KUPIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL KUPIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2022 m. gegužės 13 d. Nr. ADV-370
Kupiškis
Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 18 straipsnio 1 dalimi, 29 straipsnio 8 dalies 2 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2022 m. gegužės 11 d. raštą Nr. (4.1 E) 6K-435 „Dėl Kupiškio rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatų projekto derinimo“:
1. Tvirtinu Kupiškio rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatus (pridedama).
2. Skiriu:
2.1. Kupiškio rajono savivaldybės administracijos Vidaus administravimo skyriaus vedėją Daivą Aleksandravičienę Kupiškio rajono savivaldybės administracijos informacinių sistemų saugos įgaliotine;
3. Pripažįstu netekusiu galios Kupiškio rajono savivaldybės administracijos direktoriaus 2013 m. rugpjūčio 14 d. įsakymą Nr. ADV-519 „Dėl Kupiškio rajono savivaldybės administracijos informacinių sistemų duomenų saugos nuostatų patvirtinimo“ su vėlesniu pakeitimu.
4. Įpareigoju Vidaus administravimo skyriaus vedėją supažindinti su šiuo įsakymu Savivaldybės administracijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartį, Dokumentų valdymo sistemoje.
PATVIRTINTA
Kupiškio rajono savivaldybės
administracijos direktoriaus
2022 m. gegužės 13 d. įsakymu Nr. ADV-370
KUPIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kupiškio rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Kupiškio rajono savivaldybės administracijos informacinėse sistemose (toliau – IS) tvarkomos elektroninės informacijos saugos tikslus, elektroninės informacijos saugos užtikrinimo prioritetines kryptis, saugų elektroninės informacijos valdymą, organizacinius, techninius ir personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus, apibrėžia elektroninės informacijos saugos politiką.
2. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Lietuvos Respublikos standartuose LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kituose teisės aktuose vartojamas sąvokas.
3. IS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
4. IS elektroninės informacijos saugumo užtikrinimo tikslai:
4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją informacinėse sistemose;
5. Saugos nuostatai nustato IS saugos politiką (toliau – saugos politika). Saugos politika įgyvendinama, vadovaujantis saugaus elektroninės informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, naudotojų administravimo taisyklėmis ir kitais teisės aktais, reglamentuojančiais IS duomenų tvarkymo teisėtumą ir saugų duomenų valdymą.
6. Saugos nuostatai, saugaus elektroninės informacijos tvarkymo taisyklės, veiklos tęstinumo valdymo planas, naudotojų administravimo taisyklės (toliau visi kartu – IS saugos dokumentai) privalomi:
6.3. IS naudotojams – IS valdytojo valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartį, arba IS tvarkytojo darbuotojams, pagal kompetenciją naudojantiems ir (ar) tvarkantiems elektroninę informaciją;
7. IS valdytojas ir tvarkytojas – Kupiškio rajono savivaldybės administracija, įstaigos kodas 188774975, Vytauto g. 2, LT-40115 Kupiškis.
8. Savivaldybės administracija, būdama informacinių sistemų valdytoja ir tvarkytoja, atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimą, priežiūrą bei elektroninės informacijos tvarkymo teisėtumą, taip pat už reikiamų administracinių, techninių ir organizacinių informacinių sistemų elektroninės informacijos saugos priemonių įgyvendinimą, užtikrinimą bei elektroninės informacijos saugos reikalavimų laikymąsi saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatyta tvarka.
9. Savivaldybės administracija, būdama informacinių sistemų valdytoja ir tvarkytoja, atlieka šias funkcijas:
9.1. pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;
9.2. tvirtina IS saugos dokumentus ir kitus teisės aktus, kuriuose reglamentuojamas IS tvarkymo teisėtumas ir IS elektroninės informacijos sauga;
9.3. užtikrina saugos dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą, tinkamą įgyvendinimą;
9.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
9.5. atsižvelgdama į informacinių sistemų rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą;
9.7. atlikus informacinių technologijų saugos atitikties vertinimą, tvirtina pastebėtų trūkumų šalinimo planą;
9.8. skiria informacinių sistemų elektroninės informacijos saugos įgaliotinį (toliau – saugos įgaliotinis);
10. IS saugos įgaliotinis:
10.2. teikia IS valdytojo vadovui siūlymus dėl IS administratoriaus paskyrimo ir reikalavimų jam nustatymo;
10.3. teikia IS valdytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;
10.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupė);
10.7. teikia IS administratoriui ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos politikos įgyvendinimu;
10.9. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems IS valdytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
10.10. supažindina IS administratorių ir IS naudotojus su IS saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą;
10.11. organizuoja IS naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
11. IS administratoriaus funkcijos:
11.3. suteikia teisę IS naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;
11.4. užtikrina IS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato IS pažeidžiamas vietas;
11.7. nuolat teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę, neveikiančias ar netinkamai veikiančias IS elektroninės informacijos saugos užtikrinimo priemones, Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų pažeidimus, registruoja elektroninės informacijos saugos incidentus ir apie juos informuoja saugos įgaliotinį, teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
11.9. pagal kompetenciją teikia siūlymus dėl IS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
12. Teisės aktai, kuriais vadovaujamasi, tvarkant IS elektroninę informaciją ir užtikrinant jos saugumą:
12.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
12.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
12.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
12.8. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
12.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
12.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 10 punktu, Savivaldybės administracijoje tvarkoma informacija priskiriama mažiausios svarbos informacijos kategorijai.
14. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.4 papunkčiu, IS priskiriamas ketvirtajai informacinių sistemų kategorijai.
15. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja rizikos vertinimą. Prireikus (po esminių organizacinių ar sisteminių pokyčių, nustačius naujų rizikos veiksnių ar pan.) saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą. Rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.
16. Rizikos vertinimas įforminamas rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos vertinimo ataskaita pateikiama IS valdytojui.
17. Svarbiausi rizikos veiksniai yra šie:
17.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
18. Rizikos veiksniai rizikos vertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį.
19. Atsižvelgdamas į rizikos vertinimo ataskaitą, IS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas ir techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
20. Siekiant įvertinti IS saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
20.1. įvertinama saugos politiką įgyvendinančių dokumentų ir realios informacijos saugos situacijos atitiktis;
20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų IS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;
21. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama IS valdytojo vadovui. Įvertinus informacinių technologijų saugos atitikties vertinimo ataskaitą, prireikus rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojo vadovas.
22. Elektroninės informacijos saugos priemonės (techninės, programinės, organizacinės ir kitos elektroninės informacijos saugos priemonės) parenkamos vadovaujantis šiais priemonių parinkimo principais:
23. Rizikos vertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių plano kopija, informacinių technologijų saugos atitikties vertinimo ataskaita, pastebėtų trūkumų šalinimo plano kopija ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikiama Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
24. Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai nustatomi pagal Saugos nuostatų 14 punkte nustatytą IS svarbos kategoriją ir vadovaujantis Saugos nuostatų 12 punkte nurodytais teisės aktais.
25. Organizacinių ir techninių elektroninės informacijos saugos priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos elektroninės informacijos saugai, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.
26. Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai detalizuojami saugos politiką įgyvendinančiuose dokumentuose.
27. Pagrindiniai organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai:
27.1. IS tarnybinėse stotyse ir kompiuterinėse darbo vietose turi būti kenksmingos programinės įrangos aptikimo priemonės, kurios reguliariai tikrina atnaujinamus ne rečiau kaip kartą per parą;
27.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;
27.3. turi būti naudojama tik legali ir IS naudotojų funkcijoms vykdyti ir IS administruoti būtina programinė įranga;
27.8. IS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;
28. Leistinos kompiuterių naudojimo ribos:
28.1. stacionarūs ir nešiojamieji IS naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi IS duomenys ir IS informacija;
28.4. išvežti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros viešose vietose, kelionės metu nešiojamieji kompiuteriai turi būti saugomi;
29. Metodai, kuriais užtikrinamas saugus IS elektroninės informacijos teikimas ir (ar) gavimas:
29.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;
29.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
29.3. prieigos prie IS elektroninės informacijos teises gali suteikti tik IS administratorius. IS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės. IS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės. Prieigos prie IS elektroninės informacijos valdymas apibrėžtas IS naudotojų administravimo taisyklėse;
29.4. pasibaigus IS naudotojo darbo sutarčiai, teisė naudotis IS elektronine informacija turi būti panaikinta. IS naudotojui prieiga prie IS turi būti ribojama ar sustabdoma, kai vyksta IS naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos;
29.5. IS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai IS duomenų bazei. Prireikus jas atkurti turi teisę tik IS administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma IS saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
30. IS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinės sistemos saugumui, taip pat galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo, apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jo paskyrimo praėję mažiau kaip vieneri metai.
31. IS saugos įgaliotinis turi:
31.2. sugebėti vertinti rizikos veiksnių tikimybes ir žalos galimybes, organizuoti ir kontroliuoti trūkumų šalinimą;
32. IS administratorius turi:
33. IS naudotojai turi:
34. IS naudotojai, saugos įgaliotinis ir administratorius turi būti pasirašę konfidencialumo pasižadėjimą saugoti asmens duomenų paslaptį.
35. IS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti IS saugos įgaliotiniui.
36. IS elektroninę informaciją tvarkyti ir teikti IS nuostatuose nurodytiems IS duomenų gavėjams gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti IS elektroninę informaciją IS nuostatuose, IS funkcinėje sistemos specifikacijoje, IS naudojimo ir administravimo instrukcijoje nurodyta tvarka ir susipažinę su IS saugos dokumentų reikalavimais.
V SKYRIUS
IS SAUGOS MOKYMŲ PLANAVIMAS, ORGANIZAVIMAS IR VYKDYMAS
37. Remiantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818, saugos įgaliotinis periodiškai organizuoja informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais.
38. IS naudotojų ir IS administratoriaus mokymo planavimo, organizavimo ir vykdymo tvarka, mokymų periodiškumo reikalavimai:
38.1. IS naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., siunčiami priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IS darbuotojams, IS administratoriui ir pan.);
38.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai pasirenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ir programinę įrangą), IS saugos įgaliotinio, IS sistemos naudotojų ar IS administratoriaus poreikius;
38.3. mokymai turi būti vykdomi tiesioginiu (pvz.: paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz. vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);
VI SKYRIUS
IS NAUDOTOJŲ SUPAŽINDINIMO SU IS SAUGOS DOKUMENTAIS PRINCIPAI
39. IS naudotojus su IS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina IS saugos įgaliotinis. IS saugos įgaliotinis, IS naudotojai, IS administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
42. Saugos nuostatai ir IS saugos dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.