4.1.   Aplinkos ministerijai (Vilnius, A. Jakšto g. 4, LT-01105) – informacinių sistemų valdytojai ir jose tvarkomų duomenų valdytojai (toliau – informacinių sistemų valdytojas);

4.2.   viešajai įstaigai Statybos sektoriaus vystymo agentūrai (Vilnius, Linkmenų g. 28-1, LT-08217) – informacinių sistemų tvarkytojai ir jose tvarkomų duomenų tvarkytojai (toliau – informacinių sistemų tvarkytojas);

4.3.   kitiems informacinių sistemų tvarkytojams, informacinių sistemų duomenų tvarkytojams, nurodytiems informacinių sistemų nuostatuose (toliau – kiti tvarkytojai);

4.4.   informacinių sistemų saugos įgaliotiniui (įgaliotiniams) (toliau – saugos įgaliotinis), informacinių sistemų administratoriui (administratoriams) (toliau – administratoriai), informacinių sistemų naudotojams ir informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjams.

5.1.   sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;

5.2.   užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3.   vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į šiuos incidentus ir juos operatyviai suvaldyti.

6.1.   elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

6.2.   informacinėse sistemose tvarkomų asmens duomenų apsauga;

6.3.   informacinių sistemų veiklos tęstinumo užtikrinimas;

6.4.   informacinių sistemų rizikos valdymas;

6.5.   informacinių sistemų naudotojų mokymas elektroninės informacijos ir asmens duomenų saugos klausimais;

6.6.   organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė.

10.1. tvirtina Saugos nuostatus, saugos dokumentus ir kitus teisės aktus, susijusius su elektroninės informacijos sauga;

10.2. koordinuoja informacinių sistemų tvarkytojo ir kitų tvarkytojų darbą įgyvendinant elektroninės informacijos ir asmens duomenų saugos reikalavimus;

10.3. prižiūri ir kontroliuoja, kaip laikomasi elektroninės informacijos saugos reikalavimų;

10.4. nagrinėja informacinių sistemų tvarkytojo ir kitų tvarkytojų pasiūlymus dėl elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

10.5. prireikus tvirtina informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą, informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

10.6. atlieka kitas Saugos nuostatuose, saugos dokumentuose ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, informacinių sistemų valdytojui nustatytas funkcijas.

11.1. užtikrina tinkamą Saugos nuostatuose, saugos dokumentuose ir kituose informacinių sistemų valdytojo priimtuose teisės aktuose, susijusiuose su elektroninės informacijos sauga, nustatytų reikalavimų įgyvendinimą;

11.2. teikia informacinių sistemų valdytojui pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo;

11.3. užtikrina informacinių sistemų elektroninės informacijos saugą;

11.4. pagal kompetenciją reaguoja į informacinių sistemų elektroninės informacijos saugos incidentus ir juos valdo. Jei incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, nedelsdamas informuoja informacinių sistemų valdytojo duomenų apsaugos pareigūną;

11.5. pagal kompetenciją teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą informacinių sistemų kibernetiniam saugumui įvertinti, šio centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

11.6. organizuoja ir atlieka informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą Saugos nuostatų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) ir Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau – Saugos atitikties vertinimo metodika) nustatyta tvarka;

11.7. rengia informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą, informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

11.8. skiria informacinėms sistemoms saugos įgaliotinį ir administratorius;

11.9. pagal kitų tvarkytojų prašymus suteikia jiems teisę administruoti jų tvarkomų informacinių sistemų naudotojus;

11.10.  atlieka kitas Saugos nuostatuose, saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos ir asmens duomenų saugą, informacinių sistemų tvarkytojui nustatytas funkcijas.

12.1. pagal kompetenciją užtikrina tinkamą Saugos nuostatuose, saugos dokumentuose ir kituose informacinių sistemų valdytojo priimtuose teisės aktuose, susijusiuose su elektroninės informacijos sauga, nustatytų reikalavimų įgyvendinimą;

12.2. teikia informacinių sistemų valdytojui ir (ar) informacinių sistemų tvarkytojui pasiūlymus dėl tvarkomų informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo;

12.3. užtikrina jų tvarkomų informacinių sistemų naudotojų (darbuotojų) darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimą ir priežiūrą;

12.4. pagal kompetenciją teikia informacinių sistemų tvarkytojui informaciją, reikalingą tvarkomų informacinių sistemų kibernetiniam saugumui įvertinti;

12.5. skiria už elektroninės informacijos saugą atsakingą (atsakingus) asmenį (asmenis);

12.6. informacinių sistemų tvarkytojui suteikus teisę, administruoja jų tvarkomų informacinių sistemų naudotojus ir suteikia jiems prieigos prie šių sistemų teises;

12.7. atlieka kitas Saugos nuostatuose, saugos dokumentuose ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, informacinių sistemų tvarkytojui ir (ar) duomenų tvarkytojui nustatytas funkcijas.

13.1. teikia informacinių sistemų valdytojui pasiūlymus dėl Saugos nuostatų ir (ar) saugos dokumentų priėmimo ir keitimo;

13.2. rengia Saugos nuostatų, saugos dokumentų ir kitų teisės aktų, susijusių su elektroninės informacijos sauga, projektus ir teikia juos informacinių sistemų valdytojui tvirtinti;

13.3. koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą;

13.4. koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su šiais incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

13.5. teikia informacinių sistemų tvarkytojo vadovui pasiūlymus dėl administratorių paskyrimo ir reikalavimų jiems nustatymo;

13.6. teikia informacinių sistemų tvarkytojo vadovui pasiūlymus dėl informacinių technologijų saugos atitikties ir rizikos vertinimo;

13.7. organizuoja rizikos ir informacinių technologijų saugos atitikties vertinimą;

13.8. teikia kitų tvarkytojų paskirtiems už elektroninės informacijos saugą atsakingiems asmenims, informacinių sistemų tvarkytojo ir kitų tvarkytojų paskirtiems administratoriams, informacinių sistemų naudotojams ir kitiems informacinių sistemų valdytojo, informacinių sistemų tvarkytojo ir kitų tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;

13.9. organizuoja administratorių ir informacinių sistemų naudotojų elektroninės informacijos ir asmens duomenų saugos mokymus, reguliariai informuoja juos apie elektroninės informacijos saugos problemas, teikia konsultacijas ir rekomendacijas šios saugos klausimais;

13.10.  supažindina su Saugos nuostatais ir saugos dokumentais, atsakomybe už juose nustatytų reikalavimų nesilaikymą informacinių sistemų, kurių saugos įgaliotiniu jis paskirtas, naudotojus;

13.11.  atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytas už kibernetinio saugumo organizavimą ir užtikrinimą atsakingo asmens funkcijas;

13.12.  atlieka kitas Saugos nuostatuose, saugos dokumentuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, nustatytas saugos įgaliotinio funkcijas.

16.1. informacinių sistemų naudotojų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų naudotojų teisių valdymu;

16.2. komponentų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja informacinės sistemos, užtikrinama jose tvarkomos elektroninės informacijos sauga ir informacinių sistemų komponentų sąranka);

16.3. saugos administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų pažeidžiamumo nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

20.1. Reglamentas (ES) 2016/679;

20.2. Kibernetinio saugumo įstatymas;

20.3. Valstybės informacinių išteklių valdymo įstatymas;

20.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

20.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

20.6. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

20.7. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;

20.8. Saugos atitikties vertinimo metodika;

20.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

20.10.  Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto sutarties organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašas, patvirtintas Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. gegužės 10 d. įsakymu Nr. 4-249 „Dėl Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto sutarties organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašo ir Valstybinių duomenų centrų sąrašo patvirtinimo“;

20.11.  Lietuvos standartai LST ISO/IEC 27001 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo kontrolės priemonės“ ir kiti naujausi Lietuvos ir tarptautiniais grupės „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga“ standartai, reglamentuojantys saugų elektroninės informacijos tvarkymą.

22.1. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja informacinių sistemų rizikos vertinimą. Šis vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Po esminių organizacinių ar sisteminių informacinių sistemų pokyčių saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos vertinimą. Informacinių sistemų rizikos vertinimą rekomenduojama įtraukti į informacinių sistemų tvarkytojų veiklos rizikos vertinimo procesus.

22.2. Organizuojant rizikos vertinimą, turi būti paskirtas už rizikos vertinimą, rizikos vertinimo proceso priežiūrą ir nuolatinį tobulinimą atsakingas asmuo. Atsakingu asmeniu gali būti skiriamas informacinių sistemų tvarkytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros ir nuolatinio tobulinimo paslaugas teikiančiu subjektu, kurio kvalifikacijos reikalavimai nustatomi pirkimo dokumentuose.

22.3. Rizikos vertinimo metu turi būti:

22.4. Informacinių sistemų rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama informacinių sistemų valdytojo ir tvarkytojo vadovams. Ši ataskaita rengiama įvertinant rizikos veiksnius, galinčius daryti poveikį elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra:

22.5. Informacinių sistemų valdytojas ar jo įgaliotas informacinių sistemų tvarkytojas, atsižvelgdamas į rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir jos valdymo priemonių planą.

23.1. organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę;

23.2. atliekamas ne rečiau kaip kartą per metus. Šį vertinimą ne rečiau kaip kartą per 3 metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

27.1.    liekamoji rizika turi būti sumažinta iki priimtino lygio;

27.2.    priemonės diegimo kaina turi atitikti tvarkomos elektroninės informacijos vertę;

27.3.    esant galimybei, turi būti įdiegtos prevencinės korekcinės elektroninės informacijos saugos priemonės.

31.1.    Turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta informacinėms sistemoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamų elektroninių laiškų ir pan.). Šios programinės įrangos naudojimo ir atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

31.2.    Informacinių sistemų techninėje įrangoje ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo ir atnaujinimo reikalavimai nustatomi informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

31.3.    Turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Kompiuterių tinklo filtravimo įrangos naudojimo tvarka nustatoma informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

31.4.    Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie informacinių sistemų būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas, ir panašiai), nustatomi informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

31.5.    Stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo ar informacinių sistemų tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir panašiai).

32.1.    Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective).

32.2.    Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos taip, kad informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais šių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei teisės aktais nustatyta valstybės informacinių sistemų ištekliams, nurodytiems Saugos nuostatų priede, atsižvelgus į jų svarbumą.

32.3.    Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai ir periodiškai, bet ne rečiau, nei nustatyta informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

32.4.    Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, kurios neleistų neteisėtai atkurti elektroninės informacijos.

32.5.    Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.

32.6.    Patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas elektroninės informacijos saugos taisyklėse nustatyta tvarka.

33.1.    Informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą. Pastebėję galimą pažeidimą (elektroninės informacijos saugos incidentą) ar neveikiančias duomenų saugos užtikrinimo priemones, informacinių sistemų naudotojai privalo nedelsdami apie tai pranešti administratoriams arba saugos įgaliotiniui, jei incidentas turi asmens duomenų saugumo pažeidimo požymių, – informuoti informacinių sistemų valdytojo duomenų apsaugos pareigūną.

33.2.    Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reguliuojančiais elektroninės informacijos saugą. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo šių ryšių tinklo veikimui, už savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

33.3.    Administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą, administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti šių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).

34.1.    Saugos įgaliotinis periodiškai, ne rečiau kaip kartą metus, inicijuoja, organizuoja ir koordinuoja informacinių sistemų naudotojų mokymus elektroninės informacijos saugos klausimais, periodiškai informuoja juos apie saugos problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams).

34.2.    Mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų poreikius.

34.3.    Mokymai gali būti vykdomi tiesiogiai (paskaitos, seminarai, konferencijos, kiti teminiai renginiai) ar nuotoliniu būdu (vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

34.4.    Saugos įgaliotinis mokymus elektroninės informacijos saugos klausimais administratoriams organizuoja, jei reikia, bet ne rečiau kaip kartą į metus.