LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

ĮSAKYMAS

 

DĖL LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO SAUGOS ĮGALIOTINIO IR ADMINISTRATORIAUS SKYRIMO

 

2010 m. rugsėjo 20 d. Nr. V-804

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi, Lietuvos Respublikos vaistinių preparatų registro nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. birželio 13 d. įsakymu Nr. V-582 (Žin., 2008, Nr. 74-2884), 9.1 punktu bei Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 8 ir 17.1.1 punktais:

1. Tvirtinu pridedamus Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatus (toliau – Nuostatai).

2. Įpareigoju Valstybinę vaistų kontrolės tarnybą prie Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau – Tarnyba) parengti ir iki 2011 m. birželio 1 d. pateikti sveikatos apsaugos ministrui tvirtinti Nuostatuose nurodytus saugos politiką įgyvendinančius teisės aktų projektus.

3. Pavedu:

3.1. Tarnybos viršininkui skirti:

3.1.1. Lietuvos Respublikos vaistinių preparatų registro saugos įgaliotinį;

3.1.2. Lietuvos Respublikos vaistinių preparatų registro administratorių;

3.2. įsakymo vykdymą kontroliuoti viceministrui pagal administruojamą sritį.

 

 

 

SVEIKATOS APSAUGOS MINISTRAS                                           RAIMONDAS ŠUKYS

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2010 m. rugsėjo 20 d. įsakymu Nr. V-804

 

LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos Respublikos vaistinių preparatų registro (toliau – VPREG) duomenų saugos nuostatų (toliau – saugos nuostatai) tikslas – nustatyti VPREG duomenų saugaus tvarkymo principus ir taisykles.

2. Saugos nuostatai taip pat nustato VPREG saugos politiką (toliau – saugos politika), kurią įgyvendina šie Lietuvos Respublikos sveikatos apsaugos ministro patvirtinti teisės aktai (toliau – saugos politiką įgyvendinantys teisės aktai):

2.1. VPREG saugaus elektroninės informacijos tvarkymo taisyklės;

2.2. VPREG veiklos tęstinumo valdymo planas;

2.3. VPREG naudotojų administravimo taisyklės.

3. VPREG duomenų saugos tikslai:

3.1. VPREG duomenų vientisumo užtikrinimas;

3.2. VPREG duomenų prieinamumo užtikrinimas;

3.3. VPREG duomenų konfidencialumo užtikrinimas.

4. VPREG duomenų saugos užtikrinimo prioritetinės kryptys: saugus VPREG duomenų teikimas VPREG naudotojams, VPREG duomenų gavėjams, teisėtas, saugus ir kokybiškas VPREG duomenų tvarkymas bei teisėtas ir saugus jų naudojimas.

5. Saugos nuostatuose vartojamos sąvokos ir jų apibrėžimai:

VPREG duomenų sauga – teisėtas ir saugus VPREG duomenų teikimas VPREG duomenų gavėjams, VPREG naudotojams, teisėtas ir saugus VPREG duomenų tvarkymas ir naudojimas.

Vadovaujančioji VPREG tvarkymo įstaiga – Lietuvos Respublikos sveikatos apsaugos ministerija, buveinės adresas – Vilniaus g. 33, LT-01506 Vilnius.

VPREG tvarkymo įstaiga – Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau dar gali būti vadinama – Tarnyba), buveinės adresas – Žirmūnų g. 139A, LT-09120 Vilnius.

VPREG duomenų teikėjas vaistinio preparato rinkodaros teisės turėtojas arba jo įgaliotas atstovas, Sveikatos apsaugos ministerija.

VPREG duomenų gavėjas – juridinis arba fizinis asmuo, kuriam teikiami VPREG duomenys.

VPREG naudotojas – VPREG tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuriam VPREG tvarkymo įstaiga suteikia teisę naudotis VPREG ištekliais, t. y. duomenimis, ir jiems pateikti naudojama aparatinės, programinės įrangos bei organizacinių priemonių visuma, numatytoms jo funkcijoms atlikti.

VPREG saugos įgaliotinis – vadovaujančiosios VPREG tvarkymo įstaigos arba jos pavedimu VPREG tvarkymo įstaigos vadovo skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis VPREG elektroninės informacijos (duomenų) saugą.

VPREG administratorius – vadovaujančiosios VPREG tvarkymo įstaigos arba jos pavedimu VPREG tvarkymo įstaigos vadovo skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis VPREG priežiūrą.

Kitos šiuose saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos Respublikos vaistinių preparatų registro nuostatuose (toliau – VPREG nuostatai), patvirtintuose Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. birželio 13 d. įsakymu Nr. V-582 (Žin., 2008, Nr. 74-2884), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), ir Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).

6. Teisės aktai, kuriais vadovaujamasi tvarkant VPREG duomenis ir užtikrinant jų saugumą:

6.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

6.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

6.3. Saugos dokumentų turinio gairės;

6.4. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

6.5. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);

6.6. Lietuvos standartas LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

6.7. Lietuvos standartas LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“;

6.8. VPREG nuostatai;

6.9. VPREG saugos nuostatai;

6.10. VPREG saugaus elektroninės informacijos tvarkymo taisyklės;

6.11. VPREG veiklos tęstinumo valdymo planas;

6.12. VPREG naudotojų administravimo taisyklės.

7. Vadovaujančiosios VPREG tvarkymo įstaigos funkcijos ir atsakomybė:

7.1. organizuoti ir vadovauti VPREG veiklai;

7.2. priimti sprendimus dėl VPREG techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;

7.3. tvirtinti teisės aktus, nustatančius bei įgyvendinančius VPREG saugos politiką;

7.4. kontroliuoti, kad VPREG būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, saugos nuostatais, saugos politiką įgyvendinančiais teisės aktai ir kitais Lietuvos Respublikos teisės aktais;

7.5. priimti sprendimą dėl VPREG informacinių technologijų saugos reikalavimų atitikties Bendriesiems elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimams vertinimo atlikimo;

7.6. užtikrinti efektyvų ir spartų VPREG pokyčių planavimą, kuris apima pokyčių identifikavimą, suskirstymą į kategorijas ir prioritetų nustatymą;

7.7. užtikrinti saugos reikalavimų, nustatytų jo pagal kompetenciją ir taikomų VPREG, atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

7.8. vykdyti kitas saugos nuostatų, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techninių saugos reikalavimų, VPREG nuostatų ir kitų Lietuvos Respublikos teisės aktų nustatytas funkcijas.

8. VPREG tvarkymo įstaigos funkcijos ir atsakomybė:

8.1. vadovaujančiosios VPREG tvarkymo įstaigos vadovo pavedimu skirti saugos įgaliotinį ir pavesti jam organizuoti ir kontroliuoti saugos nuostatų, saugos politiką įgyvendinančių teisės aktų ir kitų Lietuvos Respublikos teisės aktų įgyvendinimą pagal kompetenciją;

8.2. užtikrinti VPREG techninę priežiūrą, nepertraukiamą VPREG veikimą, VPREG duomenų bei dokumentų saugą;

8.3. įgyvendinti tinkamas organizacines ir technines priemones, skirtas VPREG duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto veiksmo;

8.4. užtikrinti, kad VPREG naudotojai laikytųsi reikalavimų, nustatytų saugos nuostatuose bei saugos politiką įgyvendinančiuose teisės aktuose;

8.5. teikti siūlymus vadovaujančiajai VPREG tvarkymo įstaigai dėl VPREG eksploatavimui, priežiūrai ir plėtrai reikalingų techninių, programinių priemonių įsigijimo, organizuoti jų įdiegimą ir modernizavimą, pagal kompetenciją organizuoti VPREG techninės, programinės įrangos priežiūros ir tobulinimo darbus;

8.6. užtikrinti VPREG duomenų tvarkymo teisėtumą ir duomenų saugą;

8.7. vykdyti kitas saugos nuostatais, VPREG nuostatais ir kitais Lietuvos Respublikos teisės aktais nustatytas funkcijas.

9. Tvarkyti VPREG duomenis gali tik VPREG naudotojai, supažindinti su saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais bei raštu įsipareigoję laikytis šių teisės aktų reikalavimų.

10. VPREG saugos įgaliotinis:

10.1. atsako už VPREG duomenų saugos įgyvendinimą;

10.2. organizuoja kasmetinį ir neeilinius VPREG rizikos įvertinimus;

10.3. rengia VPREG rizikos įvertinimo ataskaitą;

10.4. koordinuoja incidentų, įvykusių VPREG duomenų saugos srityje, tyrimą;

10.5. teikia VPREG administratoriui teisėtus nurodymus ir pavedimus, kuriuos jis privalo vykdyti;

10.6. teikia pasiūlymus jį skiriančios įstaigos vadovui dėl:

10.6.1. VPREG administratoriaus skyrimo (juo negali būti pats VPREG saugos įgaliotinis);

10.6.2. saugos politiką įgyvendinančių teisės aktų bei kitų dokumentų priėmimo, keitimo ar panaikinimo;

10.6.3. VPREG saugos reikalavimų atitikties Bendriesiems elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimams vertinimo atlikimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), ne rečiau kaip kartą per metus;

10.7. vykdo kitas jį skiriančios įstaigos vadovo pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose saugos įgaliotiniui priskirtas funkcijas.

11. VPREG administratorius:

11.1. vykdo VPREG sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, duomenų perdavimo tinklų) priežiūrą, VPREG pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei tikrina jų atitikimą saugos nuostatų reikalavimams;

11.2. apie VPREG pažeidžiamas vietas informuoja VPREG saugos įgaliotinį;

11.3. suteikia VPREG naudotojams teisę dirbti su VPREG duomenimis;

11.4. vykdo funkcijas, susijusias su VPREG atitikimo saugumo reikalavimams nustatymu.

 

II. VPREG DUOMENŲ SAUGOS VALDYMAS

 

12. VPREG, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, priskiriama trečiajai informacinės sistemos kategorijai (logiškai tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamos įtakos valstybės institucijos ar įstaigos veiklai, yra žinybinis registras, tvarkomi asmens duomenys).

13. VPREG saugos įgaliotinis kasmet rengia VPREG rizikos įvertinimo ataskaitą, kurioje išdėstomos VPREG rizikos mažinimo priemonės.

14. VPREG rizikos įvertinimo ataskaita rengiama pagal Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ ir atsižvelgiant į Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus.

15. Rengiant VPREG rizikos įvertinimo ataskaitą rizikos mažinimo priemonės vertinamos pagal Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus veiksnius.

16. VPREG rizikos įvertinimo ataskaita teikiama tvirtinti vadovaujančiajai VPREG tvarkymo įstaigai.

17. Atsižvelgdama į VPREG rizikos įvertinimo ataskaitą, vadovaujančioji VPREG tvarkymo įstaiga prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Pagrindiniai VPREG duomenų saugos priemonių parinkimo principai yra šie:

18.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

18.2. duomenų saugos priemonės diegimo kaina turi būti adekvati saugomų duomenų vertei;

18.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės duomenų saugos priemonės.

19. Siekdamas užtikrinti saugos nuostatų ir saugos politiką įgyvendinančių teisės aktų įgyvendinimo priežiūrą, VPREG saugos įgaliotinis kasmet Tarnyboje organizuoja VPREG informacinių technologijų saugos reikalavimų atitikties įvertinimą. Įvertinimo metu:

19.1. įvertinama realios VPREG duomenų saugos situacijos atitiktis saugos nuostatams bei kitiems saugos politiką įgyvendinantiems teisės aktams;

19.2. vykdoma VPREG techninės ir programinės įrangos inventorizacija;

19.3. ne vėliau kaip prieš 5 darbo dienas raštu apie tai informavus VPREG naudotojus, tikrinamos ne mažiau kaip 10-ies procentų VPREG naudotojų kompiuterinių darbo vietų kompiuteriuose įdiegtos programos ir jų konfigūracija, tikrinama programinė įranga visose tarnybinėse stotyse;

19.4. peržiūrima VPREG naudotojų vykdomų funkcijų ir suteiktų VPREG naudotojų teisių atitiktis;

19.5. įvertinamas pasiruošimas VPREG veiklai atstatyti įvykus saugos incidentui;

19.6. atliekama rizikos analizė ir atitinkamai koreguojama VPREG rizikos vertinimo ataskaita.

20. Įvertinęs VPREG informacinių technologijų saugos reikalavimų atitiktį, VPREG saugos įgaliotinis rengia pastebėtų saugos trūkumų šalinimo planą, kurį vadovaujančiajai VPREG tvarkymo įstaigai tvirtinti, jo vykdytojams paskirti ir jo įgyvendinimo terminams nustatyti teikia VPREG tvarkymo įstaiga arba tais atvejais, kai VPREG saugos įgaliotinį skiria pati vadovaujančioji VPREG tvarkymo įstaiga – VPREG saugos įgaliotinis.

 

IIi. VPREG Organizaciniai ir techniniai reikalavimai

 

21. VPREG darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su VPREG naudotojų tiesiogine veikla ir funkcijomis.

22. Prieigos prie VPREG užtikrinimo metodai ir priemonės:

22.1. VPREG duomenys prieinami visą parą;

22.2. teisė dirbti su konkrečiais VPREG duomenimis suteikiama konkrečiam VPREG naudotojui arba VPREG naudotojų grupei;

22.3. nutrūkus tarnybos ar darbo santykiams tarp VPREG tvarkymo įstaigos ir VPREG naudotojo, teisė naudotis VPREG duomenimis turi būti panaikinta. VPREG naudotojams teisė dirbti su konkrečiais VPREG duomenimis turi būti ribojama ar sustabdoma, kai vyksta tokio VPREG naudotojo veiklos, susijusios su VPREG, tyrimas, patikrinimas, VPREG naudotojo ilgiau kaip 30 kalendorinių dienų nėra VPREG tvarkymo įstaigoje ir toks nebuvimas nėra susijęs su VPREG naudotojo tarnybos ar darbo funkcijų vykdymu VPREG tvarkymo įstaigoje arba pasikeičia VPREG naudotojo pareigos ir (arba) jo atliekamos funkcijos VPREG tvarkymo įstaigoje;

22.4. VPREG naudotojai turi imtis priemonių, kad su VPREG duomenimis negalėtų susipažinti pašaliniai asmenys.

23. VPREG veiklos tęstinumui užtikrinti VPREG duomenys yra periodiškai kas 24 valandos kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad elektroninės informacijos saugos incidento atveju VPREG veiklą iš atsarginių kopijų būtų galima atstatyti ne vėliau kaip per 8 valandas. Bylų mėnesinių kopijų laikmenos turi būti laikomos atskiroje patalpoje.

24. Visuose VPREG darbo vietų kompiuteriuose bei tarnybinėse stotyse privalo būti įdiegta apsaugos nuo virusų ir kitos nepageidaujamos programinės įrangos sistema, kurios ilgiausias neatnaujinimo laikas – penkios paros.

25. Keitimuisi duomenimis VPREG tvarkymo įstaigos vidiniame tinkle naudojamas Saugus valstybinis duomenų perdavimo tinklas (toliau vadinama – SVDPT). SVDPT duomenų perdavimo sauga nustatyta Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakymu Nr. 1V-210 (Žin., 2007, Nr. 66-2582).

26. VPREG naudotojams, savo tarnybinėms ar darbo funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius, VPREG duomenims perduoti kompiuterių tinklais ne savo darbo vietoje turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas VPREG naudotojo tapatybės patvirtinimas ir VPREG duomenų šifravimas.

27. VPREG naudotojai, vadovaudamiesi saugos politiką įgyvendinančiais teisės aktais, nuolat rūpinasi VPREG sauga, o pastebėję saugos pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių, privalo nedelsdami apie tai pranešti VPREG administratoriui.

28. VPREG naudotojų veiksmus esant nenumatytai situacijai reglamentuoja VPREG sistemos veiklos tęstinumo valdymo planas, kurį vadovaujančiajai VPREG tvarkymo įstaigai teikia tvirtinti VPREG tvarkymo įstaiga arba tais atvejais, kai VPREG saugos įgaliotinį skiria pati vadovaujančioji VPREG tvarkymo įstaiga, – VPREG saugos įgaliotinis.

 

Iv. Reikalavimai personalui

 

29. VPREG saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus ir savo darbe vadovautis saugos nuostatais, VPREG nuostatais, saugos politiką įgyvendinančiais teisės aktais, kitais Lietuvos Respublikos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

30. VPREG administratorius turi išmanyti darbą su kompiuteriniais tinklais, mokėti užtikrinti jų saugumą, taip pat turi išmanyti duomenų bazių administravimą bei priežiūrą, žinoti saugos nuostatus, VPREG nuostatus, saugos politiką įgyvendinančius teisės aktus.

31. VPREG naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius ir turi būti pasirašytinai supažindinti su saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais.

32. VPREG naudotojai, prieš suteikiant jiems prieigą prie VPREG išteklių, privalo dalyvauti įvadiniame mokyme, kurį vykdo VPREG saugos įgaliotinis ir kuriame jie supažindinami su saugos politiką įgyvendinančiais teisės aktais, saugumo reikalavimais ir atsakomybe už jų nesilaikymą.

33. VPREG naudotojams turi būti periodiškai, ne rečiau kaip kartą per metus, rengiami duomenų saugos mokymai.

 

v. VPREG naudotojų supažindinimo su saugos POLITIKĄ ĮGYVENDINANČIAIS TEISĖS AKTAIS principai

 

34. VPREG naudotojai su saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais, kitais Lietuvos Respublikos teisės aktais ar dokumentais, kuriais vadovaujamasi tvarkant VPREG duomenis bei užtikrinant jų saugumą, ir su atsakomybe už juose numatytų reikalavimų pažeidimus supažindinami pasirašytinai per įvadinius mokymus, už kurių vykdymą atsakingas VPREG saugos įgaliotinis.

35. VPREG naudotojai tvarkyti VPREG duomenis gali tik susipažinę su saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais ir tai patvirtinę raštu.

36. VPREG naudotojai, pažeidę saugos nuostatų ar saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

37. VPREG saugos įgaliotinis, siekdamas užtikrinti VPREG duomenų saugumą, teikia siūlymus jį skiriančios įstaigos vadovui dėl saugos nuostatų keitimo ar naujų / esamų saugos politiką įgyvendinančių teisės aktų, kitų dokumentų priėmimo, keitimo ar panaikinimo.

38. Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai tvirtinami vadovaujančiosios VPREG tvarkymo įstaigos vadovo, iš esmės peržiūrimi ir, esant reikalui, keičiami ne rečiau kaip kartą per metus, atlikus VPREG informacinių technologijų saugos reikalavimų atitikties vertinimą.

 

_________________