2.1. VK IS saugaus elektroninės informacijos tvarkymo taisyklės;

2.2. VK IS naudotojų administravimo taisyklės;

2.3. VK IS veiklos tęstinumo valdymo planas.

7.1.  sudaryti sąlygas automatizuotomis priemonėmis saugiai tvarkyti elektroninę informaciją;

7.2.  užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.3.  vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), asmens duomenų saugumo pažeidimų prevenciją, reaguoti į saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

8.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

8.2. asmens duomenų apsauga;

8.3. informacinių sistemų veiklos tęstinumo užtikrinimas;

8.4. prieigos prie informacinių sistemų kontrolė;

8.5. informacinių sistemų rizikos valdymas;

8.6. VK IS sistemas administruojančių, aptarnaujančių, naudojančių asmenų kvalifikacijos užtikrinimas.

11.1.    VK IS valdytojui ir tvarkytojui ir jo darbuotojams, kurie naudoja VK IS paskirtoms funkcijoms vykdyti (toliau – VK IS naudotojai), ARIS duomenų tvarkytojams ir ARIS duomenų naudotojams (kaip jie apibrėžti ViS nuostatuose), VK IS saugos įgaliotiniui (toliau – saugos įgaliotinis), VK IS administratoriams ir asmeniui, atsakingam už VK IS kibernetinį saugumą (toliau – asmuo, atsakingas už kibernetinį saugumą);

11.2.    VK IS funkcionuoti reikalingų paslaugų teikėjams, kuriems suteikiami įgaliojimai tvarkyti VK IS elektroninę informaciją ir (ar) kuriems taikomi saugos dokumentų reikalavimai.

12.1.   užtikrina, kad elektroninė informacija būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Saugos nuostatais ir kitais teisės aktais;

12.2.  tvirtina saugos dokumentus ir kitus teisės aktus, susijusius su elektroninės informacijos sauga;

12.3.   atlieka elektroninės informacijos saugos reikalavimų laikymosi priežiūrą ir kontrolę;

12.4.   nagrinėja pasiūlymus dėl elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

12.5.   organizuoja ir atlieka informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą Saugos nuostatų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) ir Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika) nustatyta tvarka;

12.6.   tvirtina informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

12.7.   pagal ARIS duomenų tvarkytojų prašymus suteikia jiems teisę administruoti ARIS;

12.8.   atlieka kitas Saugos nuostatuose ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, valstybės informacinių sistemų valdytojui ir tvarkytojui nustatytas funkcijas.

13.1.   tvarko ARIS elektroninę informaciją ir atsako už jos saugumą;

13.2.   skiria ARIS administratorių;

13.3.   vykdo ARIS naudotojų teisių valdymą;

13.4.   informuoja VK IS valdytoją ir tvarkytoją apie incidentus dėl ARIS tvarkomos elektroninės informacijos saugos;

13.5.   pagal kompetenciją įgyvendina administracines, technines ir organizacines saugos priemones, numatytas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose.

14.1.   teikia pasiūlymus valstybės kontrolieriui dėl:

14.2.   koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą;

14.3.   koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugumo incidentus, neteisėtas veikas, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

14.4.   informuoja valstybės kontrolierių ir teisės aktų nustatyta tvarka kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią VK IS saugą;

14.5.   teikia duomenis apie elektroninės informacijos saugos reikalavimų įgyvendinimą, kaip tai nustatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“;

14.6.   teikia administratoriams ir VK IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

14.7.   ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip, organizuoja ir atlieka VK IS rizikų vertinimą, prireikus – neeilinį VK IS rizikos vertinimą ir VK IS saugos atitikties vertinimą;

14.8.   periodiškai (atsižvelgiant į poreikį) organizuoja VK IS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir kt.);

14.9.   supažindina VK IS naudotojus ir administratorius su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių dokumentų reikalavimų nesilaikymą;

14.10. atlieka kitas VK IS duomenų saugos politiką įgyvendinamuose dokumentuose ir elektroninės informacijos saugą reglamentuojančiuose teisės aktuose, saugos dokumentuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ar kituose teisės aktuose nustatytas saugos įgaliotinio funkcijas.

17.1.   atsako už VK IS priskirtų komponentų administravimą, techninės ir programinės įrangos funkcionavimą, infrastruktūros ir informacinių technologijų paslaugų administravimą, tinkamą duomenų bazių valdymo sistemų veikimą;

17.2.   koordinuoja VK IS programinės ir kompiuterinės įrangos diegimo procesus;

17.3.   teikia pasiūlymus VK IS valdytojui ir tvarkytojui dėl VK IS komponentų kūrimo, techninio palaikymo, priežiūros ir informacijos saugos;

17.4.   reaguoja į VK IS elektroninės informacijos saugos incidentus, praneša apie juos saugos įgaliotiniui, teikia pasiūlymus dėl incidentų pašalinimo;

17.5.   užtikrina saugų elektroninės informacijos apdorojimo priemonių darbą: parenka ir diegia technines saugos priemones, užtikrina jų atitiktį Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;

17.6.   saugo slaptažodžių, tapatybės kodų ar kitos elektroninės informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti tvarkomą elektroninę informaciją, konfidencialumą;

17.7.   ne rečiau kaip kartą per mėnesį peržiūri ViS ir šios sistemos naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninį žurnalą ir el. paštu teikia apibendrintą ataskaitą VK IS valdytojui ir tvarkytojui;

17.8.   ne rečiau kaip kartą per mėnesį atlieka užkardų užfiksuotų įvykių analizę ir šalina pastebėtas neatitiktis saugumo reikalavimams;

17.9.   ne rečiau kaip kartą per mėnesį įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir šiuos atnaujinimus diegia;

17.10. ne rečiau kaip kartą per metus ir (arba) po VK IS pokyčių patikrina (peržiūri) VK IS sąranką ir jos būsenos rodiklius;

17.11. atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

18.1.   suteikia ir panaikina ARIS naudotojo prieigą bei teises ARIS duomenų naudotojams, įgaliotiems dirbti su ARIS;

18.2.   registruoja ARIS veikimo klaidas, vykdo registruotų klaidų taisymo būsenos stebėseną ir papildomos informacijos apie klaidas pateikimą laiku ir atlieka kitas su klaidų taisymu susijusias funkcijas;

18.3.   teikia pastabas bei pasiūlymus VK IS valdytojui ir tvarkytojui dėl ARIS naudojimo;

18.4.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

19.1.   suteikia ir panaikina VK IS naudotojams prieigą, reikalingą darbui su administruojama VK IS, posistemiu arba moduliu;

19.2.   įveda informaciją į administruojamą VK IS, posistemį ar modulį ir užtikrina, kad jo pagal kompetenciją tvarkoma informacija būtų teisinga;

19.3.   analizuoja administruojamų VK IS, jos posistemio arba modulio esamą situaciją ir teikia pasiūlymus dėl jų tobulinimo ar neatitikčių šalinimo VK IS valdytojui ir tvarkytojui;

19.4.   konsultuoja VK IS naudotojus ir moko dirbti su administruojama VK IS, jos posistemiu ar moduliu;

19.5.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

20.1.   pagal kompetenciją užtikrina nepertraukiamą programinės įrangos veikimą VK IS, jos posistemyje ar modulyje;

20.2.   konsultuoja VK IS naudotojus VK IS, jos posistemio ar modulio programų informacijos apdorojimo ir kitais su VK IS, jos posistemiu ar moduliu susijusiais klausimais;

20.3.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

22.1.   padeda įgyvendinti Lietuvos Respublikos kibernetinio saugumo įstatyme nustatytus reikalavimus kibernetinio saugumo subjektams;

22.2.   koordinuoja ir prižiūri kibernetinio saugumo politikos dokumentuose nustatytų reikalavimų įgyvendinimą;

22.3.   pagal kompetenciją dalyvauja tiriant ir (arba) valdant elektroninės informacijos saugos incidentus;

22.4.   atlieka kitas funkcijas, nurodytas kibernetinį saugumą reglamentuojančiuose teisės aktuose  ir VK IS duomenų saugos politiką įgyvendinamuose dokumentuose.

24.1.   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;

24.2.   Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

24.3.   Lietuvos Respublikos kibernetinio saugumo įstatymas;

24.4.   Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

24.5.   Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

24.6.   Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas);

24.7.   Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Valstybės informacinių išteklių svarbos vertinimo metodika);

24.8.   Saugos atitikties vertinimo metodika;

24.9.   Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

24.10. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, valstybės informacinių sistemų valdytojo ir tvarkytojo veiklą ir elektroninės informacijos saugos valdymą.

25.1.   vidutinės svarbos valstybės informaciniams ištekliams – ViS ir Dokumentų valdymo sistemoje (DVS) tvarkoma elektroninė informacija;

25.2.   mažos svarbos valstybės informaciniams ištekliams – Personalo valdymo informacinėje sistemoje (KOPA) tvarkoma elektroninė informacija.

27.1.   Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja informacinių sistemų rizikos vertinimą. Šis vertinimas atliekamas kartu su Valstybės kontrolėje atliekamu kasmetinių rizikų vertinimu, vadovaujantis Valstybės kontrolės veiklos rizikos valdymo metodika. Prireikus arba po esminių organizacinių ar sisteminių informacinių sistemų pokyčių saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos vertinimą.

27.2.   Rizikos vertinimo metu turi būti:

28.1.   subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

28.2.   subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

28.3.   veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

30.1.   organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę ir atliekamas, vadovaujantis informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

30.2.   atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenumato kitaip. Šį vertinimą vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 20 straipsniu ne rečiau kaip kartą per 7 metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

34.1.   liekamoji rizika turi būti sumažinta iki priimtino lygio;

34.2.   priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

34.3.   turi būti įdiegtos prevencinės, aptinkančios ir korekcinės elektroninės informacijos saugos (kibernetinio saugumo) priemonės, atsižvelgiant į jų efektyvumą ir taikymo tikslingumą;

34.4.   nenutrūkstamas VK IS neveikimo laikas negali būti ilgesnis nei 16 valandų;

34.5.   turi būti užtikrintas VK IS pasiekiamumas ne mažiau 90 proc. laiko darbo metu darbo valandomis.

38.1.   naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus;

38.2.   turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos;

38.3.   programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus;

38.4.   prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.

39.1.   VK IS naudotojai privalo turėti galimybę naudotis tik tokiomis teisėmis ir tais duomenimis, kurie jiems numatyti suteikus prieigos prie VK IS teises, įgyvendinant principą „būtina žinoti“;

39.2.   prieigos prie VK IS elektroninės informacijos teises suteikia, apriboja ar panaikina įgalioti VK IS administratoriai;

39.3.   VK IS priežiūros funkcijos turi būti atliekamos naudojant tam skirtą administratoriaus paskyrą, kuria naudojantis nebūtų galima atlikti VK IS naudotojo funkcijų;

39.4.   VK IS naudotojas turi būti unikaliai identifikuojamas – naudotojas turi patvirtinti savo tapatybę slaptažodžiu, naudotojui suteiktas pirminis slaptažodis turi būti pakeistas pirmo prisijungimo metu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis saugos politiką įgyvendinančiais dokumentais (VK IS naudotojų administravimo taisyklėmis);

39.5.   teisė dirbti su konkrečia VK IS elektronine informacija suteikiama konkrečiam VK IS naudotojui;

39.6.   pasibaigus VK IS naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti automatiškai panaikinta. VK IS naudotojui prieiga prie VK IS turi būti ribojama ar sustabdoma, kai vyksta VK IS naudotojo veiklos tyrimas arba keičiasi jo atliekamos ir (arba) pareigybės aprašyme nustatytos funkcijos;

39.7.   baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo VK IS, užrakinamas kompiuteris ar kitas įrenginys;

39.8.   VK IS naudotojui 15 min. neatliekant jokių veiksmų, VK IS turi užsirakinti, kad toliau naudotis VK IS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

39.9.   prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, VK IS pasiekiamos visą parą.

40.1.   VK IS ir KDV turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės. Šių priemonių duomenų bazės reguliariai, bet ne rečiau kaip kas 24 valandas, turi būti automatiniu būdu atnaujinamos;

40.2.   VK IS naudotojų kompiuteriuose naudojama įranga, skirta KDV apsaugoti nuo kenksmingos programinės įrangos, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV;

40.3.   atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV diskai, naudojama programinė įranga, skirta VK IS ir KDV apsaugoti nuo kenksmingos programinės įrangos;

40.4.   KDV esančios programinės įrangos, skirtos VK IS ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal administratoriaus ar kitų institucijų rekomendacijas;

40.5.   programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

40.6.   kenksmingos programinės įrangos aptikimo priemonės turi automatiškai informuoti atsakinguosius darbuotojus apie tai, kuriose VK IS ar KDV ji netinkamai funkcionuoja, yra išjungta arba laiku neatsinaujina;

40.7.   kenksmingos programinės įrangos aptikimo priemonės turi veikti nuolat ir realiu laiku.

41.1.   VK IS ir KDV gali būti naudojama tik legali informacinės sistemos funkcijoms atlikti būtina programinė įranga;

41.2.   draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą VK IS naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik administratoriaus prižiūrimi;

41.3.   draudžiama diegti ir naudoti programinę įrangą, nesusijusią su VK IS valdytojo ir tvarkytojo veikla ar VK IS naudotojo atliekamomis funkcijomis (žaidimų, failų siuntimo, internetinių pokalbių programas ir kt.);

41.4.   naudojama programinė įranga, leidžianti atlikti VK IS naudojamų kompiuterių tinklų stebėseną ir užtikrinanti šių tinklų saugos prevencines priemones;

41.5.   programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų;

41.6.   VK IS, KDV programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.

42.1.   VK IS ir kompiuterių tinklas nuo viešųjų elektroninių ryšio tinklų turi būti atskirti užkardų bei įsilaužimų aptikimo ir prevencijos įranga. Užkardų įvykių žurnalai turi būti reguliariai analizuojami;

42.2.   VK IS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugų trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

42.3.   VK IS perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių VK IS naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

42.4.   gali būti naudojamos turinio filtravimo sistemos.

43.1.   stacionarūs ir (arba) nešiojamieji VK IS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik VK IS naudotojo tiesioginėms funkcijoms atlikti;

43.2.   nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės (kompiuterio įjungimo slaptažodis, papildomas naudotojo tapatybės patvirtinimas, elektroninės informacijos šifravimas, prisijungimų ribojimas ir pan.);

43.3.   VK IS naudotojai privalo naudotis visomis saugumo priemonėmis tam, kad apsaugotų nešiojamuosius kompiuterius ir kitus mobiliuosius įrenginius ar duomenų laikmenas nuo vagystės arba pažeidimo;

43.4.   iš kompiuterių, kurie perduodami paslaugų teikėjams remontuoti ar techninei priežiūrai atlikti, turi būti pašalinta visa elektroninė informacija arba išimti kietieji diskai (sisteminės duomenų laikmenos);

43.5.   jei prie VK IS prisijungiama nuotoliniu būdu, perduodamų duomenų konfidencialumas turi būti užtikrintas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius;

43.6.   VK IS naudotojai išorinius įrenginius ir laikmenas prie KDV gali jungti ir naudoti tik tada, jei administratoriaus jiems tokią teisę suteikia.

45.1.   atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

45.2.   turi būti sudaromi VK IS elektroninės informacijos, kurių atsarginės kopijos daromos, sąrašai;

45.3.   atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad VK IS veiklos sutrikimo, elektroninės informacijos saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais šių sistemų neveikimo laikotarpis nebūtų ilgesnis nei teisės aktais nustatyta valstybės informacinių sistemų ištekliams ir nurodyta Saugos nuostatų 34.4 punkte, atsižvelgus į jų svarbumą;

45.4.   atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta VK IS saugaus elektroninės informacijos tvarkymo taisyklėse;

45.5.   VK IS duomenų atsarginės kopijos Valstybės informacinių išteklių valdymo įstatymo ir Vyriausybės nustatyta tvarka gali būti laikomos valstybiniame duomenų centre. Atsarginių kopijų darymo ir saugojimo sąlygos nustatomos su valstybiniu duomenų centru sudaromoje paslaugų teikimo sutartyje;

45.6.   periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale. Duomenų atkūrimo bandymą organizuoja administratorius;

45.7.   administratorius privalo turėti galimybę inicijuoti elektroninės informacijos atkūrimo iš rezervinės kopijos procedūrą pasirinktinai iš turimų rezervinių kopijų sąrašo. Atkūrus elektroninę informaciją privalo būti užtikrintas ir išlaikytas elektroninės informacijos vientisumas ir integralumas;

45.8.   už atsarginių kopijų darymą ir atkūrimą atsakingas administratorius.

46.1.   visi VK IS naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

46.2.   saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją šios informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reguliuojančių elektroninės informacijos saugą, nuostatomis;

46.3.   asmuo, atsakingas už kibernetinį saugumą, privalo išmanyti kibernetinio saugumo užtikrinimo principus, kiekvienais metais tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis VK IS saugos dokumentais, Kibernetinio saugumo aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą;

46.4.   saugos įgaliotiniu ir asmeniu, atsakingu už kibernetinį saugumą, negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo šių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo nuobaudos paskyrimo praėję mažiau kaip vieni metai;

46.5.   VK IS administratoriai pagal kompetenciją privalo gerai išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, žinoti tarnybinių stočių veikimo principus, būti susipažinęs su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.

48.1.   saugos įgaliotinis periodiškai, kartą į metus, inicijuoja, organizuoja ir koordinuoja VK IS naudotojų mokymus elektroninės informacijos saugos klausimais, periodiškai informuodamas juos apie šios saugos problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams);

48.2.   mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir jų būdai parenkami atsižvelgiant į šios informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), VK IS naudotojų poreikius;

48.3.   mokymai gali būti vykdomi tiesiogiai (paskaitos, seminarai, konferencijos, kiti teminiai renginiai) ar nuotoliniu būdu (vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).