LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRO

Į S A K Y M A S

 

DĖL KVOTŲ PREKYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2012 m. rugpjūčio 13 d. Nr. 3D-664

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais:

1. Tvirtinu Kvotų prekybos informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Pavedu:

2.1. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui paskirti Kvotų prekybos informacinės sistemos saugos įgaliotinį;

2.2. saugos įgaliotiniui per 5 mėnesius nuo šio įsakymo įsigaliojimo datos parengti:

2.2.1. Kvotų prekybos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.2.2. Kvotų prekybos informacinės sistemos veiklos tęstinumo valdymo plano projektą;

2.2.3. Kvotų prekybos informacinės sistemos naudotojų administravimo taisyklių projektą.

 

 

Žemės ūkio ministras                                                           Kazys Starkevičius

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2012-07-17 raštu Nr.1D-4836 (52)

 

_________________

 

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2012 m. rugpjūčio 13 d. įsakymu Nr. 3D-664

 

KVOTŲ PREKYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Kvotų prekybos informacinės sistemos duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Kvotų prekybos informacinės sistemos (toliau – KPIS) saugos politiką.

2. Šiuose saugos nuostatuose vartojamos sąvokos:

KPIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis KPIS ištekliais numatytoms funkcijoms atlikti.

Kitos šiuose saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), kituose teisės aktuose ir Lietuvos Respublikos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.

3. KPIS tvarkomos informacijos saugumo tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti KPIS duomenis, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.

4. Esama KPIS duomenų saugos būklė nustatoma kasmetinio rizikos vertinimo metu.

5. Elektroninės KPIS duomenų saugos užtikrinimo prioritetinės kryptys:

5.1. KPIS duomenų konfidencialumo užtikrinimas;

5.2. KPIS reikalaujamo prieinamumo lygio užtikrinimas;

5.3. prieigos prie KPIS kontrolė;

5.4. KPIS naudotojų mokymas.

6. Saugos nuostatai taikomi:

6.1. KPIS valdytojui – Lietuvos Respublikos žemės ūkio ministerijai, Gedimino pr. 19, LT-01103 Vilnius;

6.2. KPIS tvarkytojui – valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui, V. Kudirkos g. 18-1, LT-03105 Vilnius;

6.3. KPIS naudotojams;

6.4. KPIS administratoriui;

6.5. KPIS saugos įgaliotiniui.

7. KPIS valdytojo vadovo funkcijos ir atsakomybė:

7.1. rengia ir priima teisės aktus, užtikrinančius KPIS duomenų tvarkymo teisėtumą ir KPIS duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą;

7.2. analizuoja gaunamus pasiūlymus dėl KPIS duomenų saugos, juos apibendrina ir priima sprendimus dėl KPIS tobulinimo;

7.3. vadovauja KPIS tvarkytojo veiklai, kuriant ir diegiant KPIS, taip pat užtikrina KPIS veikimą, tobulinimą ir duomenų saugą;

7.4. priima sprendimus dėl KPIS rizikos veiksnių vertinimo atlikimo;

7.5. atlieka kitas saugos nuostatų, KPIS nuostatų ir kitų teisės aktų nustatytas funkcijas;

7.6. pagal kompetenciją atsako už informacijos saugą;

7.7. paveda KPIS tvarkytojui skirti KPIS saugos įgaliotinį.

8. KPIS tvarkytojo vadovo funkcijos ir atsakomybė:

8.1. užtikrina KPIS prieinamumą;

8.2. pagal kompetenciją atsako už informacijos saugą, užtikrina KPIS taikomajai programinei įrangai, tarnybinėms stotims ir jose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą ir naudotojų kompiuterinės įrangos bei jos funkcionavimui būtinos informacinių technologijų infrastruktūros (toliau – klientų sritis) saugą;

8.3. rengia ir saugo serverių srities saugai užtikrinti būtiną dokumentaciją;

8.4. sudaro KPIS duomenų gavimo ir teikimo sutartis;

8.5. skiria KPIS saugos įgaliotinį;

8.6. skiria KPIS administratorių;

8.7. atlieka kitas saugos nuostatų, KPIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

9. KPIS saugos įgaliotinio funkcijos ir atsakomybė:

9.1. teikia KPIS tvarkytojo vadovui pasiūlymus dėl:

9.1.1. KPIS administratoriaus paskyrimo;

9.1.2. KPIS saugos dokumentų priėmimo, keitimo arba panaikinimo;

9.1.3. KPIS tvarkytojo informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių KPIS, tyrimą;

9.3. teikia KPIS administratoriui privalomus vykdyti nurodymus ir pavedimus;

9.4. pasirašytinai, KPIS tvarkytojo nustatyta tvarka, supažindina KPIS tvarkytojo darbuotojus, KPIS administratorių ir KPIS naudotojus su saugos nuostatais, saugos dokumentų reikalavimais ir jų atsakomybe už reikalavimų nesilaikymą bei teisės aktais, nurodytais saugos nuostatų 12 punkte, kuriais vadovaujamasi tvarkant elektroninę informaciją užtikrinant jos saugumą;

9.5. atsako už KPIS elektroninės informacijos saugos įgyvendinimą;

9.6. atsako už KPIS rizikos vertinimo atlikimo organizavimą, rizikos įvertinimo ir rizikos valdymo priemonių plano parengimą;

9.7. atsako už KPIS informacinių technologijų saugos atitikties vertinimo organizavimą;

9.8. atsako už atsarginių KPIS duomenų kopijų darymo ir atkūrimo ir už KPIS taikomosios programinės įrangos (aplikacijų) kopijų darymo organizavimą ir peržiūrą;

9.9. atlieka kitas KPIS valdytojo vadovo pavestas, šiais saugos nuostatais bei kitais teisės aktais jam priskirtas funkcijas.

10. KPIS administratoriaus funkcijos ir atsakomybė:

10.1. užtikrina KPIS serverių srities funkcionavimą ir prieigų prie KPIS infrastruktūros išteklių teisių suteikimą;

10.2. užtikrina KPIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų KPIS saugos dokumentų reikalavimus;

10.3. pagal kompetenciją teikia pasiūlymus dėl KPIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

10.4. informuoja KPIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

10.5. atlieka KPIS priežiūrą.

11. KPIS naudotojų funkcijos:

11.1. rūpintis KPIS ir joje tvarkomos informacijos saugumu;

11.2. tvarkyti ir naudoti KPIS duomenis;

11.3. atlikti kitas saugos nuostatų, KPIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

12. Teisės aktai, kuriais vadovaujamasi tvarkant KPIS, tvarkomi duomenys ir užtikrinama sauga:

12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

12.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

12.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

12.4. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės;

12.5. Saugos dokumentų turinio gairės;

12.6. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);

12.7. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

12.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298);

12.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);

12.10. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

12.11. Kiti teisės aktai, reglamentuojantys elektroninės informacijos apsaugą valstybės institucijose.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

13. KPIS elektroninės informacijos priskyrimo atitinkamai kategorijai bendrieji reikalavimai:

13.1. vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, dėl KPIS tvarkomų asmens duomenų informacinė sistema yra priskiriamas trečios kategorijos informacinėms sistemoms;

13.2. vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti KPIS saugomus asmens duomenis KPIS priskiriamas antrasis saugumo lygis.

14. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

14.1. KPIS rizikos vertinimą inicijuoja KPIS valdytojas;

14.2. KPIS informacinės saugos rizika nustatoma periodinio rizikos vertinimo metu;

14.3. KPIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus, kurio metu:

14.3.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis esamai KPIS duomenų saugos situacijai;

14.3.2. inventorizuojama KPIS techninė ir programinė įranga;

14.3.3. patikrinamos visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

14.4. KPIS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką;

14.5. KPIS vertinimas atliekamas vadovaujantis:

14.5.1. Lietuvos Respublikos duomenų saugą reglamentuojančiais teisės aktų reikalavimais;

14.5.2. Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo technika“ grupės standartuose pateikiamomis rekomendacijomis;

14.6. KPIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. KPIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos KPIS informacijos saugai. Svarbiausi rizikos veiksniai:

14.6.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

14.6.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis KPIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

14.6.3. nenugalima jėga (force majeure);

14.7. KPIS valdytojas, atsižvelgdamas į KPIS rizikos įvertinimo ataskaitą, prireikus tvirtina KPIS saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

15. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, KPIS saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja KPIS informacinių technologijų saugos atitikties vertinimą, kurio metu:

15.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai KPIS duomenų saugos situacijai;

15.2. inventorizuojama KPIS techninė ir programinė įranga;

15.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų KPIS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

15.4. patikrinama KPIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

15.5. įvertinamas pasirengimas užtikrinti KPIS veiklos tęstinumą įvykus saugos incidentui;

15.6. KPIS valdytojas, atsižvelgdamas į KPIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina KPIS saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

16. KPIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius KPIS duomenų vientisumui, konfidencialumui ir prieinamumui.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

17. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie KPIS, nustatomi Kvotų prekybos informacinės sistemos naudotojų administravimo taisyklėse. Pagrindiniai metodai ir priemonės:

17.1. prieigos prie KPIS teises suteikia KPIS administratorius. Pasikeitus KPIS naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nedelsiant nutraukiama. KPIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos teisės prie KPIS turi būti panaikintos arba pakeistos. Už periodinę KPIS naudotojų teisių peržiūrą atsakingas KPIS saugos įgaliotinis;

17.2. prieš suteikiant prieigą, KPIS administratorius privalo įsitikinti, kad KPIS naudotojas pasirašytinai yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ar naudojant KPIS duomenis;

17.3. kiekvienas KPIS naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą atpažinties kodą ir atitinkamą slaptažodį;

17.4. KPIS naudotojų prieigai prie KPIS naudojamas šifruotas HTTPS duomenų perdavimo protokolas bei interneto naršyklė.

18. KPIS tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas 5 darbo dienos. Pagrindinės programinės įrangos, skirtos apsaugoti KPIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:

18.1. KPIS funkcionuoti būtina programinė tarnybinių stočių ir KPIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinę įrangos kontrolę atsakingas KPIS saugos įgaliotinis;

18.2. KPIS funkcionuoti būtina serverių srities ir KPIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas KPIS saugos įgaliotinis;

18.3. KPIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių;

18.4. KPIS naudotojų kompiuteriai turi būti apsaugoti lokaliomis ugniasienėmis;

18.5. KPIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

19. Programinės įrangos naudojimo ribojimo nuostatos:

19.1. KPIS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su KPIS duomenų tvarkymu, KPIS naudotojų ir pačios įrangos administravimu.

20. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

20.1. KPIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą;

20.2. konfigūruojant KPIS elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir užkardų prievadai;

20.3. KPIS saugos įgaliotinis organizuoja KPIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją;

20.4. KPIS serverių srities tinklo užkardų konfigūracijos aprašymas (užkardos taisyklės) saugomas KPIS saugos įgaliotinio. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja KPIS saugos įgaliotinis.

21. Leistinos kompiuterių (įskaitant nešiojamus) naudojimo ribos:

21.1. stacionarūs ir nešiojami KPIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo KPIS elektroninė informacija;

21.2. visiems KPIS naudotojų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio naudotojo tapatybė bei šifruojami riboto naudojimo duomenys.

22. Metodai, kurie leidžiami užtikrinant saugų KPIS elektroninės informacijos teikimą ir (ar) gavimą:

22.1. KPIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal KPIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

22.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų identifikavimą, suformulavimą ir įgyvendinimo organizavimą atsakingas KPIS saugos įgaliotinis.

23. Pagrindiniai atsarginių KPIS duomenų kopijų darymo ir atkūrimo reikalavimai:

23.1. atsarginių KPIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

23.2. atsarginės KPIS duomenų kopijos turi būti daromos ir jų atkūrimas turi būti atliekamas pagal VĮ Žemės ūkio informacijos ir kaimo verslo centro svarbiausios veiklos atsarginių kopijų administravimo procedūros aprašą, patvirtintą Žemės ūkio informacijos ir kaimo verslo centro generalinio direktoriaus 2011 m. vasario 10 d. įsakymu Nr. 1V-17;

23.3. už atsarginių KPIS duomenų kopijų darymo ir atkūrimo, ir už KPIS taikomosios programinės įrangos (aplikacijų) kopijų darymo organizavimą ir peržiūrą yra atsakingas KPIS saugos įgaliotinis.

 

IV. REIKALAVIMAI PERSONALUI

 

24. KPIS saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama KPIS saugos politika.

25. KPIS administratorius privalo išmanyti KPIS informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

26. KPIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

27. KPIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių KPIS duomenų saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti KPIS administratoriui.

28. KPIS administratorius apie saugos nuostatų 27 punkte nurodytus pažeidimus informuoja KPIS saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią KPIS saugą (jos konfidencialumą, vientisumą ar prieinamumą), KPIS saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

29. Visi KPIS naudotojai privalo būti pasirašytinai supažindinti su KPIS saugos dokumentais, savo pareigomis ir atsakomybe, susijusia su KPIS informacijos sauga bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą.

30. KPIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet.

31. Už KPIS naudotojų supažindinimą su KPIS saugos dokumentais, saugos nuostatų 12 punkte nurodytais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, taip pat su atsakomybe už saugos dokumentų nuostatų pažeidimus, informacijos saugos mokymą ir žinių atnaujinimą atsakingas KPIS saugos įgaliotinis.

 

V. BAIGIAMOSIOS NUOSTATOS

 

32. Asmenys, pažeidę šių saugos nuostatų ir kitų duomenų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

_________________