LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS
ĮSAKYMAS
DĖL ŽEMĖS ŪKIO MINISTRO 2016 M. LIEPOS 4 D. ĮSAKYMO NR. 3D-404 „DĖL VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO “ PAKEITIMO
2022 m. kovo 28 d. Nr. 3D-222
Vilnius
Pakeičiu Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos žemės ūkio ministro 2016 m. liepos 4 d. įsakymu Nr. 3D-404 „Dėl Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatų ir Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2016 m. liepos 4 d. įsakymu Nr. 3D-404
(Lietuvos Respublikos žemės ūkio ministro
2022 m. kovo 28 d. įsakymo Nr. 3D-222
redakcija)
VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos (toliau – VAT) informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos (toliau – VATIS) saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, kuriomis užtikrinamas saugus VATIS duomenų tvarkymas.
2. VATIS saugos politiką papildomai reglamentuoja šie dokumentai (toliau – Saugos politiką įgyvendinantys dokumentai):
3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti VATIS duomenis, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. VATIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo bei diegimo principus.
4. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas) ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, bei Lietuvos Respublikos standartuose
LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013.
5. Elektroninės informacijos saugos tikslai:
6. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
6.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų VATIS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;
7. Saugos nuostatai taikomi:
7.1. VATIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai, adresas: Vilnius, Gedimino pr. 19;
8. VATIS valdytojo funkcijos ir atsakomybė:
8.2. kontroliuoja, kaip laikomasi Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą;
8.5. priima sprendimą atlikti VATIS informacinių technologijų saugos reikalavimų atitikties vertinimą;
8.6. atsako už VATIS elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
9. VATIS tvarkytojo funkcijos ir atsakomybė:
9.1. VATIS valdytojo pavedimu skiria VATIS saugos įgaliotinį ir VATIS administratorių (-ius) (toliau – VATIS administratorius);
9.2. užtikrina nenutrūkstamą VATIS veikimą ir elektroninės informacijos, esančios duomenų bazėse, saugą;
9.3. VATIS duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia VATIS duomenis duomenų gavėjams bei užtikrina duomenų saugą, iki duomenys pasiekia duomenų gavėją sutartyse numatytomis sąlygomis ir tvarka;
9.5. atsako už VATIS reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka;
10. VATIS saugos įgaliotinio funkcijos ir atsakomybė:
10.2. kasmet organizuoja VATIS rizikos vertinimą (prireikus ir neeilinius VATIS rizikos vertinimus);
10.3. periodiškai informacinės dokumentų valdymo sistemos priemonėmis supažindina VATIS administratorių ir VATIS naudotojus su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, užtikrinant jos saugumą, informuoja apie jų pakeitimus ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
10.4. periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja VATIS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu ir pan.);
10.5. peržiūri Saugos nuostatus ir Saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;
10.6. atsako už tinkamą Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatytų funkcijų vykdymą;
11. VATIS administratoriaus funkcijos ir atsakomybė:
11.1. užtikrina VATIS techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;
11.2. pagal kompetenciją vykdo VATIS sudedamųjų dalių (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų), esančių VAT patalpose, administravimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį VATIS saugos politiką įgyvendinančių duomenų reikalavimams;
11.3. pagal kompetenciją rengia pasiūlymus dėl VATIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;
11.4. imasi veiksmų, kurie sumažintų ar iš viso pašalintų kilusio elektroninės informacijos saugos incidento sukeltas neigiamas pasekmes;
11.7. nuolat teikia VATIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių sudedamųjų dalių būklę, saugos politikos pažeidimus, nusikalstamos veikos požymius;
11.8. vykdo VATIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su VATIS saugos politikos įgyvendinimu;
11.10. pagal kompetenciją atsako už techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;
12. VATIS naudotojai, pastebėję saugumo pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VATIS saugos įgaliotiniui.
13. Saugos nuostatai privalomi VATIS naudotojams, VATIS saugos įgaliotiniui, VATIS administratoriui.
14. Tvarkant VATIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi šiais teisės aktais:
14.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;
14.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
14.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio
13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
14.8. Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2016 m. liepos 4 d. įsakymu Nr. 3D-404 „Dėl Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatų ir Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“;
14.9. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai);
14.10. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
14.11. Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. VATIS tvarkoma elektroninė informacija, įvertinus informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį, priskiriama vidutinės svarbos informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Informacinių sistemų klasifikavimo gairių aprašas), 9.1 ir 9.3 papunkčiais.
16. VATIS pagal joje tvarkomos elektroninės informacijos svarbą, vadovaujantis Informacinių sistemų klasifikavimo gairių aprašo 12.3 papunkčiu, yra priskiriama trečiajai informacinių sistemų kategorijai.
17. VATIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“ bei vadovaudamasis Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, kasmet organizuoja VATIS rizikos vertinimą, o prireikus organizuoja ir neeilinį rizikos vertinimą.
18. Rizikos vertinimo metu atliekamos veiklos:
19. VATIS tvarkytojo rašytiniu pavedimu VATIS rizikos įvertinimą gali atlikti VATIS saugos įgaliotinis.
20. Po VATIS rizikos vertinimo rengiama VATIS rizikos vertinimo ataskaita. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Parengta VATIS rizikos vertinimo ataskaita pateikiama VATIS tvarkytojo vadovui.
21. Svarbiausi rizikos veiksniai yra šie:
21.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fizinės informacijos technologijų triktys, duomenų perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);
21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VATIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdžiai, saugumo pažeidimai, vagystės ir kita);
21.3. nenugalimos jėgos (force majeure) aplinkybės, kaip jas reglamentuoja Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punktas, bet jomis neapsiribojant;
22. Atsižvelgdamas į rizikos vertinimo ataskaitą, VATIS saugos įgaliotinis prireikus parengia rizikos vertinimo ir rizikos valdymo priemonių planą, kurį tvirtina VATIS valdytojas. Rizikos vertinimo ir rizikos valdymo priemonių plane numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
23. Rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
24. VATIS saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
24.1. įvertinama, ar VATIS duomenų Saugos politiką įgyvendinantys dokumentai atitinka realią informacijos saugos situaciją;
25. Atlikus informacinių technologijų saugos atitikties vertinimą, VATIS saugos įgaliotinis rengia ir teikia VATIS tvarkytojo vadovui vertinimo ataskaitą.
26. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, VATIS saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VATIS valdytojas.
27. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
28. Techninės, programinės ir organizacinės VATIS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į VATIS valdytojo ir tvarkytojo turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:
29. Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
30. Programinės įrangos, skirtos VATIS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
30.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose privalo būti įdiegta centralizuotai valdoma apsaugai naudojama programinė įranga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);
30.3. apsaugai naudojama programinė įranga turi automatiškai informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose buvo pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas;
31. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimas:
31.3. VATIS saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per kalendorinius metus, peržiūri ir, suderinęs su VATIS tvarkytoju, patvirtina leistinos programinės įrangos sąrašą (standartinės ir papildomos programinės įrangos);
31.4. VATIS naudotojų kompiuterinėse darbo vietose ir tarnybinėse stotyse negali būti naudojama programinė įranga, nesusijusi su VATIS naudotojų funkcijų vykdymu;
31.5. programinę įrangą gali diegti tik VATIS administratorius, VATIS naudotojams draudžiama savavališkai diegti bet kokią programinę įrangą;
31.6. turi būti įdiegta prieigos prie VATIS elektroninės informacijos perregistravimo, teisių suteikimo ir slaptažodžių sistema;
32. Kompiuterių tinklo filtravimo įranga:
33. Leistinos kompiuterių naudojimo ribos:
33.1. kompiuteriai, kuriuose saugomi su VATIS susiję duomenys, turi būti apsaugoti prisijungimo vardu ir slaptažodžiu;
34. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
35. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
35.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną;
35.3. kopijas turi teisę tvarkyti VATIS administratoriai ir techninės bei programinės įrangos priežiūros paslaugų teikėjai, kaip nustatyta Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje;
IV SKYRIUS
REIKALAVIMAI PERSONALUI
36. VATIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą, būti susipažinęs su esminiais VATIS duomenų saugos reikalavimais, turėti atitinkamą kvalifikaciją įgyvendinti saugos politiką.
37. VATIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
38. VATIS administratorius privalo išmanyti elektroninės informacijos saugos principus, mokėti užtikrinti jos saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis. VATIS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nenutrūkstamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.
39. VATIS naudotojai privalo turėti pagrindinių darbo su kompiuteriu įgūdžių, mokėti tvarkyti duomenis, turi būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą. Tvarkyti VATIS duomenis gali tik VATIS naudotojai, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su VATIS nuostatais, Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, reglamentuojančiais saugų VATIS duomenų tvarkymą.
40. VATIS naudotojams gali būti suteikiamos tik tokios prieigos teisės, kurios būtinos jų darbo funkcijų vykdymui. VATIS naudotojams negali būti suteikiamos administratoriaus teisės.
41. Kiekvienas VATIS naudotojas VATIS identifikuojamas unikaliai (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius). Draudžiama naudoti bendras paskyras, išskyrus, jei tai būtina VAT veiklos procesams užtikrinti ir nėra kitų galimybių. Bendrų paskyrų naudojimas turi būti suderintas su VATIS saugos įgaliotiniu ir įvertinta tokių bendrų paskyrų naudojimo rizika bei numatytos rizikos mažinimo priemonės.
42. VATIS naudotojai privalo nedelsdami pranešti apie VATIS ar jos posistemių veiklos sutrikimus, esamus arba įtariamus, elektroninės informacijos saugos incidentus, Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, neveikiančias arba netinkamai veikiančias saugos priemones, kitų VATIS naudotojų ar asmenų neteisėtus veiksmus ar nusikalstamos veikos požymius turinčius atvejus ar kitus įtartinus atvejus savo vadovui ir VATIS saugos įgaliotiniui ar VATIS administratoriui.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
43. Naudoti VATIS duomenis gali tik tie asmenys, kurie yra susipažinę su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą.
44. Už VATIS naudotojų supažindinimą su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, bei atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą yra atsakingas VATIS saugos įgaliotinis.
45. Saugos nuostatai ir VATIS Saugos politiką įgyvendinantys dokumentai bei jų pakeitimai skelbiami VAT interneto svetainėje.
46. Su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, jų pakeitimais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą, supažindinimas vykdomas informacinės dokumentų valdymo sistemos priemonėmis, užtikrinant susipažinimo įrodomumą. Pakartotinai supažindinama tik iš esmės pasikeitus VATIS arba informacijos saugą reglamentuojantiems teisės aktams.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
47. VATIS valdytojas, VATIS tvarkytojas, VATIS naudotojai, VATIS saugos įgaliotinis, VATIS administratorius, pažeidę Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą, nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
48. Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai peržiūrimi (persvarstomi) ir, jei reikia, atnaujinami ne rečiau kaip kartą per metus, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems VAT pokyčiams arba įvykus elektroninės informacijos saugos elektroninės informacijos saugos incidentams.
49. Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos šių dokumentų kopijos.