2.1.1. Tuberkuliozės valstybės informacinės sistemos naudotojų administravimo taisyklių projektą;

2.1.2. Tuberkuliozės valstybės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.1.3. Tuberkuliozės valstybės informacinės sistemos veiklos tęstinumo valdymo plano projektą;

2.1.  Lietuvos Respublikos sveikatos apsaugos ministro 2000 m. gegužės 24 d. įsakymas Nr. 276 „Dėl sveikatos apsaugos ministro 1999 11 29 įsakymo Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ dalinio pakeitimo“;

2.2. Tuberkuliozės profilaktikos ir kontrolės 2011–2014 metų programos, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. gruodžio 3 d. įsakymu Nr. V-1033, 12.6 papunktis.

3.1.    2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

3.2.    Lietuvos Respublikos civilinis kodeksas;

3.3.    Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

3.4.    Lietuvos Respublikos kibernetinio saugumo įstatymas;

3.5.    Lietuvos Respublikos sveikatos sistemos įstatymas;

3.6.    Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

3.7.    Lietuvos Respublikos viešojo administravimo įstatymas;

3.8.    Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymas;

3.9.    Lietuvos Respublikos visuomenės sveikatos stebėsenos (monitoringo) įstatymas;

3.10.  Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatymas;

3.11.  Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymas;

3.12. Lietuvos Respublikos oficialiosios statistikos ir valstybės duomenų valdysenos įstatymas;

3.13. Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklių patvirtinimo“;

3.14. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas ir Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas ir Saugos dokumentų turinio gairių aprašas);

3.15. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

3.16. Valstybės informacinių išteklių svarbos vertinimo tvarka, patvirtinta Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

3.17. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;

3.18. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. rugsėjo 19 d. įsakymas Nr. V-970 „Dėl privalomų tuberkuliozės sveikatos statistikos apskaitos formų ir privalomos sveikatos statistikos ataskaitos formos patvirtinimo“;

3.19. Informacinės visuomenės plėtros komiteto direktoriaus 2023 m. kovo 28 d. įsakymas Nr. T-30(2023) „Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. kovo 25 d. įsakymo Nr. T-36 „Dėl duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“ pakeitimo“;

3.20. Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. rugsėjo 18 d. įsakymu Nr. V-1058 „Dėl Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos nuostatų patvirtinimo“;

3.21. Kiti Lietuvos Respublikos ir Europos Sąjungos teisės aktai, reglamentuojantys informacinių sistemų tvarkymą, saugų elektroninės informacijos tvarkymą, saugojimą bei sunaikinimą, tuberkulioze sergančių asmenų registravimą, tuberkuliozės epidemiologinės priežiūros vykdymą ir kontrolę.

5.1. duomenų apie tuberkuliozės atvejį rinkimas, tuberkuliozės atvejų valdymas ir stebėsena;

5.2. tuberkuliozės epidemiologinė duomenų analizė, statistiniai skaičiavimai ir tuberkuliozės epidemiologinių pokyčių vertinimas bei stebėsena (monitoringas);

5.3. naudotojų identifikavimas ir prieigos teisių administravimas;

5.4. tuberkuliozės diagnozės ir tuberkuliozės atvejo registravimo pagrįstumo, tuberkulioze sergančio paciento gydymo kokybės įvertinimas.

6.1. elektroniniu būdu gauti informaciją apie nustatytą tuberkuliozės atvejį;

6.2. atlikti Informacinėje sistemoje sukauptų duomenų operatyvią ir retrospektyvią epidemiologinę analizę, statistinius skaičiavimus;

6.3. automatizuoti duomenų apie tuberkuliozės diagnostiką ir gydymą rinkimą, kaupimą, taisymą ir tvarkymą;

6.4. užtikrinti saugius duomenų mainus su Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacine sistema;

6.5. užtikrinti saugius duomenų mainus su Mirties atvejų ir jų priežasčių valstybės registru.

7.1. rinkti, kaupti, apdoroti ir saugoti duomenis apie nustatytus tuberkuliozės atvejus, atlikti teikiamų duomenų patikrą;

7.2. saugiai ir efektyviai automatiniu būdu tvarkyti elektroninę informaciją apie asmenis, susirgusius tuberkulioze, sveikatos apsaugos tikslais;

7.3. užtikrinti tuberkuliozės operatyvios ir retrospektyvios analizės galimybę;

7.4. teikti Informacinėje sistemoje užregistruotų tuberkuliozės atvejų ir sergamumo nuasmenintus duomenis gavėjams teisės aktais nustatytoms funkcijoms vykdyti bei visuomenei realiuoju laiku;

7.5 teikti nuasmenintus duomenis organizuojant asmens sveikatos priežiūros specialistų (šeimos gydytojų, vaikų ligų gydytojų, vidaus ligų gydytojų, pulmonologų, slaugytojų, visuomenės sveikatos specialistų, nevyriausybinių organizacijų, savivaldybės ir seniūnijos darbuotojų) mokymus tuberkuliozės šiuolaikinės diagnostikos, gydymo, profilaktikos ir kontrolės (epidemiologinės priežiūros) klausimais;

7.6. vertinti tuberkuliozės diagnozės pagrįstumą, tuberkuliozės atvejo registravimo pagrįstumą, tuberkulioze sergančio paciento gydymo kokybę.

9.1. Informacinės sistemos valdytojas (toliau – Valdytojas) ir asmens duomenų valdytojas – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (toliau – NVSC);

9.2. Informacinės sistemos tvarkytojas (toliau – Tvarkytojas) ir Informacinėje sistemoje tvarkomų asmens duomenų tvarkytojas – VšĮ Vilniaus universiteto ligoninė Santaros klinikos;

9.3. Informacinės sistemos duomenų teikėjai:

11.1. analizuoja teisines, technines, technologines, metodologines ir organizacines Informacinės sistemos tvarkymo problemas ir priima sprendimus Informacinės sistemos tvarkymui užtikrinti;

11.2. priima sprendimus dėl Informacinės sistemos techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;

11.3. užtikrina pacientų teises, vadovaudamasis Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu, Sveikatos sistemos įstatymu, Nuostatais ir kitais teisės aktais;

11.4. inventorizuoja ir sudaro Informacinės sistemos duomenų rinkinius, kaip tai apibrėžta Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, ir užtikrina, kad sudaryti duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Valstybės duomenų agentūros nustatyta tvarka;

11.5. NVSC, veikiantis kaip Valdytojas ir asmens duomenų valdytojas, turi Reglamente (ES) 2016/679 nustatytas asmens duomenų valdytojo teises ir pareigas;

11.6. atlieka kitus Nuostatuose ir kituose teisės aktuose nurodytus veiksmus.

12.1. tvarko Informacinės sistemos duomenis;

12.2. kontroliuoja ir užtikrina, kad duomenys būtų teisingi, tikslūs, išsamūs ir nuolat atnaujinami;

12.3. užtikrina, kad duomenų gavėjai, kuriems buvo pateikti neteisingi, netikslūs, neišsamūs duomenys, būtų nedelsiant, bet ne vėliau nei per 1 darbo dieną, informuoti apie ištaisytus netikslumus;

12.4. atlieka duomenų ir kitos informacijos, reikalingos užregistruotų tuberkuliozės atvejų plitimui stebėti ir sprendimams priimti, poreikių analizę;

12.5. analizuoja tuberkuliozės epidemiologinius rodiklius, vertina vaistams atsparios ir daugeliui vaistų atsparios (DVA-TB) gydymo rezultatus, paplitimo priežastis, rengia epidemiologines tuberkuliozės prognozes, tuberkuliozės atvejų statistines ataskaitas;

12.6. teisės aktų nustatyta tvarka teikia duomenų gavėjams apibendrintą informaciją apie tuberkuliozės paplitimą šalyje;

12.7. teisės aktų nustatyta tvarka rengia teisės aktų, susijusių su Informacinės sistemos duomenų tvarkymu ir sauga, projektus;

12.8. organizuoja ir vykdo Informacinės sistemos duomenų mainus su kitomis informacinėmis sistemomis įstatymų ir kitų teisės aktų nustatyta tvarka;

12.9. skiria darbuotojus, atsakingus už Informacinės sistemos duomenų tvarkymą, organizuoja ir koordinuoja su Informacine sistema dirbančių darbuotojų kvalifikacijos tobulinimą;

12.10. organizuoja Informacinės sistemos eksploatavimui, priežiūrai ir plėtrai skirtų funkcinių, techninių ir programinių priemonių įsigijimą, diegimą ir modernizavimą;

12.11. užtikrina, kad Informacinės sistemos duomenys būtų tvarkomi vadovaujantis šiais Nuostatais ir kitais, duomenų tvarkymą reglamentuojančiais teisės aktais;

12.12. tvarko asmens duomenis vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;

12.13. atlieka kitus Nuostatuose ir kituose, duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytus veiksmus.

13.1. tvarko asmens duomenis laikydamasis Valdytojo dokumentais įformintų nurodymų, įskaitant nurodymus, susijusius su asmens duomenų perdavimu trečiajai valstybei ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Europos Sąjungos arba valstybės narės teisę, kuri taikoma Tvarkytojui (tokiu atveju Tvarkytojas, prieš pradėdamas tvarkyti duomenis, apie tokį teisinį reikalavimą praneša Valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas draudžiamas dėl svarbių priežasčių, susijusių su viešuoju interesu), Reglamento (ES) 2016/679 ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimų;

13.2. atsižvelgdamas į asmens duomenų tvarkymo pobūdį, taikydamas technines ir organizacines priemones, padeda Valdytojui, kad būtų įvykdyta tvarkomų asmens duomenų valdytojo pareiga atsakyti į duomenų subjektų prašymus, pasinaudoti Reglamento (ES) Nr. 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

13.3. padeda Valdytojui vykdant pareigas, nustatytas Reglamento (ES) 2016/679 32–36 straipsniuose;

13.4. pasitelkia kitus duomenų tvarkytojus tik gavęs išankstinį rašytinį Valdytojo leidimą, apie numatomą pasitelkimą raštu informuodamas Valdytoją ne vėliau kaip prieš 20 darbo dienų. Jeigu yra Valdytojo rašytinis leidimas pasitelkti kitą tvarkytoją, Tvarkytojas sutartimi kitam duomenų tvarkytojui turi nustatyti tuos pačius asmens duomenų apsaugos įpareigojimus, kaip ir Nuostatuose nustatyti įpareigojimai Tvarkytojui, įskaitant įpareigojimą tinkamomis techninėmis ir organizacinėmis priemonėmis užtikrinti tvarkomų duomenų apsaugą, vadovaujantis Reglamentu (ES) 2016/679 ir kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais. Tvarkytojas lieka visiškai atsakingas už kito duomenų tvarkytojo prievolių vykdymą;

13.5. pateikia Valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) Nr. 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda Valdytojui arba kitam Valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas, bet ne vėliau kaip per 48 val., informuoja Valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) Nr. 2016/679 ar kitus asmens duomenų apsaugą reglamentuojančius teisės aktus;

13.6. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma įstatymuose nustatyta konfidencialumo prievolė;

13.7. taiko reikiamas technines ir organizacines priemones, kad būtų užtikrintas asmens duomenų saugumas, konfidencialumas, vientisumas ir prieinamumas, įskaitant apsaugą nuo atsitiktinio ar neteisėto duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, o Valdytojo prašymu per nurodytą terminą pateikia reikalingą informaciją, įrodančią, kad tokios priemonės buvo taikomos;

13.8. nebevykdydamas Tvarkytojo funkcijų, atsižvelgdamas į Valdytojo nurodymus, sunaikina arba grąžina jam visus asmens duomenis ir sunaikina turimas jų kopijas, išskyrus atvejus, kai pagal Europos Sąjungos ar Lietuvos Respublikos teisės aktus yra nustatyta pareiga juos saugoti;

13.9. pagal Reglamento (ES) Nr. 2016/679 33 straipsnio 2 dalį raštu ir (ar) el. paštu informuoja (nedelsdamas, bet ne vėliau kaip per 24 val.) Valdytoją apie įtariamą arba įvykusį asmens duomenų saugumo pažeidimą Valdytojo nustatyta tvarka. Jeigu padaromas arba įtariama, kad buvo padarytas asmens duomenų saugumo pažeidimas, nedelsdamas, bet ne vėliau kaip per 24 val., imasi priemonių, siekdamas užkirsti kelią tolesnei žalai dėl padaryto asmens duomenų saugumo pažeidimo ir sumažinti padaryto asmens duomenų saugumo pažeidimo padarinius.

16.1. Tuberkulioze sirgusių / sergančių asmenų duomenų bazės modulis, kuriame kaupiami šie duomenys apie tuberkulioze sirgusius / sergančius asmenis:

16.2. Daugeliui vaistų atsparia tuberkulioze (toliau – DVA-TB) sirgusių / sergančių asmenų duomenų bazės modulis, kuriame kaupiami duomenys apie daugeliui vaistų atsparia tuberkulioze sirgusius / sergančius asmenis:

16.3. Mirusių nuo tuberkuliozės asmenų duomenų bazės modulis, kuriame kaupiami šie duomenys:

16.4. Asmens sveikatos priežiūros specialistų: šeimos gydytojo arba tuberkuliozės gydymo paslaugas teikiančios įstaigos gydytojo pulmonologo, DOTS kabineto slaugytojo arba šeimos gydytojo komandoje dirbančio slaugytojo, teikiančio vaikų ar suaugusiojo DOTS paslaugas ir (ar) vykdančio nuotolinę gydymo stebėseną, kitų asmens sveikatos priežiūros specialistų, pagal teisės aktą nustatytą kompetenciją teikiančių DOTS paslaugas ir (ar) vykdančių nuotolinę gydymo stebėseną, modulis, kuriame kaupiami šie duomenys:

22.1. sistemos naudotojų administravimo komponentė, kurios pagrindinės funkcijos – registruoti sistemos naudotojus, jų veiksmus, nustatyti naudotojų prieigos prie sistemos teises;

22.2. informacijos įvedimo į sistemą komponentė, kurios pagrindinės funkcijos – sudaryti sąlygas duomenų teikėjams įvesti informaciją (užpildyti elektronines formas). Duomenys yra įvedami tiesiogiai į Informacinę sistemą, naudojant specialią programinę įrangą;

22.3. informacijos kontrolės komponentė, kurios pagrindinė funkcija – užkirsti kelią neteisingų ir netikslių duomenų įvedimui į sistemos duomenų bazę;

22.4. informacijos saugos komponentė, kurios pagrindinės funkcijos – apsaugoti Informacinę sistemą nuo žalingo programinio kodo, saugoti autentifikuotų naudotojų į sistemą įvestus duomenis, užtikrinti asmens duomenų tvarkymo teises, taip užtikrinant Informacinės sistemos nepertraukiamą veiklą;

22.5. informacijos apdorojimo komponentė, kurios pagrindinė funkcija – pertvarkyti ir apdoroti įvedamus ir teikiamus duomenis, sudaryti ataskaitas.

24.1. pateikiami peržiūrėti leidžiamosios kreipties būdu internetu;

24.2. perduodami automatiniu būdu;

24.3. pateikiami raštu, paštu, elektroniniu paštu ar kitomis elektroninio komunikavimo priemonėmis.

26.1. Duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kokie yra naudojami Informacinėje sistemoje ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.

26.2. Informacinės sistemos duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, judriniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir Reglamentu (ES)2016/679.

26.3. Kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems norminiams teisės aktams.

26.4. Informacinės sistemos duomenys duomenų gavėjams teikiami neatlygintinai, jeigu Lietuvos Respublikos įstatymai ar Europos Sąjungos teisės aktai nenustato kitaip.

36.1. Reglamentu (ES) 2016/679;

36.2. Kibernetinio saugumo įstatymu;

36.3. Lietuvos standartu LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

36.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

36.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

36.6. Informacinės sistemos duomenų saugos nuostatais.

3.1.  užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą viso Informacinės sistemos veiklos ciklo metu;

3.2.  sudaryti sąlygas saugiai informacinių technologijų priemonėmis tvarkyti elektroninę informaciją;

3.3.  užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

3.4.  vykdyti elektroninės informacijos saugos (kibernetinių) incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

4.1.  organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų elektroninės informacijos saugai ir Informacinės sistemos kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė;

4.2.  elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3.  Informacinės sistemos paslaugų ir naudojimosi elektronine informacija kontrolės užtikrinimas;

4.4.  Informacinėje sistemoje tvarkomų asmens duomenų apsaugos užtikrinimas;

4.5.  Informacinės sistemos veiklos tęstinumo užtikrinimas;

4.6.  Informacinę sistemą administruojančių, aptarnaujančių, naudojančių asmenų kvalifikacijos užtikrinimas.

8.1.  turi Valstybės informacinių išteklių valdymo įstatyme nustatytas teises ir pareigas;

8.2.  atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, elektroninės informacijos tvarkymo teisėtumo kontrolę;

8.3.  priima sprendimus dėl Informacinės sistemos plėtros, likvidavimo, modernizavimo, priežiūros, administravimo, kontroliuoja sprendimų vykdymą;

8.4.  rengia ir priima teisės aktus, susijusius su Informacinės sistemos veikla, duomenų tvarkymu ir duomenų sauga;

8.5.  atsako už Informacinės sistemos ir elektroninės informacijos saugai užtikrinti reikalingų finansinių ir kitų išteklių skyrimą laiku;

8.6.  užtikrina reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimo kontrolę elektroninės informacijos saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai) nustatyta tvarka;

8.7. ne rečiau kaip kartą per metus peržiūri Informacinės sistemos saugos dokumentus ir, nustatęs poreikį, juos atnaujina;

8.8. atlieka kitas Tuberkuliozės valstybės informacinės sistemos nuostatuose (toliau – Informacinės sistemos nuostatai) ir kituose teisės aktuose, susijusiuose su Informacinės sistemos valdymu, nustatytas funkcijas.

9.1. užtikrina nepertraukiamą Informacinės sistemos veiklą;

9.2. užtikrina elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą;

9.3. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;

9.4. skiria Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos duomenų saugos įgaliotinį, Informacinės sistemos administratorius, Informacinės sistemos naudotojus (toliau visi kartu – Informacinės sistemos atsakingi asmenys), kitus asmenis, atsakingus už Informacinės sistemos saugą ir elektroninės informacijos tvarkymą;

9.5. organizuoja Informacinės sistemos atsakingų asmenų mokymus;

9.6. organizuoja ir įgyvendina Informacinės sistemos duomenų bazių, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų diegimą ir administravimą, kitų Informacinės sistemos komponentų bei elektroninės informacijos perdavimo tinklų priežiūrą bei administravimą ir užtikrina jų veikimą;

9.7. organizuoja Informacinės sistemos eksploatavimui, priežiūrai ir plėtrai skirtų funkcinių, techninių, programinių priemonių įsigijimą, organizuoja ir įgyvendina jų diegimą ir administravimą;

9.8. užtikrina elektroninės informacijos saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), atlieka elektroninės informacijos saugos atitikties vertinimą, teikia siūlymus Valdytojui dėl elektroninės informacijos saugos dokumentų priėmimo ir (arba) keitimo, elektroninės informacijos saugos tobulinimo;

9.9. užtikrina, kad Informacinės sistemos duomenys būtų perduodami teisėtai, saugiai ir kokybiškai;

9.10. užtikrina, kad paslaugų gavėjams būtų perduodami tik tie duomenys, kuriuos jie turi teisę gauti;

9.11 užtikrina Valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

9.12. pagal kompetenciją atsako už Informacinės sistemos duomenų saugą;

9.13. atsako už tinkamą Duomenų saugos nuostatuose bei kituose teisės aktuose Tvarkytojui nustatytų funkcijų vykdymą;

9.14. vykdo kitas Valdytojo pavestas bei Informacinės sistemos nuostatais, Duomenų saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

11.1. koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą Informacinės sistemos saugos dokumentuose nustatyta tvarka;

11.2. teikia Tvarkytojui siūlymus dėl elektroninės informacijos saugos atitikties vertinimo atlikimo;

11.3. teikia Tvarkytojui siūlymus dėl elektroninės informacijos saugos dokumentų priėmimo ir (arba) keitimo;

11.4. organizuoja Informacinės sistemos rizikos įvertinimą ir rengia rizikos įvertinimo ataskaitą;

11.5. supažindina Informacinės sistemos administratorius ir Informacinės sistemos naudotojus su Informacinės sistemos saugos dokumentais bei atsakomybe už reikalavimų nesilaikymą;

11.6. organizuoja Informacinės sistemos naudotojų mokymus elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

11.7. teikia Tvarkytojui pasiūlymus dėl kvalifikacijos reikalavimų Informacinės sistemos administratoriui nustatymo ir jo paskyrimo;

11.8. Valdytojo pavedimu koordinuoja elektroninės informacijos saugos (kibernetinių) incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos (kibernetinius) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetiniais) incidentais, arba dalyvauja šią funkciją atliekančios elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės veikloje;

11.9. teikia Informacinės sistemos administratoriams ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos politikos įgyvendinimo;

11.10. atlieka kitas Valdytojo pavestas Duomenų saugos nuostatuose ir kituose Informacinės sistemos saugos dokumentuose nustatytas funkcijas;

11.11. negali atlikti Informacinės sistemos administratoriaus funkcijų.

12.1 užtikrina Informacinės sistemos techninės ir programinės įrangos įdiegimą, administravimą, priežiūrą;

12.2. diegia, administruoja, prižiūri programinę įrangą, reikalingą Informacinės sistemos naudotojų funkcijoms atlikti;

12.3. sukuria Informacinės sistemos naudotojų paskyras ir suteikia Informacinės sistemos naudotojams prieigos prie elektroninės informacijos, kurios reikia jų funkcijoms atlikti, priemones;

12.4. užtikrina Informacinės sistemos komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kitų) apskaitą, tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Informacinės sistemos pažeidžiamas vietas;

12.5. pagal kompetenciją dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

12.6. pagal kompetenciją teikia Tvarkytojui siūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

12.7. informuoja Saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl jų valdymo;

12.8. daro Informacinės sistemos duomenų bazių atsargines kopijas, tikrina jų tinkamumą elektroninei informacijai atkurti ir atsako už šių kopijų saugojimą;

12.9. pagal kompetenciją dalyvauja tiriant ir (arba) valdant elektroninės informacijos saugos incidentus;

12.10. reguliariai, bet ne rečiau kaip vieną kartą per metus ir (arba) po Informacinės sistemos pokyčio patikrina Informacinės sistemos sąranką ir Informacinės sistemos būsenos rodiklius;

12.11. inicijuoja Valdytojo ir Tvarkytojo ir (arba) Informacinės sistemos techninę priežiūrą teikiančios įmonės darbuotojų privilegijuotos prieigos prie Informacinės sistemos ar jos komponentų, suteikiančios galimybę atlikti veiksmus, galinčius sukelti riziką Informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims, teisių suteikimą (toliau – Informacinės sistemos privilegijuotas naudotojas) ir atsako už Informacinės sistemos privilegijuotų naudotojų registravimą registre ir įrašų apie juos saugojimą;

12.12. kontroliuoja ir koordinuoja Informacinės sistemos techninę priežiūrą atliekančių įmonių, paslaugų teikėjų, administruojančių ir (arba) aptarnaujančių Informacinės sistemos techninę ir programinę įrangą, veiklą;

12.13. atlieka kitas  Valdytojo ir (arba) Tvarkytojo ir Saugos įgaliotinio pavestas Duomenų saugos nuostatuose ir kituose Informacinės sistemos saugos dokumentuose nustatytas funkcijas;

12.14. negali atlikti Informacinės sistemos naudotojo funkcijų, pasinaudodamas administratoriaus paskyra.

13.1. Reglamentu (ES) 2016/679;

13.2. Kibernetinio saugumo įstatymu;

13.3. Valstybės informacinių išteklių valdymo įstatymu;

13.4. Asmens duomenų teisinės apsaugos įstatymu;

13.5 Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu;

13.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

13.7. Techniniais elektroninės informacijos saugos reikalavimais;

13.8. Informacijos saugumo valdymo sistemų šeimos (ISO/IEC 27000) standartais;

13.9. Duomenų saugos nuostatais, Informacinės sistemos saugos dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą.

16.1. Informacinės sistemos rizikos vertinimas;

16.2. Informacinės sistemos saugos atitikties vertinimas.

18.1. užtikrinti, kad būtų saugoma ir nuolat atnaujinama informacija apie esminių Informacinės sistemos infrastruktūros komponentų būklę bei už jų priežiūrą atsakingus asmenis;

18.2. identifikuoti ir vertinti Informacinės sistemos elektroninės informacijos saugos rizikų sumažinimo ir saugos gerinimo galimybes, numatyti ir Valdytojui ir Tvarkytojui siūlyti su tuo susijusias priemones;

18.3. analizuoti, įvertinti kitų Informacinės sistemos atsakingų asmenų Valdytojui ir Tvarkytojui siūlomų rizikos sumažinimo priemonių tinkamumą.

19.1. ne rečiau kaip vieną kartą per kalendorinius metus (atliekant Informacinės sistemos saugos atitikties vertinimą);

19.2. prieš atliekant esminius Informacinės sistemos infrastruktūros pakeitimus ir (arba) po esminių organizacinių ar sisteminių pokyčių, nustačius naujų rizikos veiksnių;

19.3. pasikeitus Informacinės sistemos duomenų bazių struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų pašalinimas ir kiti);

19.4. įvykus saugos incidentams (įvertinama rizika, susijusi tik su tais Informacinės sistemos informaciniais ištekliais, kuriuos paveikė atitinkamas saugos incidentas);

19.5. pasikeitus Informacinės sistemos veiklos pobūdžiui, tikslams, uždaviniams, funkcijoms arba esminiams Informacinės sistemos infrastruktūros komponentams;

19.6. Valdytojo ir (arba) Tvarkytojo nurodymu.

21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo elektroninių ryšių tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, naudojamų informacinių technologijų paslaugų, duomenų perdavimo elektroninių ryšių tinklais sutrikdymai, saugumo pažeidimai, įrangos vagystės ir kita);

21.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);

21.4. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22.1. rizikos laipsnis nuo 1 iki 6 – maža rizika;

22.2. rizikos laipsnis nuo 8 iki 12 – vidutinė rizika;

22.3. rizikos laipsnis nuo 15 iki 25 – didelė rizika.

27.1. įvertinama realios elektroninės informacijos saugos būsenos atitiktis Duomenų saugos nuostatų, kitų Informacinės sistemos saugos dokumentų, Organizacinių ir techninių kibernetinio saugumo reikalavimų ir kitų teisės aktų reikalavimams;

27.2. jei tai įmanoma, patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Informacinės sistemos naudotojų kompiuterizuotų darbo vietų ir visų tarnybinių stočių įdiegta programinė įranga ir jos sąranka;

27.3. patikrinama (įvertinama) Informacinės sistemos naudotojams ir Informacinės sistemos administratoriams suteiktų teisių atitiktis jų atliekamoms funkcijoms;

27.4. įvertinamas pasirengimas užtikrinti Informacinės sistemos veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

30.1. likutinė rizika turi būti sumažinta iki Valdytojo arba jo pavedimu – Tvarkytojo nustatyto lygio;

30.2. elektroninės informacijos saugos priemonės ir jos diegimo kaina turi būti proporcinga saugomos elektroninės informacijos vertei;

30.3. įdiegtos saugos priemonės turi užtikrinti saugų Informacinės sistemos darbą ir veiklos tęstinumą;

30.4. kur galima, turi būti įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos (kibernetinio saugumo) priemonės;

30.5. Informacinės sistemos neveikimo laikas negali būti ilgesnis nei 16 valandų;

30.6. turi būti užtikrintas Informacinės sistemos pasiekiamumas ne mažiau 90 proc. laiko darbo metu darbo valandomis.

33.1. Informacinės sistemos tarnybinėse stotyse ir darbo vietų kompiuteriuose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės (toliau – antivirusinė programinė įranga). Šios priemonės reguliariai, bet ne rečiau kaip kas 24 valandas, turi būti automatiniu būdu atnaujinamos.

33.2. Turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

33.3. Antivirusinė programinė įranga turi automatiškai informuoti atsakinguosius darbuotojus apie tai, kuriose tarnybinėse stotyse ar darbo vietos kompiuteriuose ji netinkamai funkcionuoja, yra išjungta arba laiku neatsinaujina.

33.4. Antivirusinė programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

33.5. Antivirusinė programinė įranga turi veikti nuolat ir realiu laiku.

38.1. Informacinėje sistemoje gali būti naudojama tik legali ir Informacinės sistemos funkcijoms atlikti būtina programinė įranga (toliau – programinė įranga).

38.2. Programinė įranga turi būti nuolatos atnaujinama laikantis gamintojo reikalavimų.

38.3. Programinės įrangos diegimą, šalinimą ir konfigūravimą gali atlikti tik Informacinės

sistemos administratorius, paslaugų teikėjai ir (arba) Informacinės sistemos privilegijuoti naudotojai.

38.4. Turi būti įdiegta prieigos prie elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema.

38.5. Turi būti įgyvendinta prievolė keisti slaptažodžius ne rečiau kaip vieną kartą per 3 mėnesius.

38.6. Turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie elektroninės informacijos, atliktus veiksmus.

38.7. Informacinės sistemos programinės įrangos diegimo laikmenas ir (arba) licencijas saugo Informacinės sistemos administratorius.

39.1. Informacinė sistema ir kompiuterių tinklas nuo viešųjų elektroninių ryšio tinklų turi būti atskirti ugniasienėmis bei įsilaužimų aptikimo ir prevencijos įranga. Ugniasienių įvykių žurnalai turi būti reguliariai analizuojami.

39.2. Informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org.

39.3. Informacinės sistemos perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

39.4. Gali būti naudojamos turinio filtravimo sistemos.

40.1. Stacionarūs ir (arba) nešiojamieji Informacinės sistemos naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti.

40.2. Nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės (kompiuterio įjungimo slaptažodis, papildomas naudotojo tapatybės patvirtinimas, elektroninės informacijos šifravimas, prisijungimų ribojimas ir pan.).

40.3. Informacinės sistemos naudotojai privalo naudotis visomis saugumo priemonėmis tam, kad apsaugotų savo darbo vietos kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

40.4. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinta visa elektroninė informacija arba išimti kietieji diskai (sisteminės duomenų laikmenos).

40.5. Jei prie Informacinės sistemos prisijungiama nuotoliniu būdu, perduodamų duomenų konfidencialumas turi būti užtikrintas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius.

40.6. Informacinės sistemos naudotojai išorinius įrenginius ir laikmenas prie Informacinės sistemos darbo vietos kompiuterio gali jungti ir naudoti tik tada, jei  Valdytojo sprendimu jiems tokia teisė suteikta.

41.1. Elektroninė informacija iš duomenų teikėjų gaunama ir duomenų gavėjams teikiama tik vadovaujantis sutartyse dėl duomenų gavimo (teikimo) nustatytomis perduodamų duomenų specifikacijomis, perdavimo sąlygomis ir tvarka.

41.2. Prieigos prie elektroninės informacijos teises suteikia Tvarkytojas, įgyvendina – tik Informacinės sistemos administratorius. Informacinės sistemos naudotojams suteikiamos tik tokios teisės, kokių reikia jų funkcijoms atlikti.

41.3. Prieiga prie elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie elektroninės informacijos valdymo procedūros turi būti nustatytos Informacinės sistemos naudotojų administravimo taisyklėse.

41.4. Pasibaigus Informacinės sistemos naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti automatiškai panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba keičiasi jo atliekamos ir (arba) pareigybės aprašyme nustatytos funkcijos.

41.5. Elektroninė informacija, perduodama ne per Valdytojui ir (arba) Tvarkytojui ar teisės aktų nustatyta tvarka atrinktam elektroninių ryšių paslaugų teikėjui priklausančias elektroninių ryšių linijas, turi būti šifruojama.

42.1. Informacinės sistemos atsarginės duomenų bazės kopijos daromos automatiniu būdu ne rečiau kaip vieną kartą per savaitę. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Elektroninė informacija kopijose turi būti užšifruota, o šifravimo raktai turi būti saugomi atskirai nuo kopijų arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.

42.2. Teisę atkurti elektroninę informaciją iš kopijų turi Informacinės sistemos administratorius ir (arba) Tvarkytojo sprendimu – jį pavaduojantis asmuo.

42.3. Periodiškai, bet ne rečiau kaip vieną kartą per 6 mėnesius turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.

42.4. Patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

45.1. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti elektroninės informacijos saugos (kibernetinio saugumo) srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą).

45.2. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

46.1. privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti Informacinės sistemos ir elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti Informacinės sistemos komponentus (stebėti Informacinės sistemos komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti Informacinės sistemos komponentų nepertraukiamą funkcionavimą ir pan.);

46.2. gali būti skiriamas Tvarkytojo arba Informacinės sistemos techninę priežiūrą atliekančios įmonės darbuotojas, atitinkantis Valdytojo nustatytus kvalifikacijos reikalavimus, išmanantis darbą su Informacinės sistemos taikomąja programine įranga ir gebantis atlikti funkcijas, susijusias su Informacinės sistemos naudotojų teisių valdymu;

46.3. turi būti susipažinęs su duomenų bazių administravimo ir valdymo pagrindais;

46.4. turi būti susipažinęs su Informacinės sistemos saugos dokumentais, asmens duomenų teisinę apsaugą ir elektroninės informacijos saugą reglamentuojančiais teisės aktais;

46.5. turi būti pasirašęs Valdytojo nustatytos formos konfidencialumo pasižadėjimą saugoti elektroninės informacijos ir asmens duomenų konfidencialumą.

47.1. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams prieiga suteikiama vadovaujantis Informacinės sistemos naudotojų administravimo taisyklių nuostatomis.

47.2. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojai privalo nedelsdami, bet ne vėliau kaip per 1 darbo dieną, informuoti Saugos įgaliotinį apie pasikeitimus jų įmonėje, jei dėl to privalo būti keičiamos ir (arba) turi būti naikinamos Informacinės sistemos techninę priežiūrą atliekančių įmonių darbuotojų prieigos prie Informacinės sistemos paskyros (pvz., nutrūkus Informacinės sistemos techninę priežiūrą vykdančios įmonės darbuotojo darbo santykiams).

47.3. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie Informacinės sistemos suteikimas grupinių paskyrų pagrindu griežtai draudžiamas.

47.4. Prieš Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams suteikiant prieigą prie Informacinės sistemos, jie privalo pasirašyti Valdytojo nustatytos formos konfidencialumo pasižadėjimus.

48.1. elektroninė informacija ir elektroninės informacijos apdorojimo priemonės, prie kurių Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams suteikiama prieiga;

48.2. prieigos tipas (fizinė prieiga, loginė prieiga, nuotolinė prieiga, prieiga konkrečioje darbo vietoje);

48.3. su prieiga prie Informacinės sistemos susijusios rizikos;

48.4. prieigos suteikimo laikotarpis ir leidžiamas prisijungimo laikas savaitės dienomis ir paros metu;

48.5. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams leistini Informacinėje sistemoje atlikti veiksmai;

48.6. kibernetinių incidentų ir elektroninės informacijos saugos incidentų valdymo nuostatos ar nuorodos į jas;

48.7. susijusių Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų bei Valdytojo ir (arba) Tvarkytojo darbuotojų pareigos ir atsakomybės prieigos suteikimo laikotarpiu;

48.8. Valdytojo ir (arba) Tvarkytojo teisė stebėti Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų veiksmus, atliekamus Informacinės sistemos komponentuose;

48.9. Informacinės sistemos techninę priežiūrą vykdančios įmonės paslaugų teikimo sąlygos ir reikalavimai;

48.10. ataskaitos ir informacija, kurią turi teikti Informacinės sistemos techninę priežiūrą vykdanti įmonė, siekdama įrodyti atitiktį paslaugų teikimo reikalavimams;

48.11. ginčų ir nesutarimų tarp Valdytojo ir (arba) Tvarkytojo ir Informacinės sistemos techninę priežiūrą vykdančios įmonės sprendimo nuostatos;

48.12. susitarimų keitimo nuostatos;

48.13. nuorodos į kitas Informacinės sistemos saugos nuostatas, procedūras ir reikalavimus, kuriais būtina vadovautis.

53.1. Informacinės sistemos naudotojams reguliariai turi būti įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams, informacinių sistemų administratoriams ir pan.).

53.2. Mokymai turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos atsakingų asmenų poreikius.

53.3. Mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

53.4. Valdytojo ir (arba) Tvarkytojo sprendimu mokymai gali būti organizuojami ir atsiradus poreikiui.