LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRO
Į S A K Y M A S
DĖL LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTERIJOS REGULIAVIMO SRIČIAI PRISKIRTŲ INSTITUCIJŲ IR ĮSTAIGŲ TEIKIAMŲ PASLAUGŲ INFORMACINĖS SISTEMOS duomenų saugos NUOSTATŲ PATVIRTINIMO
2012 m. gruodžio 4 d. Nr. 3D-909
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 44 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1 ir 8 punktais:
1. T v i r t i n u Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos duomenų saugos nuostatus (pridedama).
2. P a v e d u valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui:
2.1. paskirti Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos saugos įgaliotinį ir Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos administratorių;
2.2. parengti ir iki 2013 m. gruodžio 31 d. pateikti Lietuvos Respublikos žemės ūkio ministerijai tvirtinti šiuos Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos saugos politiką įgyvendinančius dokumentus:
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2012 m. gruodžio 4 d. įsakymu Nr. 3D-909
LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTERIJOS REGULIAVIMO SRIČIAI PRISKIRTŲ INSTITUCIJŲ IR ĮSTAIGŲ TEIKIAMŲ PASLAUGŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos (toliau – ŽŪMIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja ŽŪMIS saugos politiką, nustato administracines, technines ir kitas priemones, užtikrinančias saugų ŽŪMIS paslaugoms teikti reikalingų duomenų tvarkymą.
2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją ŽŪMIS, užtikrinti, kad ŽŪMIS paslaugoms teikti reikalingi duomenys būtų tvarkomi saugiai ir teisėtai.
3. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji saugos reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070) (toliau – Gairės), Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos nuostatais (toliau – ŽŪMIS nuostatai), patvirtintais žemės ūkio ministro 2012 m. spalio 2 d. įsakymu Nr. 3D-774 (Žin., 2012, Nr. 116-5909), Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.
4. Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 3 punkte nurodytuose ir kituose teisės aktuose vartojamas sąvokas.
5. Saugos nuostatų reikalavimai taikomi tvarkant ŽŪMIS duomenis ir per ŽŪMIS iš duomenų teikėjų gaunamus ir duomenų gavėjams teikiamus duomenis iki to momento, kol jie perduodami tvarkyti į kitas informacines sistemas (toliau kartu – ŽŪMIS duomenys) ir yra privalomi Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų, teikiančių ŽŪMIS paslaugas (toliau – Institucijos), valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, turintiems bet kokias ŽŪMIS naudotojų teises, taip pat ŽŪMIS paslaugų gavėjams.
6. Saugos nuostatai reglamentuoja ŽŪMIS saugos politiką, kurią įgyvendina šie ŽŪMIS valdytojo patvirtinti teisės aktai (toliau – Saugos politiką įgyvendinantys teisės aktai):
7. ŽŪMIS duomenų saugos tikslai yra šie:
8. ŽŪMIS duomenų saugumo užtikrinimo prioritetinės kryptys:
8.1. teisėtas, saugus, kokybiškas ir tęstinis paslaugų teikimas ŽŪMIS paslaugų gavėjams bei teisėtas ir saugus ŽŪMIS paslaugoms teikti reikalingų ŽŪMIS duomenų naudojimas;
9. ŽŪMIS valdytojas yra Lietuvos Respublikos žemės ūkio ministerija, adresas: Gedimino pr. 19, LT-01103, Vilnius.
10. ŽŪMIS valdytojas atlieka šias funkcijas:
10.1. koordinuoja ŽŪMIS tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;
10.5. skiria ŽŪMIS saugos įgaliotinį (toliau – Saugos įgaliotinis) ir ŽŪMIS administratorių arba paveda juos paskirti ŽŪMIS tvarkytojui;
10.6. priima sprendimus dėl ŽŪMIS techninių ir programinių priemonių, būtinų ŽŪMIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
11. ŽŪMIS tvarkytojas yra valstybės įmonė Žemės ūkio informacijos ir kaimo verslo centras, adresas: V. Kudirkos g. 18-1, LT-03105 Vilnius.
12. ŽŪMIS tvarkytojas atlieka šias funkcijas:
12.1. užtikrina ŽŪMIS duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus ŽŪMIS valdytojui, kaip tobulinti ŽŪMIS duomenų saugą;
12.2. užtikrina ŽŪMIS paslaugų teikimą, t. y. užtikrina, kad ŽŪMIS duomenys būtų perduodami teisėtai, saugiai ir kokybiškai;
12.3. užtikrina, kad paslaugų gavėjams būtų perduodami tik tie duomenys, kuriuos jie turi teisę gauti;
12.5. atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, taip pat gavus Saugos įgaliotinio pasiūlymus, inicijuoja ŽŪMIS saugos dokumentų pakeitimus;
12.6. teikia ŽŪMIS naudotojams metodinę ir informacinę pagalbą ŽŪMIS saugos klausimais, apibendrina duomenų tvarkymo ar kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas;
13. Saugos įgaliotinis, įgyvendindamas ŽŪMIS Saugos politiką, atlieka šias funkcijas:
13.2. registruoja ŽŪMIS duomenų saugos incidentus bei koordinuoja ŽŪMIS duomenų saugos incidentų, įvykusių ŽŪMIS, tyrimą;
13.3. teikia ŽŪMIS administratoriui su ŽŪMIS duomenų saugos užtikrinimu susijusius privalomus vykdyti nurodymus ir pavedimus;
13.4. rengia rizikos vertinimo planą, kasmet organizuoja ŽŪMIS rizikos vertinimą, aprašo ŽŪMIS rizikos vertinimo rezultatus ŽŪMIS rizikos vertinimo ataskaitoje, kurią teikia ŽŪMIS valdytojui;
13.6. atlieka ŽŪMIS informacinių technologijų saugos atitikties vertinimą, teikia parengtas vertinimo ataskaitas ŽŪMIS valdytojui;
13.8. teikia ŽŪMIS valdytojui ar ŽŪMIS tvarkytojui, jeigu jis paskyrė Saugos įgaliotinį, pasiūlymus dėl:
14. ŽŪMIS administratorius, vykdantis ŽŪMIS priežiūrą, atlieka šias funkcijas:
14.3. informuoja Saugos įgaliotinį apie Saugos politikos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
14.4. vykdo Saugos įgaliotinio nurodymus ir pavedimus, susijusius su ŽŪMIS duomenų saugos užtikrinimu;
15. Tvarkant ŽŪMIS duomenis, reikalingus ŽŪMIS paslaugoms teikti ir užtikrinant jos saugumą, teikiant ŽŪMIS paslaugas, vadovaujamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804), Bendraisiais saugos reikalavimais, Gairėmis, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298); Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, reguliuojančiais saugų informacinės sistemos duomenų tvarkymą, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais elektroninių paslaugų teikimo teisėtumą, elektroninių paslaugų teikėjų veiklą ir duomenų saugą.
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių 3.2.5 punktu, ŽŪMIS priskiriama antrai informacinių sistemų kategorijai.
18. Saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja ŽŪMIS rizikos veiksnių vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį ŽŪMIS rizikos veiksnių vertinimą.
19. ŽŪMIS duomenų saugumo padėtis ir rizikos veiksnių įvertinimas pateikiami rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
20. Vertinant ŽŪMIS duomenų saugumo padėtį ir rizikos veiksnius, būtina atsižvelgti ir užtikrinti tai, kad ŽŪMIS duomenys, gaunami iš duomenų teikėjų ir perduodami duomenų gavėjams jokiu būdu negali būti sunaikinti, prarasti, pakeisti ar atskleisti jų gavimo į ŽŪMIS ar perdavimo metu. Duomenų teikėjų perduoti į ŽŪMIS duomenys gali būti pakeisti tik paslaugų gavėjo, prisijungusio prie ŽŪMIS ir gavusio duomenis, o vėliau, perduodant juos į Institucijų administruojamas sistemas (kitiems duomenų gavėjams), jokie pakeitimai negalimi, t. y. turi būti užtikrintas saugus duomenų perdavimas. Duomenys, kurie po perdavimo duomenų gavėjams nėra saugomi, turi būti saugiai panaikinti iš ŽŪMIS.
21. Rizikos veiksniai vertinami pagal jų pasireiškimo dažnį (žemas – pasireiškia vieną kartą per mėn., vidutinis – pasireiškia daugiau nei vieną kartą per mėn., bet ne daugiau nei 3 kartus per mėn., ar aukštas – pasireiškia daugiau nei 3 kartus per mėn.) ir įtakos ŽŪMIS duomenų saugai laipsnius:
21.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – dingo ar yra sugadinta mažesnė nei 5 proc. dalis informacijos; atskleista 5 proc. neviešos (pavyzdžiui, asmens duomenys) informacijos. ŽŪMIS neprieinama ne daugiau nei 20 min. Visa sugadinta informacija ŽŪMIS priemonėmis yra atkuriama iš atsarginių kopijų per 1 valandą;
21.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – dingo ar yra sugadinta mažesnė nei 50 proc. dalis informacijos; atskleista 20 proc. neviešos (pavyzdžiui, asmens duomenys) informacijos; ŽŪMIS neprieinama ne daugiau nei 35 min. Visa sugadinta informacija ŽŪMIS priemonėmis yra atkuriama iš atsarginių kopijų per 1 valandą;
21.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – dingo ar yra sugadinta didesnė nei 50 proc. dalis informacijos; atskleista 35 proc. neviešos (pavyzdžiui, asmens duomenys) informacijos; ŽŪMIS neprieinama daugiau nei 50 min. Dalis informacijos (ne mažesnė nei 30 proc.) ŽŪMIS priemonėmis yra atkuriama iš atsarginių kopijų per 1 valandą.
22. Rizikos vertinimo metu atliekamos veiklos:
23. Atsižvelgdamas į rizikos įvertinimo ataskaitą, ŽŪMIS valdytojas prireikus tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
24. Pagrindiniai ŽŪMIS duomenų saugos priemonių parinkimo principai yra šie:
25. Siekiant užtikrinti Saugos nuostatuose ir Saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:
25.1. įvertinama esamos informacijos saugos padėties atitiktis Saugos nuostatų ir Saugos politiką įgyvendinančių teisės aktų reikalavimams;
25.3. tikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų ŽŪMIS naudotojų darbo vietų bei visų tarnybinių stočių programinė įranga ir jų sąranka;
26. Atlikus Saugos nuostatų 25 punkte nurodytą vertinimą, saugos įgaliotinis rengia trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato ŽŪMIS valdytojas.
27. Neeilinis ŽŪMIS rizikos vertinimas turi būti atliekamas:
27.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė ŽŪMIS techninei, programinei įrangai ar ŽŪMIS laikomiems duomenims;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
28. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie ŽŪMIS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi ŽŪMIS naudotojų administravimo taisyklėse.
29. Visos ŽŪMIS tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto, prievadų skenavimo ir pan.). Apsaugai naudojama programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per parą.
30. ŽŪMIS objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims ŽŪMIS naudotojai turi naudoti programinės ir techninės įrangos saugos priemones, kuriose:
30.2. realizuota ŽŪMIS naudotojams prieigos prie ŽŪMIS duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;
30.4. realizuota galimybė atpažinti ŽŪMIS naudotojus, fiksuoti ir kaupti jų atliekamus duomenų tvarkymo veiksmus;
30.6. apribotas programinės įrangos, nesusijusios su ŽŪMIS naudotojų funkcijomis (žaidimai, bylų siuntimo, internetinių pokalbių programos ir kt.), naudojimas;
31. Draudžiama naudoti programinę įrangą, nesusijusią su ŽŪMIS tvarkytojo ir naudotojo atliekamomis funkcijomis.
32. Prieigai prie ŽŪMIS naudojami kompiuteriai gali būti naudojami ir kitoms ŽŪMIS naudotojo funkcijoms atlikti.
33. ŽŪMIS naudotojų prieiga prie kitų valstybės institucijų, žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, išrenkama, išimama nepageidaujama informacija. Už tokios įrangos administravimą ir priežiūrą atsakinga institucija, kurios kompiuterinę techniką naudoja ŽŪMIS naudotojas, jungdamasis prie ŽŪMIS.
34. Kompiuterius, turinčius prieigą prie ŽŪMIS, naudojant nustatytoms funkcijoms vykdyti ne naudotojo patalpose, įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).
35. Užtikrinant saugų ŽŪMIS duomenų teikimą ir (ar) gavimą iš duomenų teikėjų, naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau – SVDPT) ar kiti kanalai, užtikrinantys atitinkamą saugumo lygį. ŽŪMIS duomenys automatiniu būdu į ŽŪMIS teikiami ir (ar) per ŽŪMIS gaunami tik pagal duomenų teikimo sutartyse nustatytą tvarką ir sąlygas.
36. ŽŪMIS naudotojų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakyme Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 66-2582).
37. Atsarginių kopijų darymas turi užtikrinti ŽŪMIS veiklos tęstinumą. ŽŪMIS veiklos tęstinumui užtikrinti ŽŪMIS duomenys yra periodiškai kopijuojami į atsarginių kopijų laikmenas ir šios laikmenos saugomos taip, kad įvykus ŽŪMIS duomenų saugos incidentui, ŽŪMIS veikla būtų atkurta per 1 valandą. ŽŪMIS administratorius atsako už atsarginių ŽŪMIS duomenų kopijų darymą ir saugojimą. ŽŪMIS administratorius ne rečiau kaip kartą per pusę metų atlieka ŽŪMIS duomenų atkūrimo iš atsarginių kopijų testavimą ir ne rečiau kaip kartą per dvejus metus – atsarginių kopijų tinkamumo ir saugojimo kontrolę. Atsarginių kopijų, iš kurių būtų galima atkurti ŽŪMIS duomenis, darymo ir saugojimo tvarka nustatoma ŽŪMIS saugaus elektroninės informacijos tvarkymo taisyklėse.
39. ŽŪMIS paslaugų gavėjai, naudodamiesi ŽŪMIS, privalo laikytis Saugos nuostatų, Saugos nuostatų 3 punkte nurodytų ir kitų ŽŪMIS duomenų saugą reglamentuojančių teisės aktų reikalavimų.
40. ŽŪMIS paslaugų gavėjai privalo naudotis ŽŪMIS tik ŽŪMIS paslaugos gavimo tikslais neviršydami jiems suteiktų teisių ir susilaikyti nuo bet kokių veiksmų, kuriais siekiama:
41. ŽŪMIS paslaugų gavėjai atsako už saugų kompiuterinės, programinės ar kitos įrangos, kuria naudodamiesi jie jungiasi prie ŽŪMIS, naudojimą ir įsipareigoja reguliariai atnaujinti antivirusines ar kitas įrangos naudojimo saugą užtikrinančias programas.
IV. REIKALAVIMAI PERSONALUI
44. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus ir priemones (informacijos, konfidencialumo, vientisumo, pasiekiamumo apsaugos principus; organizacines apsaugos priemones, technines apsaugos priemones, apsaugos informacinių priemonių visumą), savo darbe vadovautis Bendraisiais saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
45. ŽŪMIS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. ŽŪMIS administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
46. Visi ŽŪMIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti kurti ir palaikyti ŽŪMIS paslaugas.
47. Kurti ir palaikyti ŽŪMIS paslaugas gali tik ŽŪMIS naudotojai, susipažinę su ŽŪMIS nuostatais, Saugos nuostatais ir Saugos politiką įgyvendinančiais teisės aktais bei raštu sutikę laikytis šių teisės aktų reikalavimų.
48. Saugos įgaliotinis ir ŽŪMIS administratorius turi nuolat tobulinti duomenų saugos srities kvalifikaciją. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja ŽŪMIS naudotojų mokymą ŽŪMIS duomenų saugos klausimais.
V. ŽŪMIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS Politika PRINCIPAI
50. Už ŽŪMIS naudotojų supažindinimą su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas Saugos įgaliotinis, kuris paveda Institucijų paskirtiems atsakingiems asmenims užtikrinti tų Institucijų ŽŪMIS naudotojų supažindinimą su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, bei atsakomybe už šių reikalavimų nesilaikymą. Saugos įgaliotinis turi teisę kontroliuoti, kaip Institucijų paskirti atsakingi asmenys vykdo jiems pavestas pareigas, o šie privalo informuoti Saugos įgaliotinį apie supažindinimo su saugos politika reikalavimų įvykdymą.
51. ŽŪMIS naudotojai su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą supažindinami pasirašytinai.
52. Saugos įgaliotinis ir Institucijų paskirti atsakingi asmenys tvarko ŽŪMIS naudotojų supažindinimo su saugos politika žurnalus, kuriuose pildomos šios grafos: supažindinimo data, ŽŪMIS naudotojo vardas ir pavardė, pareigos, parašas. Saugos įgaliotiniui pareikalavus, atskirų Institucijų ŽŪMIS naudotojų supažindinimo su saugos politika žurnalai turi būti nedelsiant perduodami Saugos įgaliotiniui patikrinti.
53. Pakartotinai su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais bei kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, ŽŪMIS naudotojai supažindinami tik iš esmės pasikeitus ŽŪMIS arba informacijos saugą reglamentuojantiems teisės aktams.
VI. BAIGIAMOSIOS NUOSTATOS
55. Saugos nuostatai ir Saugos politiką įgyvendinantys teisės aktai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, technologiniams ar kitiems ŽŪMIS pokyčiams.
56. ŽŪMIS valdytojas, ŽŪMIS tvarkytojas, Saugos įgaliotinis, ŽŪMIS administratorius, ŽŪMIS naudotojai ir ŽŪMIS paslaugų gavėjai privalo įgyvendinti Saugos nuostatuose, elektroninių paslaugų teikimą ir duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas ŽŪMIS teikiamų paslaugų ir šioms paslaugoms teikti reikalingų duomenų saugai užtikrinti.