LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS VALSTYBINIO PATENTŲ BIURO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2017 m. rugsėjo 28 d. Nr. 1R-244

Vilnius

 

 

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19, 26, 31 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktu:

1Tvirtinu Lietuvos Respublikos valstybinio patentų biuro tvarkomų registrų duomenų saugos nuostatus (pridedama).

2Pavedu Lietuvos Respublikos valstybiniam patentų biurui:

2.1. paskirti Lietuvos Respublikos valstybinio patentų biuro tvarkomų Lietuvos Respublikos patentų registro, Lietuvos Respublikos prekių ženklų registro ir Lietuvos Respublikos dizaino registro (toliau – registrai) saugos įgaliotinį;

2.2. paskirti Lietuvos Respublikos valstybinio patentų biuro tvarkomų registrų administratorius arba darbuotoją (-us), kontroliuojantį (-ius) registrų techninės ir programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, kai tokios funkcijos paslaugų teikėjui perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka;

2.3. paskirti kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;

2.4. per 1 mėnesį nuo šio įsakymo įsigaliojimo parengti ir pateikti Lietuvos Respublikos teisingumo ministerijai registrų elektroninės informacijos saugos politiką įgyvendinančių dokumentų projektus.

 

Teisingumo ministrė                                                                                                        Milda Vainiutė

 

SUDERINTA                                                              SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos        Nacionalinio kibernetinio saugumo centro

2017 m. rugsėjo 19 d. raštu Nr. 1D-4939                    2017 m. liepos 31 d. raštu Nr. IS-610

 

 

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2017 m. rugsėjo 28 d. įsakymu Nr. 1R-244

 

LIETUVOS RESPUBLIKOS VALSTYBINIO PATENTŲ BIURO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

1Lietuvos Respublikos valstybinio patentų biuro tvarkomų registrų duomenų saugos nuostatai (toliau – nuostatai) reglamentuoja Valstybinio patentų biuro tvarkomų Lietuvos Respublikos patentų registro (toliau – Patentų registras), Lietuvos Respublikos prekių ženklų registro (toliau – Prekių ženklų registras) ir Lietuvos Respublikos dizaino registro (toliau – Dizaino registras) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką.

2Nuostatuose vartojamos sąvokos:

2.1registrų administratorius Lietuvos Respublikos valstybinio patentų biuro valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, prižiūrintis registrus ir (ar) jų infrastruktūrą, užtikrinantis jų veikimą, elektroninės informacijos saugą, taip pat kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos registrų ir (ar) jų infrastruktūros priežiūros funkcijos;

2.2registrų elektroninė informacija (toliau – elektroninė informacija) duomenys, dokumentai ir informacija, tvarkomi Lietuvos Respublikos valstybinio patentų biuro tvarkomuose registruose;

2.3registrų kibernetinio saugumo vadovas – registrų tvarkytojo paskirtas kompetentingas valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, atsakingas už registrų kibernetinio saugumo organizavimą ir užtikrinimą;

2.4registrų komponentai kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, failų serveriai ir kita techninė ir programinė įranga, reikalinga registrams funkcionuoti ir juose tvarkomos elektroninės informacijos saugai užtikrinti;

2.5registrų naudotojas Lietuvos Respublikos valstybinio patentų biuro valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, taip pat kitas asmuo, registrų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

2.6registrų saugos dokumentai – registrų duomenų saugos nuostatai, registrų elektroninės informacijos saugaus tvarkymo taisyklės, registrų veiklos tęstinumo valdymo planas, registrų naudotojų administravimo taisyklės;

2.7registrų saugos įgaliotinis (toliau – saugos įgaliotinis) – registrų tvarkytojo paskirtas valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą registruose;

2.8.  kitos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 14 d. įsakymu Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų) žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai), ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3Kibernetinio saugumo ir registrų saugos dokumentai taikomi:

3.1. Lietuvos Respublikos teisingumo ministerijai (toliau – Teisingumo ministerija) (Gedimino pr. 30, Vilnius) – Patentų registro, Prekių ženklų registro ir Dizaino registro valdytojai;

3.2. Lietuvos Respublikos valstybiniam patentų biurui (toliau – Valstybinis patentų biuras) (Kalvarijų g. 3, Vilnius) – Patentų registro, Prekių ženklų registro ir Dizaino registro tvarkytojui;

3.3. saugos įgaliotiniui, registrų kibernetinio saugumo vadovui, registrų administratoriams.

4Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys:

4.1.  elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2.  asmens duomenų apsauga;

4.3.  organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

5Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo tikslai:

5.1.  sudaryti sąlygas saugiai automatiniu būdu tvarkyti registrų elektroninę informaciją;

5.2.  užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3.  vykdyti elektroninės informacijos saugos ir kibernetinių incidentų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir juos operatyviai valdyti, atkuriant įprastą registrų veiklą.

6Teisingumo ministerijos funkcijos:

6.1.  metodiškai vadovauti Valstybiniam patentų biurui, koordinuoti registrų funkcionavimą;

6.2.  atlikti registrų elektroninės informacijos tvarkymo ir elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų laikymosi priežiūrą ir kontrolę;

6.3.  nagrinėti Valstybinio patentų biuro pasiūlymus dėl registrų veiklos, elektroninės informacijos saugos ir kibernetinio saugumo tobulinimo ir priimti dėl jų sprendimus;

6.4.  priimti sprendimus dėl registrų techninių ir programinių priemonių, būtinų registrų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įsigijimo, diegimo ir modernizavimo;

6.5.  priimti įsakymus dėl registrų elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo;

6.6.  užtikrinti veiksmingą ir spartų registrų pokyčių valdymo planavimą;

6.7.  prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.8.  prireikus tvirtinti registrų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.9.  atlikti kitas nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7Valstybinio patentų biuro funkcijos:

7.1.  užtikrinti nepertraukiamą registrų veikimą;

7.2.  užtikrinti registrų elektroninės informacijos saugą ir kibernetinį saugumą, saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

7.3.  užtikrinti tinkamą Teisingumo ministerijos elektroninės informacijos saugos ir kibernetinio saugumo srityje priimtų teisės aktų ir rekomendacijų įgyvendinimą;

7.4.  teikti Teisingumo ministerijai pasiūlymus dėl registrų elektroninės informacijos saugos ir kibernetinio saugumo tobulinimo;

7.5.  rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

7.6.  skirti saugos įgaliotinį, registrų kibernetinio saugumo vadovą ir registrų administratorius;

7.7.  ne rečiau kaip kartą per metus organizuoti kibernetinio saugumo dokumentų persvarstymą (peržiūrėjimą);

7.8.  organizuoti registrų naudotojams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos tvarkymo klausimais;

7.9.  atlikti kitas nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

8Už elektroninės informacijos saugą ir kibernetinį saugumą pagal kompetenciją atsako Teisingumo ministerija ir Valstybinis patentų biuras.

9Teisingumo ministerija atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

10.         Valstybinis patentų biuras atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi registrų saugos ir kibernetinio saugumo dokumentuose nustatyta tvarka.

11.         Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą registruose, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), saugos įgaliotiniui priskirtas funkcijas.

12.         Registrų kibernetinio saugumo vadovas atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), ir kituose teisės aktuose nustatytas funkcijas. Registrų kibernetinio saugumo vadovas ir saugos įgaliotinis gali būti tas pats asmuo.

13.         Saugos įgaliotinis negali atlikti registrų administratoriaus funkcijų.

14.         Registrų administratoriai skiriami visiems registrams, funkciškai savarankiškoms sudedamosioms jų dalims ar tam tikroms registrų administratoriaus funkcijoms atlikti.

15.         Registrų administratorius:

15.1.    užtikrina kompiuterių tinklų veikimą;

15.2.    projektuoja kompiuterių tinklus;

15.3.    diegia, konfigūruoja ir prižiūri kompiuterių tinklų aktyviąją įrangą;

15.4.    užtikrina kompiuterių tinklų saugumą;

15.5.    užtikrina tarnybinių stočių veikimą;

15.6.    konfigūruoja tarnybinių stočių tinklo prieigą;

15.7.    kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

15.8.    stebi ir analizuoja tarnybinių stočių veiklą;

15.9.    diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

15.10.  atnaujina tarnybinių stočių programinę įrangą;

15.11.  užtikrina tarnybinių stočių saugą;

15.12.  užtikrina duomenų bazių veikimą;

15.13.  tvarko duomenų bazių programinę įrangą;

15.14.  kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;

15.15.  kuria ir atkuria atsargines elektroninės informacijos kopijas;

15.16.  stebi duomenų bazes ir optimizuoja jų funkcionavimą;

15.17.  atlieka registrų pažeidžiamų vietų nustatymo, saugumo reikalavimų, atitikties nustatymo ir stebėsenos funkcijas;

15.18.  atlieka kitas funkcijas, susijusias su nuostatų 2.4 papunktyje nurodytų kitų registrų komponentų sąranka, veikimo stebėsena ir analize, profilaktine priežiūra.

16.         Registrų administratoriai yra atsakingi už tinkamą registrų saugos dokumentuose nustatytų funkcijų vykdymą.

17.         Registrų administratoriai privalo vykdyti visus saugos įgaliotinio ir registrų kibernetinio saugumo vadovo nurodymus ir pavedimus dėl registrų saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinio saugumo incidentus ir nuolat teikti saugos įgaliotiniui ir registrų kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

18.         Atlikdamas registrų sąrankos pakeitimus, administratorius turi laikytis registrų pokyčių valdymo tvarkos, nustatytos registrų saugaus elektroninės informacijos tvarkymo taisyklėse.

19.         Teisės aktai, kuriais vadovaujamasi tvarkant registrų elektroninę informaciją ir užtikrinant jų saugą:

19.1.    Lietuvos Respublikos kibernetinio saugumo įstatymas;

19.2.    Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.3.    Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.4.    Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas); 

19.5.    Techniniai valstybės registrų (kadastrų) žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai;

19.6.    Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrųjų reikalavimų asmens duomenų saugumo priemonėms aprašas);

19.7.    Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei Teisingumo ministerijos ir Valstybinio patentų biuro veiklą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

20.         Valstybinio patentų biuro tvarkomuose registruose tvarkoma elektroninė informacija priskiriama elektroninės informacijos svarbos kategorijoms:

20.1. Patentų registre, Prekių ženklų registre ir Dizaino registre tvarkoma elektroninė informacija priskiriama svarbiai elektroninės informacijos kategorijai, vadovaujantis Klasifikavimo gairių aprašo 8 punktu;

20.2. Valstybinio patentų biuro tvarkomi registrai pagal juose tvarkomos informacijos svarbą priskiriami antrajai kategorijai, vadovaujantis Klasifikavimo gairių aprašo 12.2 papunkčiu;

20.3. registruose tvarkomi asmens duomenys priskiriami antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų asmens duomenų saugumo priemonėms aprašo 11.2 papunkčiu.

21.         Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį registrų rizikos įvertinimą. Valstybinio patentų biuro rašytiniu pavedimu registrų rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Kartu su registrų rizikos įvertinimu ir (ar) nuostatų 27 punkte nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos registrų kibernetiniam saugumui, vertinimas. Registrų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama Lietuvos Respublikos teisingumo ministrui (toliau – teisingumo ministras) ir Valstybinio patentų biuro direktoriui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

21.1.    subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2.    subjektyvūs tyčiniai (nesankcionuotas naudojimasis registrais elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.3.    veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22.         Atsižvelgęs į rizikos įvertinimo ataskaitą, teisingumo ministras prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

23.         Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas Teisingumo ministerija ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

24.         Siekiant užtikrinti registrų saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus organizuojamas registrų informacinių technologijų saugos atitikties ir registrų atitikties Kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas.

25.         Registrų informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos.

26.         Kibernetinių atakų imitavimas atliekamas šiais etapais:

26.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su Valstybinio patentų biuro direktoriumi ir vykdomas tik gavus jo rašytinį pritarimą;

26.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių tarnybinių stočių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomą veiklą ir jos rezultatus;

26.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

26.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi pažeidžiamumų nustatymo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

27.  Registrų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka. Atlikus informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia Valstybinio patentų biuro direktoriui informacinių technologijų saugos vertinimo ataskaitą. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato teisingumo ministras.

28.  Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Teisingumo ministerija ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose nustatyta tvarka.

29. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis registrų elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis, kurios pasirenkamos vadovaujantis šiais principais:

29.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

29.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

29.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

30.         Registruose naudojamų svetainių saugos valdymo reikalavimai:

30.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų aprašo reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

30.2. turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

30.3. registruose naudojamų svetainių sauga turi būti vertinama registrų rizikos įvertinimo metu ir (ar) registrų informacinių technologijų saugos atitikties vertinimo metu, atliekamų nuostatų II skyriuje nustatyta tvarka.

31.         Programinės įrangos, skirtos registrams apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

31.1. tarnybinėse stotyse ir vidinių registrų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

31.2. registrų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

31.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Registrų komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems registrų posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių registrų naudotojų kompiuteriams ir kitiems registrų komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

32.         Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

32.1.  registrų tarnybinėse stotyse ir vidinių registrų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

32.2.  tarnybinių stočių ir vidinių registrų naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

32.3.  administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius registrų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių registrų naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir registrų kibernetinio saugumo vadovą;

32.4.  programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

32.5.  programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – registrų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

32.6.  programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais asmens duomenų saugumo priemonėms;

32.7.  registrų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų.

33.         Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:

33.1.  kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

33.2.  kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių registrų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

33.3.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

33.4.  pagal poreikį turi būti naudojamos turinio filtravimo sistemos;

33.5.  turi būti naudojamos taikomųjų programų kontrolės sistemos.

34.         Leistinos kompiuterių naudojimo ribos:

34.1.  stacionarius kompiuterius leidžiama naudoti tik Valstybinio patentų biuro patalpose; pareiškėjai, lankytojai, darbuotojų šeimos nariai, kiti asmenys negali naudotis Valstybinio patentų biuro stacionariais ar nešiojamaisiais kompiuteriais, išskyrus viešai suinteresuotų asmenų prieigai skirtus kompiuterius, kuriais galima naudotis tik su Valstybinio patentų biuro paslaugomis susijusiais tikslais;

34.2.  iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija;

34.3.  kiekvienai darbo vietai suteikiamas naudotojo ir administratoriaus registracijos vardas ir slaptažodis;

34.4.  nešiojamieji kompiuteriai negali būti paliekami be priežiūros Valstybinio patentų biuro patalpose ar už jų ribų;

34.5.  fizinė prieiga prie asmeninių kompiuterių ir tarnybinių stočių privalo būti kontroliuojama; uždara Valstybinio patentų biuro patalpų zona kontroliuojama įėjimo kontrolės sistema, į ją darbuotojai patenka pasinaudoję magnetine kortele.

35.         Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

35.1.  elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) registrų nuostatuose nustatyta tvarka;

35.2.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

35.3.  elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal registrų nuostatuose, duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

35.4.  nuotolinis prisijungimas prie registrų galimas:

35.4.1. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius registrų naudotojo ir tarnybinės stoties abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys. Siekiant, kad elektroninės informacijos perdavimas iš tarnybinės stoties į interneto naršyklę ir iš interneto naršyklės į tarnybinę stotį būtų saugus, naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis registrų naudotojo ir  tarnybinės stoties siunčiamą ir gaunamą elektroninę informaciją. Registrų interneto svetainėse TLS šifruota HTTP (angl. HyperText Transfer Protocol) protokolo elektroninė informacija perduodama saugiu HTTPS (angl. HyperText Transfer Protocol Secure) protokolu;

35.4.2. naudojant virtualų privatų tinklą. Virtualiame tinkle turi būti naudojamas IPsec (angl. Internet Protocol Security) protokolų rinkinys;

35.4.3. naudojant saugaus apvalkalo (angl. Secure Shell) protokolą ir nuotolinio darbalaukio protokolą (angl. Remote Desktop Protocol). Šia galimybe gali būti pasinaudota tik registrų administravimo tikslais;

35.5. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Kibernetinio saugumo reikalavimų aprašą, Techninius valstybės registrų (kadastrų) žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

35.6. naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio registrų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

36.         Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

36.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną registrų neveikimo laikotarpį (angl. recovery time objective); esant galimybei, kopijos daromos debesijos duomenų bazėje;

36.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad registrų veiklos sutrikimo, elektroninės informacijos saugos ar kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais registrų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma konkrečioms registrų svarbos kategorijoms, nurodytoms nuostatų 20 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

36.3.    atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų terminais, nurodytais registrų saugaus elektroninės informacijos tvarkymo taisyklėse;

36.4.    elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

36.5.  kopijos saugomos saugioje vietoje, rakinamose spintose. Bent vienas rezervinių kopijų komplektas saugomas ne Valstybinio patentų biuro patalpose. Pasenusios duomenų kopijos sunaikinamos;

36.6.  atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

36.7.  periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

36.8.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

37.         Registrų valdytojas ir (ar) registrų tvarkytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su registrais, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Kibernetinio saugumo reikalavimų aprašui.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

38.         Registrų naudotojų, registrų administratorių, saugos įgaliotinio ir registrų kibernetinio saugumo vadovo kvalifikacijos ir patirties reikalavimai:

38.1.  registrų naudotojų, administratorių, saugos įgaliotinio, registrų kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose ir šiuose nuostatuose;

38.2.  registrų administratorius privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, darbą su kompiuterių tinklais, turėti patirties ir mokėti administruoti registrų naudojamas sistemines programines priemones ir duomenų bazes, užtikrinti jų saugumą laikydamasis saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų, mokėti užtikrinti registrų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti registrų komponentus (stebėti registrų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti registrų komponentų nepertraukiamą funkcionavimą ir pan.). Registrų administratoriai turi būti susipažinę su registrų saugos dokumentais;

38.3.  saugos įgaliotinis ir registrų kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą ir kibernetinį saugumą. Valstybinis patentų biuras turi sudaryti sąlygas kelti saugos įgaliotinio ir registrų kibernetinio saugumo vadovo kvalifikaciją;

38.4.  saugos įgaliotiniu ar registrų kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

39.         Registrų naudotojų ir registrų administratoriaus mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

39.1.      registrų naudotojams turi būti organizuojami mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas ir pan.);

39.2.      mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), registrų naudotojų ar registrų administratorių poreikius;

39.3.      mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vesti saugos įgaliotinis ar kitas Teisingumo ministerijos ar Valstybinio patentų biuro darbuotojas, išmanantis elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, arba elektroninės informacijos saugos ir kibernetinio saugumo mokymų paslaugų teikėjas;

39.4.      saugos įgaliotinis registrų naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, o registrų administratoriams – pagal poreikį, organizuoja mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).

 

V SKYRIUS

REGISTRŲ NAUDOTOJŲ SUPAŽINDINIMO SU registrų SAUGOS DOKUMENTAIS PRINCIPAI

 

40.         Registrų naudotojų supažindinimą su registrų saugos dokumentais ar jų santrauka, atsakomybe už registrų saugos dokumentų nuostatų pažeidimus organizuoja saugos įgaliotinis.

41.         Registrų naudotojų supažindinimo su registrų saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į registrų specifiką (pvz., registrų ir jų naudotojų buvimo vietą, organizacinių ar techninių priemonių, leidžiančių identifikuoti su registrų saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes ir pan.). Registrų naudotojai su registrų saugos dokumentais ar jų santrauka turi būti supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.

42.         Pakartotinai su registrų saugos dokumentais ar jų santrauka registrų naudotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojantiems teisės aktams.

43.         Registrų naudotojai atsako už registrų ir juose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą pagal savo kompetenciją. Registrų naudotojai, registrų administratorius ir saugos įgaliotinis, pažeidę registrų saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

44.         Teisingumo ministerija registrų saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Registrų saugos dokumentai turi būti derinami su Lietuvos Respublikos vidaus reikalų ministerija ir Nacionaliniu kibernetinio saugumo centru, išskyrus atvejus, kai keičiant minėtus dokumentus atliekami tik redakciniai ar nedideli nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisoma teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų registrų saugos dokumentų kopijos.

45.         Valstybinio patentų biuro įgaliotas asmuo registrų saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Registrų saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems Teisingumo ministerijos ar Valstybinio patentų biuro pokyčiams.

_____________________