3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. asmens duomenų apsauga;

3.3. informacinių sistemų veiklos tęstinumo užtikrinimas;

3.4. informacinių sistemų rizikos valdymas;

3.5. informacinių sistemų naudotojų mokymas elektroninės informacijos saugos klausimais.

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją informacinėse sistemose;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

6.1. IS valdytojui;

6.2. IS tvarkytojui;

6.3. IS naudotojams – IS valdytojo valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartį, arba IS tvarkytojo darbuotojams, pagal kompetenciją naudojantiems ir (ar) tvarkantiems elektroninę informaciją;

6.4. IS saugos įgaliotiniui;

6.5. IS administratoriui.

9.1. pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;

9.2. tvirtina IS saugos dokumentus ir kitus teisės aktus, kuriuose reglamentuojamas IS tvarkymo teisėtumas ir IS elektroninės informacijos sauga;

9.3.  užtikrina saugos dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą, tinkamą įgyvendinimą;

9.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.5. atsižvelgdama į informacinių sistemų rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą;

9.6. užtikrina veiksmingą ir spartų pokyčių, susijusių su informacinių sistemų valdymu, planavimą;

9.7. atlikus informacinių technologijų saugos atitikties vertinimą, tvirtina pastebėtų trūkumų šalinimo planą;

9.8. skiria informacinių sistemų elektroninės informacijos saugos įgaliotinį (toliau – saugos įgaliotinis);

9.9. skiria informacinių sistemų administratorių (toliau – administratorius);

9.10. atlieka kitas saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas funkcijas.

10.1. atsako už tinkamą IS elektroninės informacijos saugos priemonių įgyvendinimą;

10.2. teikia IS valdytojo vadovui siūlymus dėl IS administratoriaus paskyrimo ir reikalavimų jam nustatymo;

10.3. teikia IS valdytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;

10.4. teikia IS valdytojui siūlymus dėl IS saugos dokumentų priėmimo arba keitimo;

10.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupė);

10.6. organizuoja IS rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;

10.7. teikia IS administratoriui ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos politikos įgyvendinimu;

10.8. konsultuoja naudotojus informacijos saugos klausimais;

10.9. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems IS valdytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

10.10. supažindina IS administratorių ir IS naudotojus su IS saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą;

10.11. organizuoja IS naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

10.12. atlieka kitas IS valdytojo pavestas, IS saugos dokumentuose jam priskirtas funkcijas.

11.1. užtikrina IS techninės ir programinės įrangos diegimą ir funkcionavimą;

11.2. diegia ir prižiūri programinę įrangą, reikalingą IS naudotojų funkcijoms vykdyti;

11.3. suteikia teisę IS naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;

11.4. užtikrina IS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato IS pažeidžiamas vietas;

11.5. atsako už IS naudotojų registravimą ir prieigos teisių nustatymą;

11.6. dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

11.7. nuolat teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę, neveikiančias ar netinkamai veikiančias IS elektroninės informacijos saugos užtikrinimo priemones, Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų pažeidimus,  registruoja elektroninės informacijos saugos incidentus ir apie juos informuoja saugos įgaliotinį, teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo; 

11.8. daro IS elektroninės informacijos atsargines kopijas ir atsako už kopijų saugojimą;

11.9. pagal kompetenciją teikia siūlymus dėl IS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

11.10. atlieka kitas IS tvarkytojo, saugos įgaliotinio pavestas, Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

12.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

12.2. Lietuvos Respublikos dokumentų ir archyvų įstatymas;

12.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

12.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

12.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

12.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

12.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

12.8. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

12.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

12.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai;

12.11. IS saugos dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

17.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

20.1. įvertinama saugos politiką įgyvendinančių dokumentų ir realios informacijos saugos situacijos atitiktis;

20.2. inventorizuojama IS techninė ir programinė įranga;

20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų IS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;

20.4. įvertinama IS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

20.5. įvertinamas pasirengimas užtikrinti IS veiklos tęstinumą įvykus saugos incidentui.

22.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

22.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

22.3. kur galima, turi būti įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

27.1. IS tarnybinėse stotyse ir kompiuterinėse darbo vietose turi būti kenksmingos programinės įrangos aptikimo priemonės, kurios reguliariai tikrina atnaujinamus ne rečiau kaip kartą per parą;

27.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

27.3. turi būti naudojama tik legali ir IS naudotojų funkcijoms vykdyti ir IS administruoti būtina programinė įranga;

27.4. programinė įranga turi būti nuolat atnaujinama, laikantis gamintojo reikalavimų;

27.5. programinę įrangą diegti, šalinti ir konfigūruoti gali tik IS administratorius;

27.6. turi būti įgyvendinta prievolė ne rečiau kaip kas tris mėnesius keisti slaptažodžius;

27.7. IS naudotojams draudžiama patiems diegti bet kokią programinę įrangą;

27.8. IS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

27.9. IS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų.

28.1. stacionarūs ir nešiojamieji IS naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi IS duomenys ir IS informacija;

28.2. stacionariuose ir nešiojamuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis;

28.3. IS valdytojo kompiuterį prijungti prie IS kompiuterių tinklo gali tik IS administratorius;

28.4. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose, kelionės metu nešiojamieji kompiuteriai turi būti saugomi;

28.5. IS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

29.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;

29.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

29.3. prieigos prie IS elektroninės informacijos teises gali suteikti tik IS administratorius. IS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės. IS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės. Prieigos prie IS elektroninės informacijos valdymas apibrėžtas IS naudotojų administravimo taisyklėse;

29.4. pasibaigus IS naudotojo darbo sutarčiai, teisė naudotis IS elektronine informacija turi būti panaikinta. IS naudotojui prieiga prie IS turi būti ribojama ar sustabdoma, kai vyksta IS naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos;

29.5. IS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai IS duomenų bazei. Prireikus jas atkurti turi teisę tik IS administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma IS saugaus elektroninės informacijos tvarkymo taisyklėse.

31.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

31.2. sugebėti vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;

31.3. tobulinti kvalifikaciją elektroninės informacijos saugos srityje;

31.4. savo darbe vadovautis IS saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

32.1. išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

32.2. mokėti administruoti ir prižiūrėti IS;

32.3. būti susipažinę su IS Saugos nuostatais, IS saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

33.1. turėti pagrindinius darbo kompiuteriu įgūdžius;

33.2. darbo vietoje rūpintis tvarkomos informacijos saugumu;

33.3. būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

38.1. IS naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., siunčiami priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IS darbuotojams, IS administratoriui ir pan.);

38.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai pasirenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ir programinę įrangą), IS saugos įgaliotinio, IS sistemos naudotojų ar IS administratoriaus poreikius;

38.3. mokymai turi būti vykdomi tiesioginiu (pvz.: paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz. vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);

38.4. mokymai IS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas IS įgaliotinis. Mokymai IS saugos įgaliotiniui ir IS administratoriui turi būti organizuojami pagal poreikį.