I SKYRIUS
BENDROSIOS NUOSTATOS
1. Audito, vertinimo ir nemokumo informacinės sistemos (toliau – AVNIS) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti duomenis, vykdyti elektroninės informacijos saugos (kibernetinių) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus ir juos operatyviai valdyti atkuriant įprastą AVNIS veiklą.
2. Šie Saugos nuostatai kartu su Saugaus elektroninės informacijos tvarkymo taisyklėmis, Informacinės sistemos veiklos tęstinumo valdymo planu ir Informacinės sistemos naudotojų administravimo taisyklėmis apibrėžia AVNIS elektroninės informacijos saugos (kibernetinio saugumo) politiką (toliau – saugos politika).
3. Saugos nuostatai reglamentuoja automatizuotą AVNIS duomenų apdorojimą ir yra privalomi visiems Audito, apskaitos, turto vertinimo ir nemokumo valdymo tarnybos prie Lietuvos Respublikos finansų ministerijos (toliau – AVNT) valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartį, kurie tvarko AVNIS duomenis(toliau – AVNIS tvarkytojai).
4. Saugų AVNIS duomenų tvarkymą reglamentuoja:
4.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
4.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
4.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;
4.4. Lietuvos Respublikos kibernetinio saugumo įstatymas;
4.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
4.6. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
4.7. Darbuotojo, dirbančio biuro įranga, saugos ir sveikatos instrukcija, patvirtinta Audito, apskaitos, turto vertinimo ir nemokumo valdymo tarnybos prie Lietuvos Respublikos finansų ministerijos direktoriaus 2016 m. gegužės 2 d. įsakymu Nr. V1-160;
4.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;
4.9. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, AVNIS tvarkytojo ir valdytojo veiklą bei duomenų saugos valdymą.
5. AVNT – AVNIS duomenų valdytoja ir tvarkytoja – užtikrina duomenų vientisumą, konfidencialumą, prieinamumą, tinkamą kompiuterių ir komunikacinės įrangos funkcionavimą, saugų darbą interneto tinkle bei informacijos platinimą išorės vartotojams.
6. AVNIS duomenų valdytojo ir tvarkytojo funkcijos ir atsakomybė:
6.1. vadovauja norminių teisės aktų, susijusių su AVNIS valdymu ir tvarkymu, priėmimui;
6.2. vadovauja ir organizuoja AVNIS veiklą, skirdamas AVNIS saugos įgaliotinį ir AVNIS administratorių (-ius);
6.3. kontroliuoja, kad AVNIS būtų tvarkoma vadovaujantis AVNIS nuostatais ir šiais Saugos nuostatais bei kitais teisės aktais;
6.4. atsako už AVNIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
6.5. sudaryti sutartis su informacinių technologijų paslaugų teikimą atliekančiomis įstaigomis, įpareigotomis konsoliduoti ir optimizuoti valstybės informacinių išteklių infrastruktūros valdymą, kurios privalo užtikrinti AVNIS tvarkomų duomenų saugą.
7. AVNIS saugos įgaliotinio, įgyvendinančio AVNIS elektroninės informacijos saugą, funkcijos ir atsakomybė:
7.1. teikia AVNT direktoriui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo;
7.2. atsako už AVNIS saugos politikos įgyvendinimo organizavimą;
7.3. organizuoja AVNIS rizikos įvertinimą;
7.4. atsako už AVNIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams; registruoja saugos politikos pažeidimus, AVNIS tvarkytojų pranešimus apie neveikiančias arba netinkamai veikiančias saugos priemones ir imasi priemonių sutrikimams pašalinti;
7.5. supažindina AVNIS tvarkytojus su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;
7.6. periodiškai organizuoja informacinės AVNIS tvarkytojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
7.7. ne rečiau kaip kartą per metus AVNT direktoriaus nustatyta tvarka peržiūri (persvarsto) AVNIS saugos politiką reglamentuojančius teisės aktus;
7.8. atlieka kitas AVNT direktoriaus pavestas ir jam priskirtas ar teisės aktuose saugos įgaliotiniui nustatytas funkcijas.
8. AVNIS administratoriaus funkcijos ir atsakomybė:
8.1. atsako už AVNIS funkcionavimą;
8.2. nustato ir priskiria AVNIS tvarkytojų vaidmenis ir funkcijas, tvarko AVNIS klasifikatorius;
8.3. įvertina AVNIS tvarkytojų pasirengimą dirbti su AVNIS ir suteikia teisę jos tvarkytojams naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;
8.4. AVNIS gali būti paskirti keli administratoriai, kuriems paskiriami keli posistemiai tam tikroms administratoriaus funkcijoms vykdyti;
8.5. rengia pasiūlymus AVNIS kūrimo, palaikymo, priežiūros ir duomenų saugos klausimais;
8.6. atlieka AVNIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;
8.7. registruoja ir informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus, kaip sutrikimus pašalinti;
8.8. privalo patikrinti (peržiūrėti) informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius ne rečiau kaip kartą per metus ir (arba) po informacinės sistemos pokyčio;
8.9. atlieka kitas AVNT direktoriaus pavestas ir jam priskirtas ar teisės aktuose informacinių sistemų administratoriui nustatytas funkcijas.
9. Kibernetinio saugumo vadovas atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, ir kituose teisės aktuose kibernetinio saugumo vadovui nustatytas funkcijas.
10. Kibernetinio saugumo vadovas ir AVNIS saugos įgaliotinis gali būti tas pats asmuo.
11. AVNIS saugos įgaliotinis ir kibernetinio saugumo vadovas negali atlikti AVNIS administratoriaus funkcijų.
II SKYRIUS
Elektroninės informacijos saugos valdymas
12. AVNIS skirta kompiuterizuotu būdu rinkti, kaupti, tvarkyti, apdoroti, sisteminti, saugoti ir teikti duomenis apie auditorius ir audito įmones, vertintojus ir vertinimo įmones, bankroto ir restruktūrizavimo administratorius (toliau – ūkio subjektai) įmonių restruktūrizavimo ir bankroto bei fizinių asmenų bankroto procesus siekiant tenkinti valstybės institucijų, ūkio subjektų ir fizinių asmenų informacijos poreikius audito, vertinimo ir nemokumo srityse bei vykdyti ūkio subjektų veiklos priežiūrą.
13. Pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, AVNIS atitinka trečios kategorijos (vidutinės svarbos) informacinę sistemą. AVNIS vidutinės svarbos informacijos kategorijai priskiriama informacija, nes gali:
13.1. pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų, valstybės gyventojų teises ir teisėtus interesus;
13.2. lemti, kad nebus atliekama gyvybiškai svarbi funkcija vienam ministrui pavestoje valdymo srityje.
14. AVNIS duomenys pagal svarbumą yra 3 rūšių:
14.1. vieši duomenys – duomenys, kurie teisės aktų nustatyta tvarka skelbiami AVNT interneto svetainėje, taip pat agreguoti ir suvestiniai duomenys, teisės aktų nustatyta tvarka pateikiami Valstybės duomenų agentūrai ir skelbiami AVNT interneto svetainėje, taip pat informacija, nurodyta 2015 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2015/848 dėl nemokumo bylų 24 straipsnio 2 dalyje ir 28 straipsnio 1 dalyje;
14.2. duomenys tarnybiniam naudojimui – duomenys, kurie naudojami analizei atlikti (procesų ataskaitų finansiniai duomenys), duomenys, skirti ūkio subjektų priežiūrai vykdyti, t. y. visa informacija, prieinama AVNIS tvarkytojams;
14.3. viešai neskelbtini duomenys yra AVNIS tvarkomi asmens duomenys ir kiti duomenys, kurie teisės aktų nustatyta tvarka yra neskelbtini.
15. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, AVNIS saugos įgaliotinis ne rečiau kaip kartą per vienerius metus organizuoja informacinių technologijų (toliau – IT) saugos atitikties vertinimą, per kurį:
15.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
15.2. peržiūrimi (persvarstomi) AVNIS saugos politiką reglamentuojantys teisės aktai;
15.3. inventorizuojama AVNIS techninė ir programinė įranga;
15.4. peržiūrima AVNIS tvarkytojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
15.5. įvertinamas pasirengimas užtikrinti AVNIS veiklos tęstinumą įvykus saugos incidentui;
15.6. atliekamas rizikos vertinimas ir Saugos nuostatuose nustatyta tvarka taisoma rizikos ataskaita.
16. Atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, AVNIS saugos įgaliotinis organizuoja AVNIS rizikos vertinimą. AVNIS rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.
17. Pagrindinės AVNIS rizikos mažinimo priemonės išdėstomos rizikos ataskaitoje, kuri rengiama vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 5 dalies „Rizikos įvertinimas“ nuostatomis, kurios nustato rizikos veiksnius, galinčius turėti įtakos duomenų saugumui:
17.1. subjektyvius netyčinius (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
17.2. subjektyvius tyčinius (nesankcionuotas naudojimasis AVNIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacijos technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
17.3. nenugalimos jėgos (įvykiai, nustatyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punktu).
18. AVNIS rizikos veiksniai vertinami nustatant jų įtakos elektroninės informacijos saugai laipsnius:
18.1. žemas (Ž) – elektroninės informacijos pažeidimo poveikis yra nedidelis, padariniai nepavojingi – elektroninė informacija išsiųsta kitam adresatui, įvesta netiksli elektroninė informacija, dingo dalis elektroninės informacijos ar ji buvo prarasta po paskutinio kopijavimo ir ją galima greitai atkurti iš turimų atsarginių kopijų, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;
18.2. vidutinis (V) – elektroninės informacijos pažeidimo poveikis didelis, padariniai rimti – elektroninė informacija netiksli ar sugadinta, bet ją įmanoma atkurti iš turimų atsarginių kopijų, duomenų bazės įrašai pakeisti, sunku rasti klaidas ir suklastotą elektroninę informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse);
18.3. aukštas (A) – elektroninės informacijos pažeidimo poveikis labai didelis, padariniai labai rimti – visiškai sugadinta elektroninė informacija, prarasta dėl vagystės, gaisro, užliejimo ar kitų veiksnių ne tik elektroninė informacija iš duomenų bazės, bet ir jos atsarginės kopijos, neveikia visa AVNIS).
19. Įvertinant AVNIS riziką, įvertinimo metu atliekami šie veiksmai:
19.1. AVNIS sudarančių informacinių išteklių inventorizacija;
19.2. rizikos veiksnių įtakos AVNIS vertinimas;
19.3. grėsmių ir pažeidimų analizė;
19.4. liekamosios rizikos įvertinimas.
20. Atsižvelgdamas į rizikos ataskaitą, AVNT direktorius, prireikus, tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Atlikus IT saugos atitikties vertinimą, rengiamas Pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus AVNT direktorius.
22. Kad būtų užtikrintas AVNIS veiklos tęstinumas, patiriama kuo mažiau išlaidų ir būtų saugus AVNIS tvarkytojų darbas, parenkamos techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės.
23. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, nustatytų organizacinių ir techninių kibernetinio saugumo reikalavimų vertinimas turi būti organizuojamas teisės aktų nustatyta tvarka ne rečiau kaip kartą per metus.
24. Rizikos įvertinimo ataskaitas, Rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III SKYRIUS
Organizaciniai ir techniniai reikalavimai
25. AVNIS naudojama antivirusinė programinė įranga, skirta apsaugoti AVNIS nuo kenksmingos programinės įrangos. Kenksmingos programinės įrangos aptikimo priemonės yra valdomos centralizuotai. Antivirusinėje programinėje įrangoje nuolat turi būti įjungtas kenksmingos programinės įrangos analizatorius.
26. AVNIS tvarkytojų darbo vietose naudojamą programinę įrangą, reikalingą darbui su AVNIS ir jai palaikyti, testuoja, diegia ir šalina AVNIS administratorius.
27. AVNIS tvarkytojai atsako už tai, kad jų darbo vietose įdiegta programinė įranga būtų naudojama tik su AVNIS veikla susijusioms funkcijoms vykdyti.
28. Duomenims saugiai rinkti, apdoroti, kaupti ir saugoti turi būti naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės:
28.1. AVNIS tvarkytojai privalo naudoti tik legalią programinę įrangą;
28.2. AVNIS tvarkytojai kompiuterių tinkle identifikuojami pagal vartotojų vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir serverio operacinės sistemos;
28.3. AVNIS tvarkytojų ir administratoriaus slaptažodžių sudarymo ir naudojimo tvarka turi būti nustatyta AVNIS tvarkytojų administravimo taisyklėse;
28.4. turi būti galimybė identifikuoti prieigos prie AVNIS duomenų autorius, fiksuoti jų atliktus veiksmus, juos kaupti ir analizuoti;
28.5. turi būti naudojami serverio operacinės sistemos metodai, leidžiantys tiksliai atpažinti kompiuterių tinklui priklausančius kompiuterius ir drausti prieigą neatpažintiems kompiuteriams. Prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui, yra draudžiama;
28.6. AVNIS turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.
29. Pagrindiniai serveriuose esančios informacijos kopijų darymo ir atkūrimo reikalavimai:
29.1. atsarginės kopijos turi būti daromos kiekvieną darbo dieną;
29.2. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkurti elektroninę informaciją;
29.3. atkurti informaciją iš atsarginių kopijų turi būti įmanoma per 1 valandą. Neveikiant informacinei sistemai ar jos daliai, informacinės sistemos veiklos atkūrimą per šį laikotarpį turi užtikrinti Veiklos atkūrimo grupė pagal AVNIS informacinės sistemos veiklos tęstinumo valdymo plane aprašytas procedūras;
29.4. atsarginės kopijos turi būti saugomos ne mažiau kaip 5 dienas;
29.5. AVNIS administratorius yra atsakingas už atsarginių kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą;
29.6. kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota.
30. Elektroninę informaciją teikiant ar gaunant automatiniu būdu turi būti taikomi metodai, kurie leistų užtikrinti saugų elektroninės informacijos teikimą ar gavimą tik pagal duomenų teikimo sutartyse nustatytas sąlygas.
31. Svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min., jų techninė būklė turi būti nuolat stebima, o gedimai turi būti registruojami.
32. Informacinė sistema turi perspėti AVNIS administratorių, kai pagrindinėje informacinės sistemos kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja.
IV SKYRIUS
Reikalavimai personalui
33. Už duomenų tvarkymo teisėtumą ir duomenų saugą atsako AVNIS valdytojas ir tvarkytojas.
34. AVNT AVNIS tvarkytojams leidžiama tiesiogiai tvarkyti AVNIS duomenis, t. y. įvesti, koreguoti, priimti (pateikiamus naudojantis internetine sąsaja duomenis) ir išvesti visų šių nuostatų 14 punkte nurodytų rūšių duomenis.
35. Reikalavimai AVNIS tvarkytojams:
35.1. AVNIS tvarkytojais gali būti tik AVNT darbuotojai: visi valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį;
35.2. visi AVNIS tvarkytojai turi būti praėję pradinį saugaus darbo su kompiuteriais mokymą.
36. AVNIS tvarkytojai privalo rūpintis AVNIS ir joje tvarkomų duomenų saugumu, neskleisti informacijos ne pagal paskirtį ir neteisėtai, o apie pastebėtus saugos politikos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones nedelsdami informuoti saugos įgaliotinį.
37. AVNIS tvarkytojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir teikimu, pasirašytinai supažindinami su asmens duomenų tvarkymą ir apsaugą reglamentuojančiais teisės aktais ir atsakomybe už jų pažeidimą bei raštu įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (AVNT) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Asmens duomenų teisinės apsaugos įstatymas nenumato kitaip.
V SKYRIUS
SUPAŽINDINIMO SU DOKUMENTAIS PRINCIPAI
38. Tvarkyti AVNIS duomenis gali tik AVNIS tvarkytojai, susipažinę su šiais nuostatais ir kitais saugos politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų ir pasirašę ir pateikę Konfidencialumo ir profesinės paslapties principo laikymosi pasižadėjimą.
39. AVNIS tvarkytojų supažindinimą su Saugos nuostatais ir visais kitais saugos politiką reglamentuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą organizuoja AVNIS saugos įgaliotinis.
40. AVNIS tvarkytojai, pažeidę šių nuostatų ar kitų saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.
