LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRO

Į S A K Y M A S

 

DĖL PINIGINIŲ LĖŠŲ APRIBOJIMŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2012 m. gegužės 30 d. Nr. 1R-151

Vilnius

 

Vadovaudamasis Lietuvos Respublikos civilinio proceso kodekso (Žin., 2002, Nr. 36-1340; 2011, Nr. 85-4126) 689 straipsniu, Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 21 d. nutarimo Nr. 1089 „Dėl įgaliojimų suteikimo įgyvendinant Lietuvos Respublikos civilinio proceso kodeksą ir Lietuvos Respublikos civilinio proceso kodekso pakeitimo ir papildymo įstatymą“ (Žin., 2011, Nr. 116-5464) 1.3 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6 ir 8 punktais:

1. Tvirtinu Piniginių lėšų apribojimų informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Pavedu valstybės įmonei Registrų centrui:

2.1. paskirti Piniginių lėšų apribojimų informacinės sistemos duomenų saugos įgaliotinį;

2.2. iki 2012 m. birželio 20 d. Teisingumo ministerijai pateikti Piniginių lėšų apribojimų informacinės sistemos tvarkymo taisyklių, Piniginių lėšų apribojimų informacinės sistemos veiklos tęstinumo valdymo plano ir Piniginių lėšų apribojimų informacinės sistemos naudotojų administravimo taisyklių projektus.

 

 

Teisingumo ministras                                                             Remigijus Šimašius

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2012 m. gegužės 7 d. raštu Nr. 1D-3117(52)

 

_________________

 

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2012 m. gegužės 30 d. įsakymu Nr. 1R-151

 

PINIGINIŲ LĖŠŲ APRIBOJIMŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Piniginių lėšų apribojimų informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Piniginių lėšų apribojimų informacinės sistemos (toliau – PLAI sistema) duomenų saugą ir nustato saugos politiką.

2. Saugos nuostatų tikslas – užtikrinti PLAI sistemos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. PLAI sistemos duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

3. Šiuose Saugos nuostatuose vartojamos sąvokos:

PLAI sistemos naudotojai – valstybės įmonės Registrų centro darbuotojai, tvarkantys ir administruojantys PLAI sistemą, atliekantys kitas bandymo, testavimo ir klaidų šalinimo operacijas, debeto ir tvarkomųjų dokumentų teikėjai, bankai.

Kitos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27005:2011 vartojamas sąvokas.

4. Informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. elektroninės informacijos konfidencialumo užtikrinimas;

4.2. elektroninės informacijos vientisumo užtikrinimas;

4.3. elektroninės informacijos prieinamumo užtikrinimas;

4.4. PLAI sistemos veiklos tęstinumas;

4.5. asmens duomenų apsauga.

5. PLAI sistemos valdytojo ir tvarkytojo pavadinimai ir adresai:

5.1. PLAI sistemos valdytoja yra Lietuvos Respublikos teisingumo ministerija, Gedimino pr. 30, LT-01104 Vilnius;

5.2. PLAI sistemos tvarkytojas yra valstybės įmonė Registrų centras, V. Kudirkos g. 18-3, LT-03105 Vilnius.

6. PLAI sistemos valdytojo funkcijos ir atsakomybė:

6.1. koordinuoja PLAI sistemos tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;

6.2. organizuoja PLAI sistemos duomenų saugos teisinės bazės plėtojimą ir įgyvendinimą;

6.3. prižiūri, kaip laikomasi PLAI sistemos duomenų saugos reikalavimų;

6.4. priima įsakymus, susijusius su PLAI sistemos saugumo užtikrinimu, tikrina, kaip jie vykdomi;

6.5. užtikrina veiksmingą ir spartų PLAI sistemos tobulinimo planavimą;

6.6. atsako už PLAI sistemos tvarkomos informacijos tvarkymo teisėtumą ir informacijos saugą;

6.7. atsako už tinkamą jam pavestų funkcijų vykdymą.

7. PLAI sistemos tvarkytojo funkcijos ir atsakomybė:

7.1. užtikrina nepertraukiamą PLAI sistemos veikimą ir duomenų, esančių PLAI sistemos duomenų bazėse, saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus PLAI sistemos valdytojui, kaip tobulinti PLAI sistemos duomenų saugą;

7.2. užtikrina PLAI sistemos valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

7.3. ne rečiau kaip kartą per metus, atlikus rizikos analizę ir informacinių technologijų atitikties vertinimą, organizuoja PLAI sistemos saugos dokumentų persvarstymą (peržiūrėjimą);

7.4. organizuoja PLAI sistemos naudotojų mokymą duomenų registravimo ir elektroninės informacijos teikimo klausimais;

7.5. skiria PLAI sistemos saugos įgaliotinį;

7.6. skiria PLAI sistemos administratorių arba kelis administratorius, vykdančius atskiras PLAI sistemos administravimo funkcijas (toliau – administratorius);

7.7. užtikrina PLAI sistemos sąveiką su kitomis informacinėmis sistemomis ir registrais;

7.8. PLAI sistemos tvarkytojo vadovas yra atsakingas už tinkamą šiuose Saugos nuostatuose nustatytų funkcijų vykdymą.

8. PLAI sistemos saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia PLAI sistemos tvarkytojo vadovui pasiūlymus dėl:

8.1.1. PLAI sistemos administratoriaus ar administratorių paskyrimo;

8.1.2. PLAI sistemos saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

8.1.3. PLAI sistemos informacinių technologijų saugos reikalavimų atitikties vertinimo organizavimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių PLAI sistemoje, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

8.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

8.4. kasmet organizuoja:

8.4.1. PLAI sistemos rizikos vertinimą;

8.4.2. PLAI sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą;

8.5. inicijuoja PLAI sistemos naudotojams seminarus informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką (siunčia priminimus elektroniniu paštu, rengia teminius seminarus, atmintines naujiems naudotojams);

8.6. atlieka kitas PLAI sistemos valdytojo ir PLAI sistemos tvarkytojo vadovų pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas;

8.7. PLAI sistemos saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą, yra atsakingas už tinkamą šiuose Saugos nuostatuose nustatytų funkcijų vykdymą.

9. PLAI sistemos administratoriaus funkcijos ir atsakomybė:

9.1. pagal kompetenciją užtikrina PLAI sistemos informacijos konfidencialumą, vientisumą ir prieinamumą;

9.2. sukuria ar panaikina PLAI sistemos naudotojų teises, reikalingas numatytoms funkcijoms atlikti;

9.3. tikrina PLAI sistemą sudarančių komponentų sąranką ir jų būsenų rodiklius;

9.4. nustato PLAI sistemos pažeidžiamas vietas;

9.5. vykdo PLAI sistemos saugos įgaliotinio nurodymus ir pavedimus, susijusius su PLAI sistemos informacijos saugos užtikrinimu;

9.6. registruoja PLAI sistemos saugos incidentus ir informuoja apie juos PLAI sistemos saugos įgaliotinį, teikia pasiūlymus dėl incidentų pašalinimo;

9.7. atlieka kitas teisės aktuose numatytas administratoriaus funkcijas;

9.8. Administratorius, vykdydamas PLAI sistemos priežiūrą, yra atsakingas už tinkamą šiuose Saugos nuostatuose nustatytų funkcijų vykdymą.

10. Saugų PLAI sistemos duomenų tvarkymą reglamentuoja:

10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

10.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (Žin., 2011, Nr. 163-7739);

10.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952;

10.4. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172;

10.5. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

10.6. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

10.7. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27005:2011, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų Informacinės sistemos duomenų tvarkymą;

10.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12);

10.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką (toliau – saugos politika) ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą ir duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

11. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, PLAI sistema priskirtina antros kategorijos informacinėms sistemoms.

12. Elektroninės informacijos priskyrimas atitinkamai kategorijai nustatomas įvertinus tvarkomų duomenų tipą ir įtaką PLAI sistemos funkcionavimui, atsižvelgiant į jų konfidencialumą, vientisumą ir pasiekiamumą.

13. PLAI sistemai keliami pagrindiniai saugos reikalavimai:

13.1. turi būti įgyvendintos visos informacijos saugumo valdymo priemonės, privalomos II kategorijos valstybės informacinėms sistemoms, nustatytos Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniuose saugos reikalavimuose;

13.2. asmens duomenų apsauga turi būti užtikrinta vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms;

13.3. turi būti įgyvendintos PLAI sistemos naudotojų veiklos atsekamumo priemonės;

13.4. išorinių tinklų prieiga turi būti apsaugota specializuotomis užkardomis (WAF, XML firewall), atsižvelgiant į PLAI sistemos technologinę specifiką;

13.5. sutrikus PLAI sistemos darbui, PLAI sistemos naudotojai turi būti apie tai informuojami;

13.6. PLAI sistema turi užtikrinti korektišką avarinių situacijų, kurias sukėlė neteisingi PLAI sistemos naudotojo veiksmai, neteisingas įvedamų duomenų formatas arba neleistinos įvedamų duomenų reikšmės, valdymą.

14. PLAI sistemos saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005:2011 „Informacijos technologija. Saugumo metodai. Informacijos saugumo rizikos valdymas“, kasmet organizuoja PLAI sistemos rizikos veiksnių vertinimą. Prireikus PLAI sistemos saugos įgaliotinis gali organizuoti neeilinį PLAI sistemos rizikos veiksnių vertinimą.

15. PLAI sistemos rizikos veiksnių vertinimas surašomas rizikos įvertinimo ataskaitoje. PLAI sistemos rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

15.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis PLAI sistemos duomenims gauti, PLAI sistemos duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, PLAI sistemos saugumo pažeidimai, vagystės ir kita);

15.3. nenugalima jėga (force majeure).

16. PLAI sistemos rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtakos PLAI sistemos elektroninės informacijos saugai laipsnius:

16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

16.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos, neveikia visa PLAI sistema.

17. PLAI sistemos rizikos vertinimo metu atliekamų darbų apimtis:

17.1. PLAI sistemą sudarančių informacinių išteklių inventorizacija;

17.2. įtakos PLAI sistemos veiklai vertinimas;

17.3. grėsmės ir pažeidimų analizė;

17.4. liekamosios rizikos vertinimas.

18. PLAI sistemos valdytojas, atsižvelgdamas į PLAI sistemos rizikos įvertinimo ataskaitą, prireikus tvirtina PLAI sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis PLAI sistemos rizikos valdymo priemonėms įgyvendinti.

19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

19.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

19.2. informacijos saugos priemonės diegimo kaina adekvati saugomos informacijos vertei;

19.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

20. Siekiant užtikrinti šiuose Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

20.1. įvertinama šių Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų ir realios informacijos saugos atitiktis;

20.2. inventorizuojama PLAI sistemos techninė ir programinė įranga;

20.3. tikrinamos PLAI sistemos tarnybinėse stotyse įdiegtos programos ir jų sąranka;

20.4. patikrinama (įvertinama) PLAI sistemos duomenis tvarkantiems naudotojams ir administratoriui suteiktų teisių atitiktis vykdomoms funkcijoms;

20.5. įvertinamas pasirengimas užtikrinti PLAI sistemos veiklos tęstinumą įvykus saugos incidentui.

21. Atlikus šių Saugos nuostatų 20 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato PLAI sistemos valdytojas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie PLAI sistemos, nurodant leistiną šios prieigos laiką ir būdą, konkrečiai nustatomi PLAI sistemos naudotojų administravimo taisyklėse.

23. PLAI sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos. Apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas.

24. Naudoti programinę įrangą, nesusijusią su PLAI sistemos tvarkytojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), griežtai draudžiama.

25. Nešiojamieji kompiuteriai naudojami valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatyta tvarka.

26. PLAI sistemos naudotojų prieiga prie PLAI sistemos ir viešųjų kompiuterinių tinklų turi būti apsaugota užkardomis. Interneto turinys privalo būti filtruojamas, nepraleidžiant nepageidaujamos ir kenksmingos informacijos.

27. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai su perduodamų duomenų šifravimu. Informacijos perdavimui gali būti naudojamas saugus valstybės duomenų perdavimo tinklas (SVDPT).

28. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

29. Atsarginės duomenų kopijos daromos laikantis valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatytos tvarkos.

 

IV. REIKALAVIMAI PERSONALUI

 

30. PLAI sistemos naudotojai privalo rūpintis tvarkomos informacijos saugumu.

31. Visi PLAI sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti PLAI sistemos duomenis Piniginių lėšų apribojimų informacinės sistemos nuostatų (Žin., 2012, Nr. 48-2359) nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinimą reglamentuojančiais teisės aktais.

32. PLAI sistemos naudotojai, pažeidę šių Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

33. PLAI sistemos saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais PLAI sistemos duomenų tvarkymą. PLAI sistemos saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

34. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais. Gali būti skiriami ir keli administratoriai.

35. PLAI sistemos saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja PLAI sistemos naudotojų mokymą informacijos saugos klausimais.

 

V. PLAI SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

36. Už PLAI sistemos naudotojų supažindinimą su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas PLAI sistemos saugos įgaliotinis.

37. Šie Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai skelbiami PLAI sistemos naudotojams pasiekiamame tinklalapyje.

38. Pakartotinai su saugos politiką reguliuojančiais teisės aktais PLAI sistemos naudotojai supažindinami tik iš esmės pasikeitus informacijos saugą reguliuojantiems teisės aktams. Informacija apie pasikeitimus saugos politiką įgyvendinančiuose teisės aktuose siunčiama elektroniniu būdu.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

39. PLAI sistemos valdytojas šiuos Saugos nuostatus gali keisti, pripažinti netekusiais galios savo arba PLAI sistemos saugos įgaliotinio iniciatyva.

40. PLAI sistemos tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems PLAI sistemos tvarkytojo pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.

41. Reorganizuojant arba likviduojant PLAI sistemą, jų elektroninė informacija turi būti saugiai perduodama kitam informacinės sistemos valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka arba sunaikinama.

 

_________________