LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2009 M. RUGSĖJO 29 D. ĮSAKYMO NR. V-819 „DĖL MIRTIES ATVEJŲ IR JŲ PRIEŽASČIŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2022 m. spalio 12 d. Nr. V-1549
Vilnius
P a k e i č i u Lietuvos Respublikos sveikatos apsaugos ministro 2009 m. rugsėjo 29 d. įsakymą Nr. V-819 „Dėl Mirties atvejų ir jų priežasčių valstybės registro duomenų saugos nuostatų patvirtinimo“:
1. Pakeičiu preambulę ir ją išdėstau taip:
„Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 9 punktu ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:“.
2. Pakeičiu nurodytu įsakymu patvirtintus Mirties atvejų ir jų priežasčių valstybės registro duomenų saugos nuostatus ir juos išdėstau nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro 2009 m. rugsėjo 29 d.
įsakymu Nr. V-819
(Lietuvos Respublikos sveikatos apsaugos ministro 2022 m. spalio 12 d.
įsakymo Nr. V-1549
redakcija)
MIRTIES ATVEJŲ IR JŲ PRIEŽASČIŲ VALSTYBĖS REGISTRO
duomenų SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Mirties atvejų ir jų priežasčių valstybės registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Mirties atvejų ir jų priežasčių valstybės registro (toliau – Registras) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų Registro elektroninės informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Mirties atvejų ir jų priežasčių valstybės registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2009 m. liepos 8 d. nutarimu Nr. 709 „Dėl Mirties atvejų ir jų priežasčių valstybės registro nuostatų patvirtinimo“ (toliau – Registro nuostatai), vartojamas sąvokas.
3. Registro elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) tikslas – užtikrinti Registro elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą ir sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro elektroninę informaciją.
4. Elektroninės informacijos saugos politika įgyvendinama pagal Registro valdytojo tvirtinamus Registro Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: Registro saugaus elektroninės informacijos tvarkymo taisykles, Registro naudotojų administravimo taisykles, Registro veiklos tęstinumo valdymo planą (toliau visi kartu – saugos dokumentai).
5. Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Registro duomenų saugai užtikrinti, įgyvendinimas ir šių priemonių kontrolė;
6. Saugos nuostatų reikalavimai taikomi:
6.1. Registro valdytojui – Lietuvos Respublikos sveikatos apsaugos ministerijai, Vilniaus g. 33, LT-01506 Vilnius;
7. Už elektroninės informacijos saugą pagal kompetenciją atsako Registro valdytojas ir Registro tvarkytojas.
8. Registro naudotojai, duomenų valdymo įgaliotinis ir administratorius privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su Registru susijusią veiklą.
9. Registro valdytojo funkcijos:
9.1. tvirtina saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;
9.2. nagrinėja Registro tvarkytojo pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima sprendimus dėl jų finansavimo;
9.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
10. Registro tvarkytojo funkcijos:
10.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
10.3. pagal kompetenciją įgyvendina Registro saugos dokumentų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimus;
10.4. teikia pasiūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų priėmimo, keitimo arba panaikinimo, taip pat rengia Registro saugos dokumentų projektus;
10.5. užtikrina, kad Registro naudotojai, turintys teisę naudotis Registro elektronine informacija, laikytųsi reikalavimų, nustatytų Registro saugos dokumentuose;
10.6. atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;
10.8. teikia pasiūlymus Registro valdytojui dėl Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;
10.9. Registro valdytojo vadovo pavedimu skiria kibernetinio saugumo vadovą, Registro duomenų valdymo įgaliotinį, Registro saugos įgaliotinį ir Registro administratorių;
11. Registro saugos įgaliotinio funkcijos ir atsakomybė:
11.2. organizuoja Registro informacinių technologijų saugos atitikties vertinimą ir parengia saugos atitikties vertinimo ataskaitą;
11.4. teikia pasiūlymus Registro valdytojui dėl Registro saugos dokumentų priėmimo, keitimo ar pripažinimo netekus galios;
11.6. teikia Registro administratoriui ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
11.7. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems Registro tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
11.8. supažindina Registro administratorių ir Registro naudotojus su Registro saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Registro naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
12. Registro administratoriaus funkcijos ir atsakomybė:
12.3. suteikia teisę Registro naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti;
12.4. užtikrina registro komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Registro pažeidžiamas vietas;
12.6. pagal kompetenciją teikia Registro tvarkytojo vadovui pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
12.7. informuoja Registro saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
13. Kibernetinio saugumo vadovas atlieka šias funkcijas:
13.1. koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;
14. Registro duomenų valdymo įgaliotinio funkcijos:
14.1. atlieka funkcijas, nustatytas Valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 2 dalyje, ir kitas Registro saugos dokumentuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir jam priskirtas funkcijas;
15. Registro naudotojo funkcijos:
15.1. Registro saugos dokumentų nustatyta tvarka pagal kompetenciją tvarko Registro elektroninę informaciją, reikalingą jo funkcijoms atlikti;
15.2. pagal kompetenciją prireikus teikia pasiūlymus Registro saugos įgaliotiniui dėl Saugos nuostatų 43 ir 44 punktuose nurodytų mokymų organizavimo Registro naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais;
16. Teisės aktai, kuriais vadovaujantis tvarkoma Registro elektroninė informacija ir užtikrinama jos sauga:
16.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
16.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu
Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);
16.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika);
16.7. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Klasifikavimo gairių aprašo reikalavimais:
17.1. Registre tvarkoma elektroninė informacija pagal svarbą priskiriama vidutinės svarbos informacijos kategorijai;
18. Registro saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – Kibernetinio saugumo centras) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą.
19. Registro rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Registro elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su Registro rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Registro kibernetiniam saugumui, vertinimas. Svarbiausieji rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše.
20. Registro rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:
21. Registro rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje, kurią tvirtina Registro tvarkytojo vadovas. Prireikus tvirtinamas rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
22. Elektroninės informacijos saugos priemonių parinkimo principai:
23. Siekiant įvertinti saugos dokumentuose išdėstytų reikalavimų įgyvendinimo kontrolę, vadovaujantis Saugos atitikties vertinimo metodika, kartą per metus organizuojamas Registro informacinių technologijų saugos atitikties vertinimas.
24. Atlikus Registro informacinių technologijų saugos atitikties vertinimą, rengiama Registro informacinių technologijų saugos atitikties vertinimo ataskaita, prireikus – pastebėtų trūkumų šalinimo planas, kuriuos tvirtina Registro tvarkytojas.
25. Registro rizikos įvertinimo ataskaitos, rizikos valdymo priemonių plano, jei toks buvo rengtas, bei informacinių technologijų saugos atitikties vertinimo ataskaitos pastebėtų trūkumų šalinimo plano kopijas Registro tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS).
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
26. Programinės įrangos, skirtos Registrą apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
26.1. Registro tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą ir atsinaujinančios automatiniu būdu;
27. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
27.1. Registro darbui turi būti naudojama tik legali, Registro funkcijoms vykdyti būtina programinė įranga;
28. Registro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
29. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
29.1. Registro elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DoS (angl. Denial of Service) ir DDoS (angl. Distributed Denial of Service) atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
30. Leistinos kompiuterių naudojimo ribos:
30.1. stacionarieji ir nešiojamieji Registro naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Registro duomenys ir Registro informacija;
30.2. nešiojamieji kompiuteriai gali būti naudojami tik suvestiniams (viešiems) Registro duomenims ir negali būti naudojami Registro duomenims registruoti, kaupti ir apdoroti;
31. Metodai, kuriais užtikrinamas saugus Registro elektroninės informacijos teikimas ir (ar) gavimas:
31.1. perduodama Registro elektroninė informacija yra šifruojama naudojant saugų SSL (angl. Secure Sockets Layer) protokolą;
31.2. elektroninė informacija iš susijusių registrų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
31.3. prieigos prie Registro elektroninės informacijos teises gali suteikti tik Registro administratorius. Registro naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
32. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
32.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) turi būti daromos automatiniu būdu ne rečiau kaip kas 24 valandas;
33. Turi būti užtikrintas saugos incidentų, įvykusių Registre, registravimas, valdymas ir tyrimas kibernetinio saugumo reikalavimų aprašo ir Registro veiklos tęstinumo valdymo plano nustatyta tvarka:
33.1. registruojami Registre įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis pagal kompetenciją saugos incidentai valdomi, tiriami ir šalinami bei atkuriama Registro veikla;
34. Perkant paslaugas, darbus ar įrangą, susijusius su Registru, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad asmuo, atliekantis Registro techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali turėti neišnykusio ar nepanaikinto teistumo už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat negali turėti paskirtos administracinės nuobaudos už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo yra praėję mažiau kaip vieni metai, taip pat privalo laikytis Registro saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems Kibernetinio saugumo reikalavimų aprašo reikalavimams.
35. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
36. Registro saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Lietuvos Respublikos teisės aktais ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
37. Kibernetinio saugumo vadovas turi išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Registro saugos dokumentais, Kibernetinio saugumo reikalavimų aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.
38. Registro saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai. Registro saugos įgaliotinis ir kibernetinio saugumo vadovas, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
39. Registro administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, gebėti administruoti ir prižiūrėti Registro duomenų bazę.
40. Registro naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Registro duomenis Registro nuostatų nustatyta tvarka, būti susipažinę su Registro saugos dokumentais.
41. Registro naudotojai ir paslaugų, susijusių su Registru, teikėjai turi raštu pasirašytinai įsipareigoti saugoti asmens duomenų paslaptį. Įsipareigojimas saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams, per visą asmens duomenų teisinės apsaugos laiką.
42. Registro naudotojai, pastebėję saugos reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones Registre, privalo nedelsdami pranešti apie tai Registro administratoriui ar Registro saugos įgaliotiniui.
43. Kibernetinio saugumo vadovas arba Registro saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Registro naudotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas.
44. Registro naudotojų mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Registro naudotojų, Registro duomenų valdymo įgaliotinio ir Registro administratoriaus poreikius.
V SKYRIUS
REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU
SAUGOS DOKUMENTAIS PRINCIPAI
45. Tvarkyti Registro duomenis ir gauti informaciją gali tik Registro naudotojai, susipažinę su Registro saugos dokumentais, ir raštu pasirašę pasižadėjimus saugoti asmens duomenų paslaptį.
46. Už Registro naudotojų supažindinimą su Registro saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą atsakingas Registro saugos įgaliotinis. Pasikeitus Registro saugos dokumentams, Registro naudotojai su jais supažindinami pakartotinai.