacijai.

112. Už diegiamos sistemos saugumo testavimo procesus atsakingas IT saugos įgaliotinis.

113. Atliekant testavimą, neturi būti naudojami asmens duomenys. Jeigu tokie duomenys yra būtini testavimo atlikimui, turi būti užtikrinama, jog jie yra pakeičiami, užmaskuojami, o atlikus testavimą ištrinami iš testavimo aplinkos.

114. Organizacinių ir techninių saugumo priemonių efektyvumas reguliariai (ne rečiau kaip kartą per dvejus metus) peržiūrimas. Nustatyti trūkumai, priklausomai nuo kritiškumo, yra šalinami nedelsiant arba sudaromas trūkumų šalimo priemonių planas, paskiriami atsakingi asmenys ir biudžetas.

115. Aprašas peržiūrimas ir prireikus atnaujinamas ne rečiau kaip kartą per metus.

116. VTEK darbuotojai su Aprašu supažindinami pasirašytinai arba per dokumentų valdymo sistemą.

117. Darbuotojams, tvarkantiems asmens duomenis, periodiškai (ne rečiau kaip kartą per metus) organizuojami asmens duomenų apsaugos ir saugumo mokymai.