Suvestinė redakcija nuo 2015-09-22
Įsakymas paskelbtas: Žin. 2010, Nr. 113-5803, i. k. 1102250ISAK000V-804
Nauja redakcija nuo 2015-09-22:
Nr. V-1031, 2015-09-07, paskelbta TAR 2015-09-21, i. k. 2015-13998
LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2010 m. rugsėjo 20 d. Nr. V-804
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11, 19, 26 punktais:
1. T v i r t i n u Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatus (pridedama).
2. P a v e d u Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininkui:
2.3. per 6 mėnesius nuo Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatų patvirtinimo parengti ir pateikti Lietuvos Respublikos sveikatos apsaugos ministrui tvirtinti:
2.3.1. Lietuvos Respublikos vaistinių preparatų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;
2.3.2. Lietuvos Respublikos vaistinių preparatų registro informacinės sistemos veiklos tęstinumo valdymo plano projektą;
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. rugsėjo 20 d.
įsakymu Nr. V-804
(Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. rugsėjo 7 d.
įsakymo Nr. V-1031 redakcija)
LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos vaistinių preparatų registro (toliau – VPREG) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja VPREG elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus.
2. VPREG elektroninės informacijos saugumo užtikrinimo tikslai:
3. VPREG elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
4. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ ir Lietuvos Respublikos vaistinių preparatų registro nuostatuose, patvirtintuose Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. birželio 13 d. įsakymu Nr. V-582 „Dėl Lietuvos Respublikos vaistinių preparatų registro nuostatų patvirtinimo“ (toliau – VPREG nuostatai) vartojamas sąvokas.
5. VPREG valdytojas yra Lietuvos Respublikos sveikatos apsaugos ministerija, esanti adresu Vilniaus g. 33, LT-01506 Vilnius.
6. VPREG valdytojas atsako už VPREG saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
7. VPREG valdytojas atlieka šias funkcijas:
7.2. tvirtina šiuos VPREG saugos politiką įgyvendinančius dokumentus:
8. VPREG pagrindinis tvarkytojas yra Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos, esanti adresu Žirmūnų g. 139A, LT-09120 Vilnius.
9. VPREG pagrindinis tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
10. Paslaugų teikėjai (juridiniai ar fiziniai asmenys), teikiantys VPREG kūrimo, diegimo, priežiūros ir (ar) vystymo paslaugas, tvarko duomenis tik teikiamų paslaugų apimtimi.
11. VPREG tvarkytojas atlieka šias funkcijas:
12. VPREG saugos įgaliotinis:
12.1. teikia VPREG valdytojui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ar keitimo;
12.2. teikia VPREG tvarkytojui pasiūlymus dėl:
12.2.2. VPREG informacinių technologijų saugos atitikties vertinimo atlikimo, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);
12.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių VPREG, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
12.4. teikia VPREG administratoriui (-iams) ir VPREG naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
13. VPREG administratoriaus funkcijos ir atsakomybė:
13.1. vykdo VPREG sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, duomenų perdavimo tinklų) priežiūrą ir reguliariai tikrina jų sąranką ir VPREG būsenos rodiklius;
13.2. atsako už VPREG pažeidžiamų vietų nustatymą ir saugumo reikalavimų atitikties Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams nustatymą ir stebėseną;
13.3. informuoja VPREG saugos įgaliotinį apie pastebėtus elektroninės informacijos saugos incidentus, saugos reikalavimų pažeidimus, neveikiančias ar netinkamai veikiančias saugos užtikrinimo priemones, imasi veiksmų, skirtų užkirsti kelią elektroninės informacijos saugos incidentui įvykti ir (ar) pašalinti jo sukeltą žalą tam, kad būtų užtikrintas tinkamas VPREG veikimas;
13.5. vykdo visus VPREG saugos įgaliotinio teisėtus nurodymus ir pavedimus, susijusius su VPREG saugos užtikrinimu, ir nuolat teikia VPREG saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
13.7. kontroliuoja paslaugos teikėjo darbą, jeigu administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos paslaugos teikėjui;
14. Teisės aktai ir standartai, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją ir užtikrinant jos saugumą:
14.2. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
14.3. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymas Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
14.4. Lietuvos standartai LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 27002:2013)“ ir LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. VPREG elektroninė informacija, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), 4.3 papunktyje nurodytais kriterijais, priskiriama žinybinės svarbos elektroninės informacijos kategorijai.
16. VPREG, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčio nuostatomis, priskiriama trečiai informacinės sistemos kategorijai.
17. VPREG saugos įgaliotinis kasmet organizuoja VPREG rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį VPREG rizikos įvertinimą. VPREG tvarkytojo rašytiniu pavedimu VPREG rizikos įvertinimą gali atlikti pats VPREG saugos įgaliotinis.
18. VPREG rizikos vertinimas atliekamas, vadovaujantis VPREG tvarkytojo patvirtintos Informacijos saugumo rizikų valdymo procedūros nustatyta tvarka.
19. VPREG rizikos vertinimo metu atliekamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika. Vertinimo metu:
19.1. įvertinama realios VPREG elektroninės informacijos saugos situacijos atitiktis Saugos nuostatams bei kitiems saugos politiką įgyvendinantiems teisės aktams;
19.3. ne vėliau kaip prieš 5 darbo dienas raštu apie tai informavus VPREG naudotojus, tikrinamos ne mažiau kaip dešimtyje procentų VPREG naudotojų kompiuterinių darbo vietų visuose kompiuteriuose įdiegtos programos ir jų konfigūracija, tikrinama programinė įranga visose tarnybinėse stotyse;
20. Informacinių technologijų saugos atitikties vertinimo rezultatai pateikiami VPREG rizikos vertinimo ataskaitoje.
21. VPREG rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama VPREG tvarkytojui. Rizikos įvertinimo ataskaita rengiama, įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:
21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VPREG elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
22. Atsižvelgdamas į rizikos įvertinimo ataskaitą, VPREG tvarkytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. VPREG rizikos įvertinimo ir rizikos valdymo priemonių plane įtraukiami ir informacinių technologijų saugos atitikties vertinimo metu pastebėti trūkumai.
23. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas VPREG tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
24. Pagrindiniai VPREG elektroninės informacijos saugos priemonių parinkimo principai yra šie:
24.1. informacijos saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius VPREG elektroninės informacijos konfidencialumui, vientisumui ir (ar) prieinamumui;
24.2. informacijos saugos priemonės parenkamos taip, kad likutinė rizika būtų sumažinta iki priimtino lygio;
IIi SKYRIUS
Organizaciniai ir techniniai reikalavimai
25. Programinės įrangos, skirtos apsaugoti VPREG nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
25.1. visose VPREG (tiek naudotojų, tiek administratorių) kompiuterinėse darbo vietose ir tarnybinėse stotyse privalo būti įdiegta centralizuotai valdoma programinė įranga, skirta apsaugoti VPREG nuo kenksmingos programinės įrangos;
25.2. VPREG naudotojų ir administratorių kompiuterinėse darbo vietose programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – 1 (viena) darbo diena;
25.3. tarnybinėse stotyse programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, atnaujinama VPREG administratorių, prieš tai įvertinus atnaujinimo (-ų) įtaką VPREG tinkamam veikimui;
25.4. programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, automatiškai informuoja VPREG administratorių apie tai, kuriems VPREG komponentams yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atnaujinimo laikas;
25.5. VPREG komponentai be kenksmingo programinės įrangos aptikimo priemonių gali būti eksploatuojami tik tuo atveju, jei rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;
25.6. laikinai nenaudojamose ir neprijungtose prie duomenų perdavimo tinklų VPREG kompiuterinėse darbo vietose programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, gali būti neatnaujinama. Pradėjus naudoti ir (ar) prijungus prie duomenų perdavimo tinklų VPREG kompiuterinę darbo vietą, programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, turi būti nedelsiant (ne vėliau kaip 1 darbo dieną) atnaujinama.
26. Techninės ir programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo reikalavimai:
26.1. VPREG techninę ir programinę įrangą diegia, atnaujina ir prižiūri VPREG administratoriai (pagal atliekamas funkcijas). VPREG administratoriai dalyvauja paslaugų teikėjams atnaujinant ar keičiant techninę ir (ar) programinę įrangą;
26.2. programinei įrangai kurti, testuoti ir eksploatuoti naudojamos atskiros aplinkos, testuojant negali būti naudojami tikri asmens duomenys;
26.4. VPREG techninės ir programinės įrangos priežiūrą ir gedimų šalinimą gali atlikti tik kvalifikuoti specialistai;
26.5. naudojama programinė įranga, skirta stebėti VPREG komponentų būsenos rodiklius – VPREG administratorius perspėjamas, kai tarnybinėse stotyse sumažėja iki nustatytos pavojingos ribos laisvos atminties ar vietos diske, ilgą laiką apkraunamas centrinis procesorius ar kompiuterinio tinklo sąsaja;
26.7. VPREG administratorių kompiuterinėse darbo vietose ir tarnybinėse stotyse operacinės sistemos kritinės pataisos ir kiti gamintojo rekomenduojami atnaujinimai diegiami prieš tai įvertinus jų įtaką tinkamam VPREG veikimui, bet ne vėliau kaip per 3 darbo dienas. VPREG naudotojų kompiuterinėse darbo vietose operacinės sistemos kritinės pataisos diegiamos automatiškai;
26.8. VPREG naudotojams ribojamos teisės – jiems neleidžiama diegtis papildomos programinės įrangos bei keisti jos ar kompiuterinės darbo vietos bendrųjų nustatymų;
26.9. leistinos programinės įrangos sąrašą rengia ir ne rečiau kaip kartą per metus peržiūri bei prireikus atnaujina VPREG saugos įgaliotinis ir derina su VPREG tvarkytoju:
26.9.1. VPREG kompiuterinėse darbo vietose ir tarnybinėse stotyse turi būti naudojama tik legali ir saugi programinė įranga;
27. Kompiuterių tinklo apsaugos reikalavimai:
27.1. vidinis tinklas atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes. Ugniasienės įvykių žurnalai turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;
27.2. turi būti naudojama apsauga nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų;
27.3. tinklo perimetro apsaugai naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo;
28. VPREG naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius VPREG duomenims perduoti kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas VPREG naudotojo tapatybės patvirtinimas ir VPREG duomenų šifravimas.
29. VPREG duomenys teikiami ir gaunami VPREG nuostatų nustatyta tvarka pagal vienkartinius prašymus arba duomenų teikimo sutartis ir jose nustatytus duomenų teikimo metodus ir būdus.
30. Saugiam elektroninės informacijos teikimui ir (arba) gavimui užtikrinti duomenys teikiami šifruotais duomenų perdavimo kanalais, naudojant specialius protokolus, kurie užtikrina duomenų šifravimą bei gali užtikrinti perduodamos informacijos autentiškumą ir vientisumą.
32. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
32.1. VPREG veiklos tęstinumui užtikrinti elektroninė informacija yra periodiškai kopijuojama į rezervinių kopijų laikmenas kas 24 valandos ir laikmenos saugomos taip, kad avarijos atveju VPREG veiklą iš atsarginių kopijų galima būtų atkurti ne ilgiau kaip per 16 valandų;
32.2. bylų mėnesinių kopijų laikmenos ir atsarginės programinės įrangos kopijos laikomos kitoje patalpoje nei VPREG tarnybinės stotys, nedegiame seife;
Iv SKYRIUS
Reikalavimai personalui
33. VPREG naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius ir būti susipažinę su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.
34. VPREG saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatų 14 punkte nurodytais teisės aktais ir standartais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
35. VPREG administratorius privalo išmanyti darbą su tarnybinėmis stotimis, kompiuterių tinklais ir kita kompiuterių įranga, ir (arba) duomenų bazėmis, ir (arba) standartine programine įranga, ir (arba) taikomosiomis sistemomis ir sąsajomis tarp jų, mokėti užtikrinti jų saugumą.
36. VPREG naudotojai, prieš suteikiant jiems prieigą prie VPREG elektroninės informacijos, privalo dalyvauti pradiniame mokyme, kurį vykdo VPREG saugos įgaliotinis arba jo pavedimu VPREG administratorius, ir kuriame jie supažindinami su saugos politika, saugumo reikalavimais ir atsakomybe už jų nesilaikymą.
37. VPREG naudotojams turi būti periodiškai, bet ne rečiau kaip kartą per metus, rengiami elektroninės informacijos saugos mokymai, įvairiais būdais turi būti primenama apie elektroninės informacijos saugos reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės darbuotojams). Elektroninės informacijos saugos mokymai įtraukiami į bendrą VPREG tvarkytojo mokymų planą. Už elektroninės informacijos saugos mokymų organizavimą yra atsakingas VPREG saugos įgaliotinis. Mokymus gali vykdyti paslaugų teikėjas.
v SKYRIUS
VPREG naudotojų supažindinimo su saugos dokumentais principai
38. VPREG naudotojai su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją, užtikrinant jos saugumą, ir su atsakomybe už saugos reikalavimų pažeidimus supažindinami pasirašytinai per pradinius mokymus, už kurių vykdymą atsakingas VPREG saugos įgaliotinis arba jo pavedimu VPREG administratorius.
39. Pakartotinis supažindinimas vykdomas per kasmetinius elektroninės informacijos saugos mokymus ir tik iš esmės pasikeitus Saugos nuostatams ir (ar) saugos politiką įgyvendinantiems dokumentams, kitiems teisės aktams, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją, užtikrinant jos saugumą. Su neesminiais pakeitimais supažindinama per dokumentų valdymo sistemą ir paskelbiant vidinėje svetainėje.
40. VPREG naudotojai tvarkyti VPREG elektroninę informaciją gali tik susipažinę su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais bei raštu įsipareigoję laikytis šių teisės aktų reikalavimų.
Priedo pakeitimai:
Nr. V-1031, 2015-09-07, paskelbta TAR 2015-09-21, i. k. 2015-13998
Pakeitimai:
1.
Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas
Nr. V-427, 2012-05-15, Žin., 2012, Nr. 57-2874 (2012-05-19), i. k. 1122250ISAK000V-427
Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. rugsėjo 20 d. įsakymo Nr. V-804 "Dėl Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatų patvirtinimo, Lietuvos Respublikos vaistinių preparatų registro saugos įgaliotinio ir administratoriaus skyrimo" pakeitimo
2.
Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas
Nr. V-1031, 2015-09-07, paskelbta TAR 2015-09-21, i. k. 2015-13998
Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. rugsėjo 20 d. įsakymo Nr.V-804 „Dėl Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatų patvirtinimo, Lietuvos Respublikos vaistinių preparatų registro saugos įgaliotinio ir administratoriaus skyrimo" pakeitimo