3.2.1. Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklių projektą;

3.2.2. Informacinės sistemos „E. sąskaita“ veiklos tęstinumo valdymo plano projektą;

3.2.3. Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklių projektą.

2.1. Informacinės sistemos paslaugų vartotojas (toliau – paslaugų vartotojas) – fizinis asmuo arba juridinio asmens darbuotojas, turintys teisę tiesiogiai jungtis prie informacinės sistemos ir pateikti, gauti pridėtinės vertės mokesčio sąskaitas faktūras, kreditinius ir debetinius dokumentus bei avansines sąskaitas (toliau – sąskaitos), patikrinti jų duomenis ar apmokėjimo būseną, arba įstaigos, kurios kontrolės funkcijoms vykdyti reikalingas prisijungimas prie informacinės sistemos, darbuotojas;

2.2. kitos Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos pridėtinės vertės mokesčio įstatyme, Lietuvos Respublikos viešųjų pirkimų įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – aprašas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, vartojamas sąvokas.

4.1. Lietuvos Respublikos pridėtinės vertės mokesčio įstatymas;

4.2. Lietuvos Respublikos buhalterinės apskaitos įstatymas;

4.3. Lietuvos Respublikos viešųjų pirkimų įstatymas;

4.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

4.5. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymas;

4.6. Lietuvos Respublikos kibernetinio saugumo įstatymas;

4.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180;

4.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;

4.9. Lietuvos Respublikos Vyriausybės 2002 m. gegužės 29 d. nutarimas Nr. 780 „Dėl Mokesčiams apskaičiuoti naudojamų apskaitos dokumentų išrašymo ir pripažinimo taisyklių patvirtinimo“;

4.10. Elektroninių paslaugų kūrimo metodika, patvirtinta Lietuvos Respublikos susisiekimo ministro 2015 m. spalio 7 d. įsakymu Nr. 3-416(1.5E) „Dėl metodinių dokumentų patvirtinimo“.

8.1. automatizuotai kaupti duomenis, skirtus viešųjų pirkimų sutarčių vykdymo kontrolei ir skaidrumui didinti, apie viešųjų pirkimų sutarčių vykdymą;

8.2. automatizuoti sąskaitų, kurios apmokamos iš valstybės biudžeto, apmokėjimo kontrolės procesus;

8.3. kompiuterizuoti  perkančiųjų organizacijų veiklos ir valstybės pinigų srautų valdymą.

9.1. rengti, teikti, tvarkyti, priimti ir išsaugoti sąskaitas teisės aktų nustatytais terminais;

9.2. analizuoti sąskaitų duomenis, formuoti ataskaitas;

9.3. teikti sąskaitų duomenis informacinės sistemos duomenų gavėjams elektroniniu būdu;

9.4. teikti informaciją apie pateiktų sąskaitų apmokėjimą paslaugos vartotojams;

9.5. teikti informaciją apie perkančiųjų organizacijų gautas sąskaitas, kurių pagrindu parengtos mokėjimo paraiškos, Lietuvos Respublikos finansų ministerijos Valstybės iždo departamentui;

9.6. teikti informaciją apie pateiktų sąskaitų pagrindu parengtų mokėjimo paraiškų apmokėjimą paslaugų vartotojams;

9.7. gauti iš Viešųjų pirkimų tarnybos sąskaitoms parengti reikalingą informaciją apie viešųjų pirkimų sutartis;

9.8. užtikrinti sąskaitų kilmės autentiškumą, turinio vientisumą ir įskaitomumą.

11.1. priima teisės aktus, susijusius su informacinės sistemos tvarkymu, ir prižiūri, kaip jų laikomasi;

11.2. koordinuoja informacinės sistemos tvarkytojo darbą ir paveda jam vykdyti informacinės sistemos techninės ir programinės įrangos priežiūros funkcijas;

11.3. tvirtina informacinės sistemos kūrimo ir plėtros planus, analizuoja pasiūlymus dėl informacinės sistemos veikimo, priima sprendimus dėl informacinės sistemos tobulinimo ir modernizavimo, kontroliuoja jų vykdymą;

11.4. užtikrina, kad informacinė sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Nuostatais ir kitais teisės aktais;

11.5. organizuoja duomenų saugos užtikrinimą;

11.6. organizacinėmis priemonėmis užtikrina informacinės sistemos prieinamumą, vientisumą, konfidencialumą;

11.7. organizuoja informacinės sistemos tobulinimo darbus;

11.8. vadovauja informacinės sistemos tvarkytojui informacinės sistemos tvarkymo klausimais;

11.9. nagrinėja suinteresuotų asmenų siūlymus tobulinti informacinę sistemą;

11.10. nustato duomenų, kurie teikiami informacinės sistemos duomenų gavėjams, kategorijas;

11.11. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

13.1. organizuoja informacinės sistemos kūrimą;

13.2. tvarko ir administruoja informacinę sistemą ir joje kaupiamus duomenis ir teikia kaupiamus duomenis duomenų gavėjams;

13.3. užtikrina informacinės sistemos funkcionavimą, techninės ir programinės įrangos priežiūrą ir plėtrą;

13.4. techninėmis ir organizacinėmis priemonėmis užtikrina informacinės sistemos duomenų apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo;

13.5. užtikrina centralizuotą duomenų patekimą į informacinę sistemą ir duomenų teikimą iš jos;

13.6. teikia pasiūlymus informacinės sistemos valdytojui dėl informacinės sistemos tvarkymo ir tobulinimo, rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

13.7. tvarko informacinės sistemos duomenų archyvą ir užtikrina jo saugą;

13.8. tvarko paslaugų vartotojų duomenis;

13.9. sudaro sutartis su duomenų teikėjais ir gavėjais;

13.10. suderinęs su informacinės sistemos valdytoju nustato duomenų gavėjams teikiamų duomenų apimtis;

13.11. reikalauja iš duomenų teikėjų, kad jų duomenys būtų tinkami, kokybiški, teisingi ir teikiami nustatytais terminais;

13.12. atsako, kad informacinės sistemos priemonėmis pateiktos sąskaitos ir duomenys, užtikrinantys sąskaitų kilmės autentiškumą, turinio vientisumą ir įskaitomumą, būtų saugomi vadovaujantis Lietuvos Respublikos teisės aktuose nustatyta dokumentų saugojimo tvarka;

13.13. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

16.1. Viešųjų pirkimų tarnyba – teikia duomenis iš Centrinės viešųjų pirkimų informacinės sistemos;

16.2. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos – teikia duomenis iš Mokesčių mokėtojų registro;

16.3. Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos – perduoda duomenis iš Valstybės informacinių išteklių sąveikumo platformos;

16.4. Registrų centras – teikia duomenis iš Juridinių asmenų registro, Elektroninių dokumentų archyvo informacinės sistemos, Mokėjimų ir audito informacinės sistemos, autentifikavimo platformos, Adresų registro, Gyventojų registro.

19.1. gauti informacinės sistemos teikiamas paslaugas;

19.2. įgalioti asmenis tvarkyti ir (ar) peržiūrėti informacinėje sistemoje esančius (tik jo paties) sąskaitų duomenis, pateikti, peržiūrėti sąskaitas, keisti, naikinti šiuos įgaliojimus;

19.3. gauti informaciją apie neteisingus jo sąskaitų duomenis;

19.4. atsisakyti informacinės sistemos paslaugų.

20.1. gauti informacinės sistemos teikiamas paslaugas;

20.2. įgalioti asmenis tvarkyti ir (ar) peržiūrėti perkančiajai organizacijai į informacinę sistemą pateiktus sąskaitų duomenis, pateikti, gauti ir peržiūrėti sąskaitas, keisti, naikinti šiuos įgaliojimus;

20.3. gauti informaciją apie neteisingus gautų sąskaitų duomenis;

20.4. atsisakyti informacinės sistemos paslaugų.

21.1. tvarkyti (teikti, tikslinti, papildyti, naikinti) informacinėje sistemoje esančius sąskaitų ir savo asmens duomenis;

21.2. gavus informaciją apie neteisingus sąskaitų duomenis, juos ištaisyti, patikslinti.

23.1. sąskaitos išrašymo data;

23.2. sąskaitos serija ir numeris;

23.3. tiekėjo PVM mokėtojo kodas;

23.4. pirkėjo (kliento) PVM mokėtojo kodas, kurį jis nurodė įsigydamas prekes, paslaugas ar darbus;

23.5. tiekėjo pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir buveinė arba nuolatinė gyvenamoji vieta (jeigu tai fizinis asmuo);

23.6. pirkėjo (kliento) pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas;

23.7. tiekiamų prekių arba teikiamų paslaugų pavadinimas ir jų kiekis;

23.8. prekių tiekimo, paslaugų teikimo ar darbų atlikimo data, jeigu ji nesutampa su sąskaitos išrašymo data;

23.9. avanso gavimo diena (jeigu sąskaita įforminamas avanso gavimas), kai ji nesutampa su sąskaitos išrašymo data;

23.10. tiekiamos prekės, teikiamos paslaugos ar atliekamų darbų vieneto kaina (be PVM), taip pat nuolaidos, neįtrauktos į vieneto kainą;

23.11. tiekiamų prekių, teikiamų paslaugų ar atliekamų darbų, apmokestinamų taikant vienodą tarifą, apmokestinamoji vertė;

23.12. PVM tarifas (tarifai);

23.13. PVM suma nacionaline valiuta;

23.14. kai įforminamas prekių ir (arba) paslaugų, kurios neapmokestinamos ar apmokestinamos taikant 0 procentų PVM tarifą, tiekimas (teikimas), – nuoroda į atitinkamą Lietuvos Respublikos pridėtinės vertės mokesčio įstatymo (toliau – PVM įstatymas) arba Direktyvos 2006/112/EB „Dėl pridėtinės vertės mokesčio bendros sistemos“ nuostatą, arba bet kokia kita nuoroda, kad prekės (paslaugos) neapmokestinamos ar apmokestinamos taikant 0 procentų PVM tarifą;

23.15. tiekiant prekes į kitą valstybę narę, – duomenys apie naują transporto priemonę:

23.16. fiskalinio agento PVM mokėtojo kodas, pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas – kai pagal PVM įstatymą prievolė apskaičiuoti PVM tenka užsienio apmokestinamojo asmens paskirtam fiskaliniam agentui;

23.17. nuoroda „Maržos apmokestinimo schema. Kelionių agentūros“ – kai taikoma speciali turizmo paslaugų apmokestinimo PVM schema, nurodyta PVM įstatymo XII skyriaus antrajame skirsnyje, arba nuoroda „Maržos apmokestinimo schema. Naudotos prekės“ arba „Maržos apmokestinimo schema. Meno kūriniai“, arba „Maržos apmokestinimo schema. Kolekcionavimo objektai ir antikvariniai daiktai“ – kai taikoma speciali naudotų prekių, meno kūrinių, kolekcinių ir antikvarinių daiktų apmokestinimo PVM schema, nurodyta PVM įstatymo XII skyriaus trečiajame skirsnyje;

23.18. nuoroda „Atvirkštinis apmokestinimas“ – kai įforminamas prekių, darbų ir (arba) paslaugų, už kurias prievolė apskaičiuoti (arba išskaityti) ir sumokėti PVM tenka pirkėjui (klientui), tiekimas (atlikimas, teikimas);

23.19. nuoroda „Pinigų apskaitos sistema“ – kai prievolė apskaičiuoti PVM atsiranda gavus atlygį už patiektas prekes, įvykdytus darbus ar suteiktas paslaugas;

23.20. nuoroda „Sąskaitų faktūrų išsirašymas“ – kai sąskaitą prekių tiekėjo ar paslaugų teikėjo vardu įformina pirkėjas;

23.21. nuoroda „Avansinė sąskaita“ – kai sąskaitą išrašo prekių tiekėjas ir (arba) paslaugų teikėjas, ir (arba) rangovas, t. y. avanso gavėjas, ir nurodo, kad PVM skaičiuojamas nuo avansinio mokesčio;

23.22. už prekes apskaičiuoto akcizo suma – nurodoma  perkančiosios organizacijos pageidavimu, jei perkančioji organizacija nusiperka akcizais apmokestinamų prekių, kurių akcizą ji turi teisę susigrąžinti;

23.23. tikslinamos sąskaitos išrašymo data, serija, numeris ir kiti tikslinamų apskaitos dokumentų duomenys (laikotarpis, kuriuo buvo patiektos prekės, įvykdyti darbai ar suteiktos paslaugos ir kt.);

23.24. bendras kodas, jei tiekėjas yra užsienio įmonė;

23.25. viešojo pirkimo numeris;

23.26. viešojo pirkimo sutarties numeris arba viešojo pirkimo sutarties identifikatorius (jei yra);

23.27. nuoroda dėl pirkimo tipo;

23.28. tiekėjo juridinio asmens kodas ir pirkimo objekto rūšis: darbai, prekė, paslauga ir juos detalizuojančios kategorijos;

23.29. bendrojo viešųjų pirkimų žodyno pagrindinis kodas pirkimui apibūdinti.

24.1. Valstybės biudžeto, apskaitos ir mokėjimų sistemos:

24.2. Centrinės viešųjų pirkimų informacinės sistemos:

24.3. Neteko galios nuo 2018-09-06

Punkto naikinimas:

Nr. 1K-278, 2018-09-03, paskelbta TAR 2018-09-05, i. k. 2018-13996

24.4. Juridinių asmenų registro:

24.5. Registrų centro Elektroninio dokumentų archyvo informacinės sistemos – elektroninių sąskaitų išsaugojimo elektroniniame archyve data;

24.6. Registrų centro Sertifikatų centro:

24.7. Mokesčių mokėtojų registro:

24.8. tiekėjų ir perkančiųjų organizacijų finansų valdymo ir apskaitos informacinių sistemų:

24.9. valstybės informacinių išteklių sąveikumo platformos:

24.10. Registro centro mokėjimų ir audito informacinės sistemos:

24.11. Registrų centro autentifikavimo platformos:

25.1. vardas (vardai);

25.2. pavardė (pavardės);

25.3. pareigos;

25.4. suteiktos prieigos teisės.

26.1.  bendras portalas, kurio funkcija – informacinės sistemos pagrindinio turinio saugojimas. Portale pateikiama bendra informacija: naujienos, teisinė informacija, dažniausiai užduodami klausimai ir atsakymai. Per šį portalą inicijuojamas prisijungimas prie paslaugų vartotojų posistemio arba prie administratorių posistemio;

26.2.  paslaugų vartotojo posistemis, kurio funkcija – pagrindinių veiksmų su sąskaitomis atlikimas. Posistemis sudarytas iš 4 modulių:

26.3.  administratorių posistemis, kurio funkcija – informacinės sistemos konfigūravimo bei valdymo veiksmų vykdymas. Posistemį sudaro 13 modulių:

27.1. Lietuvos Respublikos finansų ministerija;

27.2. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos;

27.3. Viešųjų pirkimų tarnyba;

27.4. CPO LT;

40.1. informacinės sistemos kūrimas ir įdiegimas – iš Europos Sąjungos struktūrinių fondų ir Lietuvos Respublikos valstybės biudžeto lėšų;

40.2. informacinės sistemos priežiūra – iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių;

40.3. informacinės sistemos tvarkymas – iš Lietuvos Respublikos valstybės biudžeto, Europos Sąjungos struktūrinių fondų ir kitų finansavimo šaltinių lėšų, taip pat lėšų, gautų už naudojimąsi informacinės sistemos duomenimis.

2.1. Informacinės sistemos administratorius (toliau – administratorius) – valstybės įmonės Registrų centro (toliau – Registrų centras) darbuotojas, dirbantis pagal darbo sutartį, arba Lietuvos Respublikos teisingumo ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, prižiūrintys informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinantys jų veikimą, elektroninės informacijos saugą ir kibernetinį saugumą, ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos.

2.2. Informacinės sistemos elektroninė informacija (toliau – elektroninė informacija) – duomenys, dokumentai ir informacija, tvarkomi Registrų centro tvarkomoje informacinėje sistemoje.

2.3. Informacinės sistemos kibernetinio saugumo ir elektroninės informacijos saugos dokumentai (toliau – saugos dokumentai) – Saugos nuostatai, Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklės, Informacinės sistemos „E. sąskaita“ veiklos tęstinumo valdymo planas, Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklės.

2.4. Informacinės sistemos kibernetinio saugumo vadovas (toliau – kibernetinio saugumo vadovas) – informacinės sistemos tvarkytojo paskirtas kompetentingas darbuotojas, atsakingas už informacinės sistemos kibernetinio saugumo organizavimą ir užtikrinimą. Kibernetinio saugumo vadovo funkcijas gali atlikti paskirtas Registrų centro padalinys.

2.5. Informacinės sistemos komponentai – kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, serveriai ir kita techninė ir programinė įranga, reikalinga informacinei sistemai funkcionuoti ir joje tvarkomos elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti.

2.6.      Informacinės sistemos naudotojas (toliau – naudotojas) – Registrų centro darbuotojas, dirbantis pagal darbo sutartį, arba Lietuvos Respublikos finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, arba kitas asmuo, informacinės sistemos veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys elektroninę informaciją.

2.7.      Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – informacinės sistemos tvarkytojo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą informacinėje sistemoje.

2.8. Vidinis informacinės sistemos naudotojas (toliau – vidinis naudotojas) – Registrų centro darbuotojas, dirbantis pagal darbo sutartį, arba Lietuvos Respublikos finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, informacinės sistemos veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys elektroninę informaciją.

2.9.    Kitos Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių apraše (toliau – Klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3.1. Saugos dokumentai taikomi:

3.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklių, Informacinės sistemos „E. sąskaita“ veiklos tęstinumo valdymo plano, Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklių naudojimas yra ribojamas – naudotojams, informacinei sistemai funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti tik su šių saugos dokumentų santrauka Saugos nuostatų V skyriuje „Naudotojų supažindinimo su saugos dokumentais principai“ nustatyta tvarka;

3.3. vadovaujantis būtinumo žinoti principu rengiama saugos dokumentų santrauka, už jos parengimą atsakingas kibernetinio saugumo vadovas;

3.4. Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklės, Informacinės sistemos „E. sąskaita“ veiklos tęstinumo valdymo planas, Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklės turi būti saugiai platinami ir prieinami su jais turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos ar kibernetinio saugumo incidentų ar avarijų atvejais.

4.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2. informacinės sistemos veiklos tęstinumo užtikrinimas;

4.3. asmens duomenų apsauga;

4.4. naudotojų mokymas;

4.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinės sistemos elektroninę informaciją;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir juos operatyviai suvaldyti, atkuriant įprastinę informacinės sistemos veiklą.

6.1. metodiškai vadovauti Registrų centrui, koordinuoti Registrų centro veiksmus užtikrinant informacinės sistemos funkcionavimą;

6.2. vertinti Registrų centro ir techninės bei programinės įrangos priežiūros paslaugas teikiančio paslaugų teikėjo, veikiančio Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka, paslaugas ir atlikti jo veiklos priežiūrą;

6.3. atlikti elektroninės informacijos tvarkymo ir elektroninės informacijos saugos bei kibernetinio saugumo reikalavimų laikymosi priežiūrą;

6.4. nagrinėti Registrų centro pasiūlymus dėl informacinės sistemos veiklos, elektroninės informacijos saugos ir kibernetinio saugumo tobulinimo;

6.5. priimti sprendimus:

6.6. planuoti veiksmingą ir spartų informacinės sistemos pokyčių valdymą;

6.7. pavesti informacinės sistemos tvarkytojui paskirti saugos įgaliotinį ir administratorius;

6.8. prireikus tvirtinti:

6.9. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7.1. užtikinti:

7.2. teikti informacinės sistemos valdytojui pasiūlymus dėl elektroninės informacijos saugos ir kibernetinio saugumo gerinimo;

7.3. rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

7.4. skirti saugos įgaliotinį, kibernetinio saugumo vadovą ir administratorius;

7.5. ne rečiau kaip kartą per metus organizuoti saugos dokumentų peržiūrą;

7.6. organizuoti naudotojams mokomuosius ir pažintinius kursus elektroninės informacijos tvarkymo klausimais;

7.7. tvirtinti:

7.8. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

11.1.  teikti informacinės sistemos tvarkytojo vadovui pasiūlymus dėl:

11.2.  teikti informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

11.3.  koordinuoti elektroninės informacijos saugos ir kibernetinio saugumo incidentų tyrimą, bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos ir kibernetinio saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ir kibernetinio saugumo incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos ar kibernetinio saugumo darbo grupės;

11.4.  teikti administratoriams ir naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

11.5.  organizuoti rizikos ir informacinių technologijų saugos atitikties vertinimą;

11.6.  atlikti kitas Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše saugos įgaliotiniui priskirtas funkcijas.

14.1.  koordinuojantysis administratorius – administratorius, kontroliuojantis administratorių veiklą, siekdamas užtikrinti tinkamą administratorių funkcijų vykdymą;

14.2.  naudotojų administratorius – administratorius, atliekantis naudotojų teisių valdymo funkcijas (naudotojų duomenų administravimas, klasifikatorių tvarkymas, naudotojų veiksmų registracijos žurnalų įrašų analizė ir kt.);

14.3.  informacinės sistemos komponentų administratorius – administratorius, atliekantis funkcijas, susijusias su informacinės sistemos komponentais ir jų sąranka. Informacinės sistemos komponentų administratoriai ir jų funkcijos:

14.4.  saugos administratorius – administratorius, atliekantis funkcijas, susijusias su informacinės sistemos pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

19.1.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

19.2.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.5.  Klasifikavimo gairių aprašas; 

19.6.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“;

19.7.  Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

19.8.  Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą;

19.9.  kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinės sistemos valdytojo ir tvarkytojų veiklą.

24.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingai pateikta elektroninė informacija, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos ar netinkamas veikimas ir kita);

24.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

24.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

27.1.  informacinės sistemos informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip. Ne rečiau kaip kartą per trejus metus informacinės sistemos informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinės sistemos auditoriai;

27.2.  informacinės sistemos atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

29.1.  planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame nurodomi kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės, baltosios dėžės ir (arba) pilkosios dėžės), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su informacinių sistemų tvarkytojo vadovu ir vykdomas tik gavus jo raštišką pritarimą;

29.2.  žvalgybos ir aptikimo etapas. Surenkama informacija apie tinklo perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas, pažeidžiamas vietas, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės vykdomų veiklų ir jų rezultatų ataskaitos;

29.3.  kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti darbai. Šiame etape turi būti teikiamos tarpinės vykdomų veiklų ir jų rezultatų ataskaitos;

29.4.  ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos atitikties vertinimo ataskaitoje: darbų rezultatai turi būti detalizuojami ir palyginami su planuotais kibernetinių atakų imitavimo plane, kiekviena aptikta pažeidžiama vieta turi būti detalizuojama ir pateikiamos rekomendacijos pažeidžiamumui pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos vertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo ar organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

33.1.  liekamoji rizika turi būti sumažinta iki priimtino lygio;

33.2.  priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

33.3.  atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

34.1.  svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

34.2.  svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų būtų galima jungtis tik iš vidinio informacinės sistemos tvarkytojo kompiuterių tinklo arba nustatytų IP adresų;

34.3.  turi būti pakeisti numatytieji (angl. default) prisijungimo prie svetainių turinio valdymo sistemų ir administravimo skydų (angl. panel) slaptažodžiai ir nuorodos (angl. default path);

34.4.  turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotuoju ryšiu;

34.5.  informacinėje sistemoje naudojamų svetainių sauga turi būti vertinama informacinės sistemos rizikos įvertinimo ir (arba) informacinės sistemos informacinių technologijų saugos atitikties vertinimo, atliekamų Saugos nuostatų II skyriuje nustatyta tvarka, metu.

35.1.  tarnybinėse stotyse ir vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;

35.2.  informacinės sistemos komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

35.3.  kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Informacinės sistemos komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kurių informacinės sistemos posistemių, funkciškai savarankiškų sudedamųjų dalių, vidinių naudotojų kompiuterių ir kitų informacinės sistemos komponentų kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, ir apie tai, kad kenksmingos programinės įrangos aptikimo priemonės funkcionuoja netinkamai arba yra išjungtos.

36.1.  informacinės sistemos tarnybinėse stotyse ir vidinių naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

36.2.  vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į su informacinės sistemos valdytoju suderintą Leidžiamos naudoti programinės įrangos sąrašą, kurį turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti saugos įgaliotinis;

36.3.  tarnybinių stočių ir vidinių naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

36.4.  saugos administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinės sistemos posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

36.5.  programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

36.6.  programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinės sistemos komponentų administratoriai arba tokias paslaugas teikiantys paslaugų teikėjai;

36.7.  programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms;

36.8.  informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL intarpų įterpimas, įterptinių instrukcijų (XSS) atakų, internetinės paslaugos sutrikdymo (DoS) atakų, srautinių internetinės paslaugos sutrikdymo (DDoS) atakų ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto interneto svetainėje www.owasp.org.

37.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, apsaugos nuo internetinės paslaugos sutrikdymo atakų ir srautinių internetinės paslaugos sutrikdymo atakų įrangą;

37.2.  kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuosiuose ryšių tinkluose naršančių vidinių naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

37.3.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

37.4.  turi būti naudojamos turinio filtravimo sistemos;

37.5.  turi būti naudojamos taikomųjų programų kontrolės sistemos.

38.1. stacionariuosius kompiuterius leidžiama naudoti tik informacinės sistemos valdytojo ir informacinės sistemos tvarkytojo patalpose;

38.2.  nešiojamiesiems kompiuteriams, išnešamiems iš informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

38.3.  iš stacionariųjų ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto ar techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti nebeatkuriamai pašalinta visa nevieša elektroninė informacija.

39.1.  elektroninė informacija teikiama Informacinės sistemos „E. sąskaita“ nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl Informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, nustatyta tvarka;

39.2.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualusis privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninės informacijos teikimui ir (ar) gavimui gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

39.3.  elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal Informacinės sistemos „E. sąskaita“ nuostatuose, elektroninės informacijos teikimo (keitimosi ja) sutartyse nustatytas specifikacijas ir sąlygas;

39.4.  nuotolinis prisijungimas prie informacinės sistemos galimas:

39.5.  šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai bei kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų bei standartų rekomendacijas, Organizacinius ir techninius kibernetinio saugumo reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimus;

39.6.  naudojamų šifravimo priemonių patikimumas turi būti vertinamas atliekant neeilinį arba kasmetinį informacinės sistemos rizikos vertinimą. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

40.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą ir priimtiną informacinės sistemos neveikimo laikotarpį;

40.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad informacinės sistemos veiklos sutrikimo, elektroninės informacijos saugos ar kibernetinio incidento arba elektroninės informacijos vientisumo praradimo atvejais informacinės sistemos neveikimo laikotarpis nebūtų ilgesnis, nei numatytas antros kategorijos informacinei sistemai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

40.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai ir periodiškai, ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos, nustatytos informacinės sistemos saugaus elektroninės informacijos taisyklėse, aprašyme nurodytais terminais;

40.4.  elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių neteisėtai atkurti elektroninės informacijos;

40.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra informacinės sistemos tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų žymėjimo tvarka ir saugojimo terminai nustatyti Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos aprašyme;

40.6.  atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

40.7.  periodiškai, ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

40.8.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

42.1. naudotojų, administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose;

42.2. visi naudotojai privalo turėti pagrindinius darbo kompiuteriu, taikomosiomis programomis įgūdžius, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų ir elektroninės informacijos tvarkymą. Asmenys, tvarkantys asmens duomenis ir informaciją, privalo būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir jo laikytis. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

42.3. saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą ir kibernetinį saugumą. Informacinės sistemos tvarkytojas turi sudaryti sąlygas kelti saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikaciją;

42.4. saugos įgaliotiniu ar kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinės sistemos saugumui, paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, už savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai;

42.5. administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti informacinės sistemos ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti informacinės sistemos komponentus (stebėti informacinės sistemos komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinės sistemos komponentų nepertraukiamą funkcionavimą ir pan.). Administratoriai turi būti susipažinę su saugos dokumentais.

43.1.  saugos įgaliotiniui, kibernetinio saugumo vadovui, naudotojams ir administratoriams turi būti organizuojami mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

43.2.  naudotojams turi būti įvairiais būdais (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems naudotojams ir administratoriams ir pan.) primenama apie elektroninės informacijos saugos ar kibernetinio saugumo problemas;

43.3.  mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), saugos įgaliotinio, kibernetinio saugumo vadovo, naudotojų ar administratorių poreikius;

43.4.  mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);

43.5.  naudotojų ir administratorių mokymus gali vykdyti saugos įgaliotinis ar kitas informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, arba elektroninės informacijos saugos ir kibernetinio saugumo mokymų paslaugų teikėjas. Saugos įgaliotinio ir kibernetinio saugumo vadovo mokymus gali vykdyti tik aukštos kvalifikacijos elektroninės informacijos saugos ir kibernetinio saugumo mokymų paslaugų teikėjas;

43.6.  naudotojų mokymai turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus metus. Saugos įgaliotinio, kibernetinio saugumo vadovo ir administratorių mokymai turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis.