4.1.    sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

4.2.    užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3.    vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.

5.1.    elektroninės informacijos tvarkymo ir jos naudojimo kontrolė;

5.2.    elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

5.3.    Registre tvarkomų asmens duomenų apsauga;

5.4.    Registro veikos tęstinumo užtikrinimas.

7.1.    Registro valdytojui – ŠMSM, A. Volano g. 2, Vilnius;

7.2.    Registro tvarkytojui – NSA, Goštauto g. 12-100, Vilnius;

7.3.    Registro tvarkytojo paskirtam saugos įgaliotiniui – darbuotojui, dirbančiam pagal darbo sutartį, koordinuojančiam ir prižiūrinčiam saugos politikos įgyvendinimą;

7.4.    Registro administratoriui – darbuotojui, dirbančiam pagal darbo sutartį, prižiūrinčiam Registro ir (ar) jos infrastuktūrą, užtikrinančiam jos veikimą ir elektroninės informacijos saugą, ar kitam asmeniui (asmenų grupei), kuriam Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka yra perduotos Registro ir (ar) jos infrastuktūros priežiūros funkcijos;

7.5.    Registro naudotojams – darbuotojams, dirbantiems pagal darbo sutartį, ar kitiems asmenims, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems elektroninę informaciją;

7.6.    paslaugų, susijusių su Registru, teikėjams.

12.1.  tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;

12.2.  prižiūri ir kontroliuoja, kad Registras būtų tvarkomos vadovaujantis Registro nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais duomenų saugą reglamentuojančiais teisės aktais;

12.3.  priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

12.4.  tvirtina Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;

12.5.  koordinuoja Registro tvarkytojo darbą įgyvendinant elektroninės informacijos saugos reikalavimus;

12.6.  nagrinėja Registro tvarkytojo pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

12.7.  atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Registro nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

13.1.  užtikrina elektroninės informacijos, esančios Registro duomenų bazėse, saugą;

13.2.  užtikrina saugią Registro sąveiką su kitomis informacinėmis sistemomis ir registrais;

13.3.  užtikrina tinkamą Saugos nuostatų, Registro saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

13.4.  rengia Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;

13.5. teikia siūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų priėmimo, keitimo arba panaikinimo, Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti;

13.6.  atlieka Registro  techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;

13.7.  skiria Registro saugos įgaliotinį bei Registro administratorių, paveda jiems atlikti funkcijas nustatytas Registro nuostatuose, Registro saugos politiką įgyvendinančiuose dokumentuose;

13.8.  vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

13.9.  atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Registro nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

14.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:

14.2. koordinuoja ir prižiūri Registro saugos politikos įgyvendinimą;

14.3.  supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą Registro tvarkytojo naudotojus;

14.4. rengia Registro saugos dokumentus, teikia Registro valdytojui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ir keitimo;

14.5. kasmet organizuoja saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines Registro tvarkytojo naudotojams;

14.6. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės; 

14.7. informuoja Registro valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą;

14.8. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą NSA atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;

14.9. teikia Registro naudotojams ir Registro administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

14.10. pagal kompetenciją kitiems Registro valdytojo ir tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;

14.11. atlieka pats arba organizuoja Registro saugos rizikos įvertinimo procedūras;

14.12. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui Registro naudotojų sąrašą;

14.13. ne rečiau kaip kartą per metus organizuoja kompiuterių tinklo užkardų sąrankos peržiūrą;

14.14. atlieka kitas Registro tvarkytojo vadovo ar jo įgalioto asmens pavestas, Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas.

15.1. atsako už nepertraukiamą Registro veikimą;

15.2. administruoja prieigos prie Registro teises;

15.3. stebi ir įvertina Registro  ir jo sudedamųjų dalių (tarnybinių stočių (programų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato Registro pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus Registro pokyčius patikrina (peržiūri) Registro sąranką ir Registro būsenos rodiklius;

15.4. tvarko Registro elektroninių duomenų archyvą ir elektroninių duomenų perkėlimo įrašų žurnalą;

15.5. dalyvauja atkuriant Registro elektroninius duomenis iš duomenų archyvo;

15.6. tvarko Registro techninę dokumentaciją ir eksploatavimo žurnalą;

15.7. pagal kompetenciją dalyvauja atliekant Registro saugos atitikties ir (ar) rizikos įvertinimo procedūras;

15.8. teikia pasiūlymus Registro saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl Registro saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;

15.9. pagal kompetenciją teikia Registro tvarkytojo vadovui pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

15.10. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos Registras  saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;

15.11. įvertina Registro naudotojų pasirengimą dirbti su Registru, konsultuoja juos, kaip dirbti su Registru;

15.12. atlieka kitas Registro tvarkytojo vadovo, Registro saugos įgaliotinio pavestas, Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas.

18.1. vadovaudamiesi Saugos nuostatais, Registro naudojimo instrukcijomis ir pareigybių aprašymais, naudoja Registrą;

18.2. tvarko Registro elektroninę informaciją ir naudojasi kitomis Registro teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą Registro prieigos teisių lygmenį, kuris apriboja naudojimosi elektronine informacija apimtį;

18.3. pagal kompetenciją rengia pasiūlymus dėl Registro kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos;

18.4. vykdo kitas šiuose Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

19.1. Reglamentas;

19.2.  Valstybės informacinių išteklių valdymo įstatymas;

19.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.4.  Kibernetinio saugumo įstatymas;

19.5.  Bendrųjų saugos reikalavimų aprašas;

19.6. Kibernetinio saugumo reikalavimų aprašas;

19.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Atitikties vertinimo metodika);

19.8.    Lietuvos standartai LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

19.9.  Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas, patvirtintas Lietuvos Respublikos Vyriausybės  2003 m. balandžio 18 d.  nutarimu Nr. 480 „Dėl Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo patvirtinimo“ (toliau – Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas);

19.10. Registro nuostatai, Saugos nuostatai, Registro saugos politiką įgyvendinantys dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

20.1. Registro rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;

20.2. neeilinis Registro rizikos įvertinimas atliekamas padarius esminius Registro funkcinius pakeitimus arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;

20.3. rizikos veiksniams įvertinti naudojama kokybinė rizikos vertinimo sistema vadovaujantis metodika, pateikta Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamame Rizikos analizės vadove, Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.

27.1. siekiant užtikrinti Registro saugos dokumentuose nustatytų Registro elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas;

27.2. informacinių technologijų saugos atitikties vertinimas atliekamas Atitikties vertinimo metodikoje nustatyta tvarka;

27.3. atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Registro valdytojo ir Registro tvarkytojo vadovams;

27.4. atlikus informacinių technologijų saugos atitikties vertinimą, prireikus rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus plano vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojo vadovas.

30.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

30.2. priemonės kaštai neturi viršyti žalos vertės;

30.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir (ar) kibernetinio saugumo priemonės.

33.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

33.2. Registro darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, patvirtintą NSA vadovo įsakymu. Leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti Registro saugos įgaliotinis kartu su administratoriumi;

33.3. tarnybinių stočių ir Registro naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

33.4. Registro administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir jų įtaką Registro pažeidžiamumui. Apie įvertinimo rezultatus Registro administratorius turi informuoti Registro  saugos įgaliotinį;

33.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

33.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – Registro administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

34.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

34.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuosiuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

34.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

35.1. prieiga prie Registro suteikiama tik registruotiems Registro naudotojams;

35.2. tiesioginė prieiga prie Registro elektroninės informacijos suteikiama įgyvendinus Registro naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone;

35.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

35.4. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal Registro nuostatuose, duomenų teikimo sutartyse nustatytas sąlygas ir specifikacijas.

36.1. svetainė turi atitikti Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms apraše bei Kibernetinio saugumo reikalavimų apraše nurodytiems reikalavimams;

36.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš Registro tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);

36.3. turi būti užtikrinama, kad prie TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotuoju ryšiu.

37.1. tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;

37.2. Registro komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti naudojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

37.3. Registro administratorius turi būti automatiškai informuojamas apie tai, kurių Registro naudotojų kompiuterių ar Registrą aptarnaujančios infrastruktūros serverių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimas pradelstas nepriimtinai, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos;

37.4. Registro administratorius turi būti automatiškai elektroniniu paštu informuojamas apie tai, kurių Registro posistemių, funkciškai savarankiškų Registro sudedamųjų dalių ir (ar) kitų Registro sudedamųjų dalių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

38.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną Registro neveikimo laikotarpį (angl. recovery time objective);

38.2. Registro elektroninės informacijos kopijos saugomos kitoje patalpoje nei tarnybinės stotys;

38.3. atsarginių elektroninės informacijos kopijų darymo tvarka ir saugojimo terminai nustatomi Registro tvarkytojo vadovo įsakymu tvirtinamame atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas); apie sutrikusias atsarginių kopijų darymo procedūras informuojamas Registro saugos įgaliotinis;

38.4. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip Atsarginių kopijų apraše nurodytais terminais;

38.5. atsarginės elektroninės informacijos kopijos turi būti tvarkomos taip, kad net ir praradus pagrindinį Registro duomenų centrą būtų užtikrinami priimtini atkūrimo taško (angl. recovery point objective, RPO) ir atkūrimo laiko (angl. recovery time objective, RTO) reikalavimai, siekiant maksimaliai sumažinti prastovos laiką ir duomenų praradimo riziką;

38.6. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

38.7. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

38.8. patekimas į patalpas, kuriose veikia Registro įranga ir saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

40.1.  techninis nuotolinio prisijungimo sprendimas turi užtikrinti elektroninės informacijos šifravimą naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

40.2.  prie Registro prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).

41.1. pagrindinės Registro funkcijos turi būti atkurtos per 12 valandų nuo veiklos sutrikimo;

41.2. turi būti užtikrintas galimas ne didesnis kaip 4 valandų darbo laiko duomenų praradimas;

41.3. turi būti užtikrintas ne mažesnis kaip 96 procentų laiko visą parą Registro  prieinamumas.

48.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;

48.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;

48.3. praradę arba kitaip netekę savo prisijungimo prie Registro vardo ar slaptažodžio, nedelsdami elektroniniu paštu arba telefonu apie tai informuoti Registro administratorių.

49.1. atskleisti kitiems asmenims prisijungimo prie Registro vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

49.2. naudoti Registro duomenis kitokiais, negu jų nuostatuose nurodytais, ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;

49.3. sudaryti sąlygas pasinaudoti darbui su Registro naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);

49.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti Registro duomenys, taip pat neatlikti būtinų veiksmų, apsaugančių informacinės sistemos duomenis;

49.5. atlikti bet kokius kitus neteisėtus Registro duomenų tvarkymo veiksmus.