2.1. VIRSIS komponentai – kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, bylų serveriai ir kita techninė ir programinė įranga, kurios pagrindu funkcionuoja informacinės sistemos ir užtikrinama jose tvarkomos elektroninės informacijos sauga (kibernetinis saugumas).

2.2. Kibernetinio saugumo dokumentai (saugos dokumentai) – VIRSIS duomenų saugos nuostatai, VIRSIS saugaus elektroninės informacijos tvarkymo taisyklės, VIRSIS veiklos tęstinumo valdymo planas, VIRSIS naudotojų administravimo taisyklės.

2.3. Kibernetinio saugumo vadovas – VIRSIS tvarkytojo paskirtas kompetentingas darbuotojas arba padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.

2.4. Kitos saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos kibernetinio saugumo įstatyme (toliau – Kibernetinio saugumo įstatymas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – Asmens duomenų teisinės apsaugos įstatymas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių apraše (toliau – Klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3.1. Kibernetinio saugumo dokumentai taikomi:

3.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. VIRSIS saugaus elektroninės informacijos tvarkymo taisyklių, VIRSIS veiklos tęstinumo valdymo plano, VIRSIS naudotojų administravimo taisyklių naudojimas yra ribojamas – VIRSIS naudotojams, VIRSIS funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti tik su šių kibernetinio saugumo dokumentų santrauka saugos nuostatų V skyriuje nustatyta tvarka;

3.3. už kibernetinio saugumo dokumentų santraukos parengimą atsakingas kibernetinio saugumo vadovas. Kibernetinio saugumo dokumentų santrauka rengiama vadovaujantis būtinumo žinoti principu;

3.4. VIRSIS saugaus elektroninės informacijos tvarkymo taisyklės, informacinės sistemos veiklos tęstinumo valdymo planas, VIRSIS naudotojų administravimo taisyklės turi būti saugiai platinamos ir prieinamos su jomis turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos (kibernetinio saugumo) incidentų ar avarijų atvejais.

4.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2. VIRSIS veiklos tęstinumo užtikrinimas;

4.3. asmens duomenų apsauga;

4.4. VIRSIS duomenų naudotojų mokymas;

4.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė.

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti VIRSIS elektroninę informaciją;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus ir juos operatyviai suvaldyti, atkuriant įprastinę VIRSIS veiklą.

6.1. metodiškai vadovauti VIRSIS tvarkytojui, koordinuoti VIRSIS funkcionavimą;

6.2. koordinuoti VIRSIS tvarkytojo ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, jei tokios funkcijos paslaugų teikėjui perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka; nustatyta tvarka atlikti jų veiklos priežiūrą;

6.3. atlikti VIRSIS elektroninės informacijos tvarkymo ir elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų laikymosi priežiūrą ir kontrolę;

6.4. nagrinėti VIRSIS tvarkytojo pasiūlymus dėl VIRSIS veiklos, elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo ir priimti dėl jų sprendimus;

6.5. priimti sprendimus dėl VIRSIS techninių ir programinių priemonių, būtinų VIRSIS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, diegimo ir modernizavimo;

6.6. priimti įsakymus dėl VIRSIS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo;

6.7. užtikrinti veiksmingą ir spartų VIRSIS pokyčių valdymo planavimą;

6.8. pavesti VIRSIS tvarkytojui paskirti VIRSIS saugos įgaliotinį ir administratorius;

6.9. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.10.  prireikus tvirtinti VIRSIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.11.  atlikti kitas saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7.1. užtikinti VIRSIS nepertraukiamą veiklą;

7.2. užtikrinti VIRSIS elektroninės informacijos saugą (kibernetinį saugumą) ir saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

7.3. užtikrinti VIRSIS sąveiką su susijusiais registrais ir informacinėmis sistemomis;

7.4. užtikrinti VIRSIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą elektroninės informacijos saugos (kibernetinio saugumo) srityje;

7.5. teikti VIRSIS valdytojui pasiūlymus dėl VIRSIS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

7.6. rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

7.7. skirti saugos įgaliotinį, kibernetinio saugumo vadovą ir VIRSIS administratorius;

7.8. organizuoti kibernetinio saugumo dokumentų peržiūrėjimą;

7.9. organizuoti VIRSIS naudotojams mokomuosius ir pažintinius kursus VIRSIS elektroninės informacijos tvarkymo klausimais;

7.10.  tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

7.11.  tvirtinti VIRSIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

7.12.  atlikti kitas saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

11.1.  teikti VIRSIS tvarkytojo vadovui pasiūlymus dėl:

11.2.  teikti VIRSIS valdytojo vadovui pasiūlymus dėl kibernetinio saugumo dokumentų priėmimo, keitimo;

11.3.  koordinuoti elektroninės informacijos saugos (kibernetinio saugumo) incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos (kibernetinio saugumo) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetinio saugumo) incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės;

11.4.  teikti VIRSIS administratoriams ir VIRSIS naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

11.5.  organizuoti rizikos ir informacinių technologijų saugos atitikties įvertinimą;

11.6.  atlikti kitas saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše saugos įgaliotiniui priskirtas funkcijas.

14.1.  koordinuojantis administratorius, kuris prižiūri VIRSIS administratorių veiklą siekdamas užtikrinti tinkamą VIRSIS administratorių funkcijų vykdymą;

14.2.  VIRSIS naudotojų administratorius, kuris atlieka funkcijas, susijusias su VIRSIS naudotojų teisių valdymu (VIRSIS naudotojų duomenų administravimu, klasifikatorių tvarkymu, VIRSIS naudotojų veiksmų registracijos žurnalų įrašų analize ir kt.);

14.3.  VIRSIS komponentų administratoriai, kurie atlieka funkcijas, susijusias su VIRSIS komponentais, šių VIRSIS komponentų sąranka:

14.4.  saugos administratorius, kuris atlieka funkcijas, susijusias su VIRSIS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

19.1.  Kibernetinio saugumo įstatymas;

19.2.  Valstybės informacinių išteklių valdymo įstatymas;

19.3.  Asmens duomenų teisinės apsaugos įstatymas;

19.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.5.  Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas;

19.6.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai;

19.7.  Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas;

19.8.  Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą;

19.9.    kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

24.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

24.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis VIRSIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

24.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

27.1.  VIRSIS informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip. Ne rečiau kaip kartą per trejus metus VIRSIS informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti VIRSIS auditoriai;

27.2.  VIRSIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

29.1.  planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su VIRSIS tvarkytojo vadovu ir vykdomas tik gavus jo raštišką pritarimą;

29.2.  žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumus, konfigūracijas ir kt. sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

29.3.  kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

29.4.  ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

33.1.  techninės, programinės, organizacinės ir kitos VIRSIS elektroninės informacijos saugos (kibernetinio saugumo) priemonės pasirenkamos atsižvelgiant į VIRSIS valdytojo turimus išteklius, vadovaujantis šiais principais:

34.1.  svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

34.2.  svetainių saugasienės turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio VIRSIS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

34.3.  turi būti pakeistos numatytos (angl. Default) prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

34.4.  turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

34.5.  VIRSIS naudojamų svetainių sauga turi būti vertinama VIRSIS rizikos įvertinimo metu ir (arba) VIRSIS informacinių technologijų saugos atitikties vertinimo metu, atliekamų saugos nuostatų II skyriuje nustatyta tvarka.

35.1.  tarnybinėse stotyse ir vidinių VIRSIS naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;

35.2.  VIRSIS komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

35.3.  kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. VIRSIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems VIRSIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių VIRSIS naudotojų kompiuteriams ir kitiems VIRSIS komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

36.1.  VIRSIS tarnybinėse stotyse ir vidinių VIRSIS naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

36.2.  vidinių VIRSIS naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į su VIRSIS valdytoju suderintą Leistinos naudoti programinės įrangos sąrašą. Leistinos naudoti programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti saugos įgaliotinis;

36.3.  tarnybinių stočių ir vidinių VIRSIS naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

36.4.  saugos administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius VIRSIS posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių VIRSIS naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

36.5.  programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

36.6.  programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – VIRSIS komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

36.7.  programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms;

36.8.  VIRSIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

36.9.  Elektroninės informacijos saugos (kibernetinio saugumo) priemonių nustatymai turi būti atlikti vadovaujantis šių priemonių gamintojo ir bent viena gerąja saugumo praktikos rekomendacija.

37.1.  kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant ugniasienes, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

37.2.  kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių VIRSIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

37.3.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

37.4.  turi būti naudojamos turinio filtravimo sistemos;

37.5.  turi būti naudojamos taikomųjų programų kontrolės sistemos.

38.1.                       stacionarius kompiuterius leidžiama naudoti tik VIRSIS valdytojo ir VIRSIS tvarkytojo patalpose;

38.2.  nešiojamiesiems kompiuteriams, išnešamiems iš VIRSIS valdytojo ar VIRSIS tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

38.3.  iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti nebeatkuriamai pašalinta visa nevieša elektroninė informacija.

39.1.  elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) VIRSIS nuostatuose nustatyta tvarka;

39.2.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninės informacijos teikimui ir (ar) gavimui gali būti naudojamas Saugus valstybinis duomenų perdavimo tinklas;

39.3.  elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal VIRSIS nuostatuose, duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

39.4.  nuotolinis prisijungimas prie VIRSIS galimas:

39.5.  šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai bei kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Organizacinius ir techninius kibernetinio saugumo reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimus;

39.6.  naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio VIRSIS rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

40.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną VIRSIS neveikimo laikotarpį (angl. recovery time objective);

40.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad VIRSIS veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais VIRSIS neveikimo laikotarpis nebūtų ilgesnis nei taikoma antros kategorijos informacinei sistemai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

40.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje, nustatytoje VIRSIS saugaus elektroninės informacijos taisyklėse, nurodytais terminais;

40.4.  elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

40.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose nei yra VIRSIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų žymėjimo tvarka ir saugojimo terminai nustatomi Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje;

40.6.  atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

40.7.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

40.8.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

42.1.  VIRSIS naudotojų, VIRSIS administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose;

42.2.  visi VIRSIS naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, VIRSIS elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo laikyti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

42.3.  saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti elektroninės informacijos saugos (kibernetinio saugumo) srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą). VIRSIS tvarkytojas turi sudaryti sąlygas kelti saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikaciją;

42.4.  saugos įgaliotiniu ar kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinės sistemos saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai;

42.5.  VIRSIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti VIRSIS komponentus (stebėti VIRSIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti VIRSIS komponentų nepertraukiamą funkcionavimą ir pan.). VIRSIS administratoriai turi būti susipažinę su saugos dokumentais.

43.1.  VIRSIS naudotojams turi būti organizuojami mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems VIRSIS naudotojams, VIRSIS administratoriams ir pan.);

43.2.  mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), VIRSIS naudotojų ar VIRSIS administratorių poreikius;

43.3.  mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti saugos įgaliotinis ar kitas VIRSIS valdytojo ar VIRSIS tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, arba elektroninės informacijos saugos (kibernetinio saugumo) mokymų paslaugų teikėjas;

43.4.  mokymai VIRSIS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus. Mokymai VIRSIS administratoriams turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis;

43.5.  saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus VIRSIS naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).