VALSTYBĖS ĮMONĖS „REGITRA“
GENERALINIS DIREKTORIUS
ĮSAKYMAS
DĖL Transporto priemonių savininkų apskaitos informacinės sistemos DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2021 m. balandžio 29 d. Nr. 1V-248
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 44 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:
1. T v i r t i n u Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatus (pridedama).
2. S k i r i u Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS):
2.2. duomenų valdymo įgaliotiniu – Transporto priemonių registracijos skyriaus vyriausiąją specialistę, l. e. vadovės pareigas, Miglę Marcevičiūtę;
3. P a v e d u kibernetinio saugumo vyriausiajam specialistui kartu su koordinuojančiuoju administratoriumi, Teisės skyriumi ir TPSAIS duomenų valdymo įgaliotiniu iki 2021 m. spalio 15 d. parengti, nustatyta tvarka suderinti ir pateikti tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus:
PATVIRTINTA
Valstybės įmonės „Regitra“ generalinio
direktoriaus
2021 m. balandžio 29 d. įsakymu Nr. 1V-248
Transporto priemonių savininkų apskaitos informacinės sistemos
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – saugos politika), nustato taisykles ir principus, užtikrinančius saugų TPSAIS elektroninės informacijos (toliau – informacija) valdymą bei tvarkymą. Saugos politika įgyvendinama pagal saugos politiką įgyvendinančius dokumentus: TPSAIS saugaus elektroninės informacijos tvarkymo taisykles, TPSAIS naudotojų administravimo taisykles, TPSAIS veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatų turinį nustato Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsnio 3 dalis.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – saugos reikalavimų aprašas), Transporto priemonių savininkų apskaitos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2021 m. balandžio 28 d. nutarimu Nr. 1V-373 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – TPSAIS nuostatai), bei Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – kibernetinio saugumo reikalavimų aprašas) vartojamas sąvokas.
3. TPSAIS informacijos saugos tikslas – užtikrinti TPSAIS elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą, vykdyti informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją ir valdymą.
4. TPSAIS informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. fizinė informacijos apdorojimo priemonių (patalpų, techninės įrangos, programinės įrangos, ryšių kanalų) apsauga;
4.2. loginė informacinių ir ryšių technologijų (toliau – IRT) išteklių (paskyrų, slaptažodžių, prieigos teisių) apsauga;
4.3. organizacinių saugaus darbo su informacijos ištekliais (įrangos naudojimo, informacijos tvarkymo ir naudojimo) priemonių įgyvendinimas ir kontrolė;
5. TPSAIS informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, sudarant sąlygas saugiai tvarkyti TPSAIS elektroninę informaciją.
6. TPSAIS valdytojas ir tvarkytojas – valstybės įmonė „Regitra“ (toliau – VĮ „Regitra“), adresas: Liepkalnio g. 97, LT-02121 Vilnius. VĮ „Regitra“ atlieka saugos nuostatuose, saugos reikalavimų apraše, TPSAIS nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
7. TPSAIS saugos įgaliotinis (toliau – saugos įgaliotinis) atlieka saugos nuostatuose, saugos reikalavimų apraše, kibernetinio saugumo reikalavimų apraše apibrėžtas saugos įgaliotiniui priskirtas funkcijas. Saugos įgaliotinį skiria TPSAIS tvarkytojas. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems TPSAIS valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.
8. TPSAIS administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:
8.1. koordinuojantysis administratorius, kuris prižiūri TPSAIS administratorių veiklą, siekdamas užtikrinti tinkamą TPSAIS administratorių funkcijų atlikimą. Koordinuojantį administratorių skiria TPSAIS tvarkytojo funkcijas atliekančios įmonės vadovas;
8.2. TPSAIS naudotojų administratorius, kuris atlieka funkcijas, susijusias su TPSAIS naudotojų teisių valdymu. TPSAIS naudotojų administratorių skiria TPSAIS tvarkytojo ITD vadovas;
8.3. TPSAIS komponentų administratoriai, kurie atlieka funkcijas, susijusias su TPSAIS komponentais (kompiuteriais, tarnybinėmis stotimis, jų operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis ir kita technine ir programine įranga, kurios pagrindu funkcionuoja TPSAIS ir užtikrinama joje tvarkomos informacijos sauga ir kibernetinis saugumas), bei TPSAIS komponentų sąranka. TPSAIS komponentų administratorius skiria TPSAIS tvarkytojo ITD vadovas.
9. TPSAIS administratoriai yra atsakingi už tinkamą saugos dokumentuose nustatytų funkcijų atlikimą.
10. TPSAIS administratoriai privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus dėl TPSAIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
11. Atlikdami TPSAIS sąrankos pakeitimus, TPSAIS administratoriai turi laikytis TPSAIS pokyčių valdymo tvarkos, nustatytos TPSAIS saugaus elektroninės informacijos tvarkymo taisyklėse.
12. TPSAIS administratoriai TPSAIS sąranką ir TPSAIS būsenos pokyčius privalo patikrinti (peržiūrėti) ir dokumentuoti reguliariai – ne rečiau kaip kartą per metus ir (arba) po TPSAIS reikšmingesnio pokyčio.
13. Teisės aktai, kuriais vadovaujantis tvarkoma TPSAIS informacija ir užtikrinama jos sauga:
13.1. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
13.2. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – klasifikavimo aprašas);
13.6. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
13.7. kiti TPSAIS valdytojo patvirtinti TPSAIS saugos dokumentai (TPSAIS saugaus elektroninės informacijos tvarkymo taisyklės; TPSAIS veiklos tęstinumo valdymo planas; TPSAIS naudotojų administravimo taisyklės);
13.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
II SKYRIUS
eleKtroninės informacijos SAUGOS VALDYMAS
14. Vadovaujantis klasifikavimo gairių aprašo 9.1, 9.3 ir 12.3 papunkčiais, TPSAIS tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o TPSAIS yra priskiriamas trečiajai kategorijai.
15. Pagrindiniai rizikos veiksniai, galintys turėti įtakos TPSAIS elektroninės informacijos saugumui, yra:
15.1. subjektyvūs netyčiniai (TPSAIS tvarkymo klaidos ir pasirinkimai, ištrynimas, klaidingas teikimas, fiziniai IRT sutrikimai, perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis TPSAIS elektronine informacija, duomenų pakeitimas ar sunaikinimas, IRT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
15.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);
16. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau NKSC) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja TPSAIS IS rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą, prireikus jis gali organizuoti neeilinį rizikos įvertinimą.
17. TPSAIS tvarkytojas, atsižvelgdamas į TPSAIS rizikos įvertinimo ataskaitą, prireikus rengia ir tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Parengti rizikos valdymo dokumentai pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.
19. Siekdamas užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir įgyvendinimo kontrolę saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja TPSAIS IRT saugos (kibernetinio saugumo) reikalavimų atitikties vertinimą, kurio metu:
19.1. įvertinama faktinės TPSAIS informacijos saugos situacijos atitiktis saugos dokumentų, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų su elektroninės informacijos sauga ir kibernetiniu saugumu susijusių teisės aktų reikalavimams;
19.2. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų TPSAIS naudotojų kompiuterizuotų darbo vietų (KDV) ir visų tarnybinių stočių įdiegta programinė įranga ir jos sąranka;
19.3. patikrinama (įvertinama) TPSAIS naudotojams ir administratoriams suteiktų teisių atitiktis atliekamoms funkcijoms;
20. Atlikęs TPSAIS atitikties vertinimą, saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus skiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato TPSAIS tvarkytojas.
21. TPSAIS elektroninės informacijos saugumo priemonės turi būti parenkamos atsižvelgiant į Saugos nuostatų 15 punkto papunkčiuose išvardytus rizikos veiksnius, galinčius turėti įtakos TPSAIS elektroninės informacijos saugumui.
22. Parenkamos tokios saugos priemonės, kad būtų užtikrintas TPSAIS veiklos tęstinumas, patiriama kuo mažiau išlaidų ir užtikrinamas saugus ir nenutrūkstamas TPSAIS veikimas.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
24. Organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai nustatomi pagal Saugos nuostatų 14 punkte nustatytą TPSAIS svarbos kategoriją bei vadovaujantis Saugos nuostatų 13 punkto papunkčiuose nurodytais teisės aktais ir standartais.
25. Programinės įrangos, skirtos TPSAIS apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
25.1. TPSAIS tarnybinėse stotyse ir vidinių TPSAIS naudotojų KDV turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusus, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per parą;
26. Programinės įrangos, įdiegtos tarnybinėse stotyse ir KDV, naudojimo nuostatos:
26.2. vidinių TPSAIS naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina ir ne rečiau kaip kartą per metus peržiūri ir prireikus atnaujina saugos įgaliotinis pagal koordinuojančio administratoriaus teikimą;
26.3. TPSAIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org;
26.4. TPSAIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims;
26.5. programinė įranga tarnybinėse stotyse ir KDV atnaujinama laikantis gamintojų reikalavimų ir rekomendacijų. Tarnybinių stočių ir naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami saugumo užtikrinimo atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;
27. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
27.1. kompiuterių tinklai ir TPSAIS svetainė nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis ir saugiasienėmis (angl. Web Application Firewall) ir įsilaužimų aptikimo ir prevencijos įranga;
27.2. visas duomenų srautas į internetą ir iš jo yra filtruojamas, naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
28. Pagrindinės kompiuterių naudojimo nuostatos:
28.1. prie TPSAIS prisijungiama nuotoliniu būdu tik naudojant saugius protokolus (TLS (angl. Transport Layer Security) standartas ir HTTPS protokolas);
29. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
29.1. tiesioginė prieiga prie TPSAIS elektroninės informacijos suteikiama įgyvendinus TPSAIS naudotojų administravimo taisyklėse nurodytas TPSAIS naudotojų autentifikavimo priemones;
29.2. per metus turi būti užtikrintas TPSAIS prieinamumas ne mažiau kaip 90 proc. laiko visą parą, darbo ir poilsio dienomis;
29.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;
29.4. Metodų, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie TPSAIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir pan.), aprašymai pateikiami TPSAIS saugaus elektroninės informacijos tvarkymo taisyklėse;
29.5. TPSAIS elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius ir kitos elektroninės informacijos perdavimo sąlygos ir tvarka;
29.6. TPSAIS elektroninė informacija, perduodama ne per TPSAIS tvarkytojams priklausančias duomenų perdavimo linijas, privalo būti šifruojama;
30. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
30.1. TPSAIS elektroninė informacija, programinė įranga ir duomenų bazė(-ės) yra kopijuojama(-os) ir saugoma(-os) taip, kad įvykus nenumatytai situacijai TPSAIS veikla būtų visiškai atkurta per 16 valandų;
30.2. elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti informacijos;
30.3. Bandymą atkurti TPSAIS informaciją bent kartą per metus atlieka TPSAIS komponentų administratoriai. Šio bandymo metu TPSAIS informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jei būtų netikėtai prarasti duomenys;
30.4. Atsarginės informacijos kopijos saugomos kitoje patalpoje, nei TPSAIS tarnybinės stotys ar įrenginys, kurio informacija buvo nukopijuota, arba kitame pastate;
31. TPSAIS naudojamų svetainių, pasiekiamų iš išorinių tinklų, saugos techniniai reikalavimai bei reikalavimai interneto paslaugų teikėjui turi atitikti kibernetinio saugumo reikalavimų aprašo 2 priedo lentelėse „Valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudojamos interneto svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė“ ir „Valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudojamo interneto saugumas ir kontrolė“ apibrėžtus reikalavimus, taikomus trečios kategorijos valstybės informaciniams ištekliams.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
33. TPSAIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo nuostatomis, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, nuolat tobulinti kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose (konferencijose).
34. TPSAIS saugos įgaliotinis privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje, savo darbe vadovautis Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais kibernetinį saugumą.
35. TPSAIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninės informacijos ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo veikimui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
36. TPSAIS naudotojų administratoriais skiriamas darbuotojai, išmanantys darbą su TPSAIS taikomąja programine įranga ir gebantys atlikti funkcijas, susijusias su TPSAIS naudotojų teisių valdymu.
37. TPSAIS komponentų administratoriai turi būti susipažinę su kompiuterių ir tarnybinių stočių operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis ir kita technine ir programine įranga, ir kontroliuoti paslaugų teikėjus, administruojančius ir prižiūrinčius TPSAIS techninę ir programinę įrangą.
38. informaciją tvarkantys asmenys privalo laikyti duomenų ir konfidencialios informacijos paslaptį ir būti pasirašę pasižadėjimą ją saugoti. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.
39. TPSAIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su saugos dokumentais. Asmenys, kuriems yra suteikiama teisė tvarkyti asmens duomenis, privalo laikytis Reglamente (ES) 2016/679 bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatytų asmens duomenų tvarkymo principų ir reikalavimų.
40. TPSAIS techninę priežiūrą vykdančių įmonių atsakingi darbuotojai turi atitikti paslaugų TPSAIS vystymo ar priežiūros paslaugų pirkimo dokumentuose numatytus kvalifikacinius reikalavimus bei vykdyti paslaugų teikimo sutartyse numatytas veiklas. Kai perkamos TPSAIS vystymo ar priežiūros paslaugos yra susijusios su prieigos prie TPSAIS bei jame apdorojamos elektroninės informacijos suteikimu, taikomi šie principai:
40.1. TPSAIS techninę priežiūrą vykdančių įmonių darbuotojams prieiga suteikiama pagal TPSAIS naudotojų administravimo taisykles. TPSAIS techninę priežiūrą vykdančių įmonių darbuotojai yra atsakingi už tinkamą TPSAIS saugos įgaliotinio informavimą apie pasikeitimus jų įmonėje, kurie gali turėti įtakos TPSAIS techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie TPSAIS panaikinimui ar keitimui (pvz., nedelsiant pranešti apie tai, kad prieigą prie TPSAIS turintis darbuotojas nutraukia darbo santykius su TPSAIS techninę priežiūrą vykdančia įmone);
40.2. neleidžiamas TPSAIS techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie TPSAIS suteikimas grupinių paskyrų pagrindu;
41. TPSAIS saugos įgaliotinis ne rečiau kaip kartą per trejus metus inicijuoja TPSAIS naudotojų mokymą elektroninės informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos klausimais bei nuolat įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos ir kibernetinio saugumo problemas
V SKYRIUS
NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
42. TPSAIS naudotojai, tvarkantys informaciją, privalo būti susipažinę su saugos nuostatais ir kitais TPSAIS saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už jų pažeidimus.
43. TPSAIS naudotojų supažindinimą su saugos nuostatais ir kitais TPSAIS saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis informuoja TPSAIS naudotojus apie saugos nuostatų pakeitimus ar kitų TPSAIS saugos politiką įgyvendinančių teisės aktų priėmimą, pakeitimą ar pripažinimą netekusiais galios.
44. TPSAIS naudotojų supažindinimas su saugos dokumentais, atsakomybe už juose nustatytų reikalavimų nesilaikymą ir informacija apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas programinėmis Dokumentų valdymo sistemos priemonėmis elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą arba pasirašytinai.