Suvestinė redakcija nuo 2020-04-21

 

Įsakymas paskelbtas: Žin. 2011, Nr. 159-7534, i. k. 1112250ISAK00V-1071

 

Nauja redakcija nuo 2014-10-01:

Nr. V-975, 2014-09-22, paskelbta TAR 2014-09-30, i. k. 2014-13239

 

LIETUVOS REPSUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2011 m. gruodžio 16 d. Nr. V-1071

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu:

1. Tvirtinu Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatus (pridedama).

2. Pavedu:

2.1.  Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriui:

2.1.1. per 1 mėnesį nuo Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo dienos paskirti Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos įgaliotinį, administratorių ir duomenų valdymo įgaliotinį;

2.1.2.  per 3 mėnesius nuo Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo dienos parengti ir pateikti Lietuvos Respublikos sveikatos apsaugos ministerijai tvirtinti:

2.1.2.1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.1.2.2. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano projektą;

2.1.2.3. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklių projektą;

2.2.  įsakymo vykdymo kontrolę viceministrui pagal veiklos sritį.“

 

 

 

SVEIKATOS APSAUGOS MINISTRAS                                           RAIMONDAS ŠUKYS

 

 

PATVIRTINTA

Lietuvos Respublikos sveikatos

apsaugos ministro 2011 m.

gruodžio 16 d. įsakymu Nr. V-1071

(Lietuvos Respublikos sveikatos

apsaugos ministro 2020 m.

balandžio 17 d. įsakymo Nr. V-905

redakcija)

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS

LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Registro elektroninės informacijos saugos (įskaitant kibernetinį saugumą) politiką, organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.

2. Saugos nuostatuose vartojamos sąvokos atitinka teisės aktuose, nurodytuose šių Saugos nuostatų 13 punkte, vartojamas sąvokas.

3. Saugos nuostatais turi vadovautis Registro valdytojas, Registro tvarkytojas, Registro saugos įgaliotinis (toliau – saugos įgaliotinis), Registro duomenų įgaliotinis, Registro administratorius (toliau – administratorius) ir Registro naudotojai (toliau – naudotojai).

4. Elektroninės informacijos saugos užtikrinimo tikslai:

4.1. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.2. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

4.3. vykdyti elektroninės informacijos saugos incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

5. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

5.2. Registro kibernetinio saugumo užtikrinimas;

5.3. Registro duomenims tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

5.4. Registro duomenų tvarkymo kontrolė;

5.5. Registro veiklos tęstinumo užtikrinimas;

5.6. asmens duomenų apsauga;

5.7. Registro naudotojų mokymas.

6. Registro valdytoja ir asmens duomenų valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija (Vilniaus g. 33, LT-01506 Vilnius).

7. Registro tvarkytoja ir asmens duomenų tvarkytoja –  Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (A. Juozapavičiaus g. 9, LT-09311 Vilnius).

8. Registro valdytojas atlieka šias funkcijas:

8.1. organizuoja Registro veiklą ir jai vadovauja;

8.2. priima sprendimus dėl Registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

8.3. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos valstybės įstatymais, Saugos nuostatais ir kitais teisės aktais;

8.4. tvirtina Saugos nuostatus, saugos politikos įgyvendinamuosius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;

8.5. prižiūri ir kontroliuoja saugos dokumentų reikalavimų įgyvendinimą;

8.6. skiria Registro duomenų įgaliotinį, saugos įgaliotinį ir administratorių;

8.7. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, šiais Saugos nuostatais ir kitais teisės aktais.

9. Saugos nuostatų 8.2, 8.5 ir 8.6 papunkčiuose nurodytas funkcijas Registro valdytojas gali perduoti vykdyti Registro tvarkytojui.

10. Registro tvarkytojas atlieka šias funkcijas:

10.1. užtikrina, kad naudotojai laikytųsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nurodytų reikalavimų;

10.2. užtikrina saugos dokumentų ir kitų Registro valdytojo priimtų teisės aktų, susijusių su Registro elektroninės informacijos sauga, tinkamą įgyvendinimą;

10.3. užtikrina nepertraukiamą Registro veiklą.

11. Saugos įgaliotinio funkcijos ir atsakomybė:

11.1. teikia Registro valdytojui (arba jo paskirtam Registro tvarkytojui) siūlymus dėl:

11.1.1. administratoriaus paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. Registro saugos atitikties vertinimo atlikimo;

11.2. koordinuoja Registro elektroninės informacijos saugos incidentų tyrimą;

11.3. teikia administratoriui privalomus vykdyti nurodymus bei pavedimus, susijusius su saugos politikos įgyvendinimu;

11.4. konsultuoja naudotojus Registro saugos klausimais;

11.5. atsako už Registro saugos politikos įgyvendinimo organizavimą;

11.6. organizuoja rizikos įvertinimą;

11.7. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

12. Administratoriaus funkcijos ir atsakomybė:

12.1. įvertina, ar naudotojai yra pasirengę darbui;

12.2. suteikia teisę naudotojams naudotis elektronine informacija paskirtoms funkcijoms atlikti;

12.3. administruoja ir užtikrina tinkamą Registrą sudarančių komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės) veikimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

12.4. informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl saugos užtikrinimo;

12.5. atsako už kompiuterių tinklo funkcionavimą;

12.6. atsako už Registro atsarginių duomenų kopijų darymą.

13. Registro sauga užtikrinama vadovaujantis:

13.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

13.2. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

13.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

13.4. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

13.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB;

13.6. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

13.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

13.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

13.9. Lietuvos standartais LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, reguliuojantys saugų informacinių sistemų duomenų tvarkymą.

 

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

14. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas) 6.2 papunkčiu, Registre tvarkoma informacija priskiriama svarbios elektroninės informacijos kategorijai. Elektroninė informacija šiai kategorijai priskiriama vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 8.1 ir 8.2 papunkčių nuostatomis.

15. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 12.2 papunkčiu, Registras priskiriamas antrajai informacinių sistemų kategorijai.

16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą.  Minėtą rizikos įvertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

17. Rizikos vertinimo metu turi būti nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos Registro saugai (kibernetiniam saugumui), nustatomos galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys, įvertinama Registro pažeidimo grėsmių tikimybė ir galimos pasekmės, nustatomas rizikos lygis ir įvertinamos identifikuotos galimos grėsmės, kurios išdėstomos prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą. Registro rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama Registro valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas Registro valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

20. Saugos užtikrinimo priemonės parenkamos, siekiant užtikrinti Registro veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų informacinės sistemos darbą.

21. Registro saugos atitikties vertinimas atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

22. Saugos atitikties vertinimo metu turi būti atliekamas ir kibernetinių atakų imitavimas, ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. 

23.  Kibernetinių atakų imitavimas atliekamas šiais etapais:

23.1.  Planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai.

23.2.  Žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją.

23.3.  Kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai.

23.4.  Ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

24. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Registro valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojo vadovas.

25. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Registro valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

26. Programinės įrangos, skirtos informacinei sistemai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

26.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

26.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose tarnybinėje stotyje ir visuose kompiuterių tinklo kompiuteriuose;

26.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

26.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 16 valandų.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. nuotolinis prisijungimas galimas tik administratoriaus suteiktais unikaliais prisijungimo vardais ir slaptažodžiais naudojant virtualų privatų tinklą (VPN) arba nuotolinį darbalaukį (RDC);

27.2. kompiuterių tinklo tarnybinės stotys bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės bei duomenų srautus į išorę. Turi būti draudžiama naudoti interneto ryšį visoms programoms, kurios gali visiškai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti;

27.3. teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas – naudojami saugūs ryšio kanalai (VPN);

27.4. duomenys kopijose šifruojami.

28. Naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja tarnybinės stoties operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri administratorius.

29. Neteisėtų programų įdiegimo (apeinant operacinės sistemos apsaugos mechanizmus) paiešką bent kartą per mėnesį atlieka administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau kaip 20 proc. interneto ryšio resurso.

30. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja administratorius, blokuodamas potencialiai pavojingas interneto sritis.

31. Nešiojamuosius Registro naudotojų kompiuterius, skirtus Registro elektroninei informacijai tvarkyti, išnešti iš Registro tvarkytojų patalpų yra griežtai draudžiama.

32. Mobiliuosiuose įrenginiuose turi veikti apsauga, kad būtų galima išvengti neteisėtos prieigos prie duomenų, saugomų ir apdorojamų šiais įtaisais, pvz., naudojant įrenginio (išmaniojo telefono, planšetinio kompiuterio) atmintinės šifravimą ir tapatumo nustatymo priemones (PIN, slaptažodžiai, kriptografiniai raktai). Jei yra galimybė iš įrenginio prisijungti prie įstaigos informacinių sistemų, prisijungimai turi būti tinkamai sukonfigūruoti naudojant šifravimo priemones bei kitas technologijas, apsaugančias nuo galimybės pasinaudoti tokiu prisijungimu. Bet kuriuo atveju, įranga ir duomenų laikmenos neturėtų būti paliekamos be priežiūros viešose vietose ir neduodamos naudotis kitiems asmenims (pvz., vaikams).

33. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:

33.1. Registro atsarginės duomenų kopijos daromos automatiniu būdu kiekvieną dieną esant aktyviai registro duomenų bazei;

33.2. kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kopijų saugojimo laikmenas) ir saugomos seife, prieinamame tik administratoriui, jo nesant – administratorių pavaduojančiam asmeniui;

33.3. atsarginės duomenų kopijos turi būti saugomos kitose patalpose, atskirai nuo tarnybinių stočių;

33.4. prireikus duomenis atkurti turi teisę tik administratorius ar jį pavaduojantis asmuo;

33.5. kopijų, iš kurių būtų galima atkurti duomenis, darymo ir saugojimo tvarka detaliai aprašyta Registro saugaus informacijos tvarkymo taisyklėse.

34.  Informacinėse sistemose naudojamų svetainių saugos valdymo reikalavimai:

34.1.  svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

34.2.  turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

34.3.  turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu.

35. Tarnybinio el. pašto negalima naudoti didelių kiekių grafinių, audio bei video failų ar laiškų, nereikalingų tiesioginiam darbui ir nesusijusių su tarnybinių pareigų vykdymu, siuntimui.

36. Registro tvarkytojo internetas ir el. paštas skirtas naudotis tik Registro tvarkytojo darbuotojams.

37. Išsiunčiamas bei gaunamas elektroninis paštas turi būti tikrinimas antivirusine programa, kuri turi būti nuolat atnaujinama.

38. El. pašto programa turi būti periodiškai atnaujinama, įdiegiamos jos gamintojo rekomenduojamos pataisos ar naujausia el. pašto programos versija.

39. Naudotojams draudžiama atidarinėti neaiškios kilmės gautų elektroninių laiškų priedus – ypač su vykdomųjų bylų išplėtimais (exe, scr, com, pif, vbs, bat, cmd, dll ir pan.). Jei įtartinas priedas gautas iš patikimo siuntėjo – būtina susisiekti su siuntėju (pageidautina – ne el. paštu) prieš bandant šį priedą atidaryti.

40. Registro tvarkytojo patalpose belaidžiu tinklu nesinaudojama.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

41. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

42. Saugos įgaliotinis turi išmanyti saugos užtikrinimo principus, darbą su kompiuterių tinklais, turėti darbo su operacinėmis sistemomis, taikomosiomis programomis patirties. Savo darbe turi vadovautis Saugos nuostatų 13 punkte nurodytais teisės aktais.

43. Administratorius turi išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą, išmanyti elektroninės informacijos saugos užtikrinimo principus. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais. Savo darbe turi vadovautis Saugos nuostatų 13 punkte nurodytais teisės aktais.

44. Naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su šiais Saugos nuostatais, kitais saugos politiką reglamentuojančiais dokumentais bei teisės aktais,  reglamentuojančiais asmens duomenų tvarkymą.

45. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja naudotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problematiką.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS

DOKUMENTAIS PRINCIPAI

 

46. Naudotojų supažindinimą su šiais Saugos nuostatais bei kitais saugos politiką reglamentuojančiais dokumentais vykdo saugos įgaliotinis. Su minėtais dokumentais naudotojai supažindinami dokumentų valdymo sistemoje „Kontora“. Pakartotinai su minėtais dokumentais naudotojai supažindinami iš esmės pasikeitus saugos dokumentams.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

47. Registro duomenų įgaliotinis, saugos įgaliotinis, administratorius ir naudotojai, pažeidę šių Saugos nuostatų reikalavimus, atsako teisės aktų nustatyta tvarka.

__________________________

 

 

Priedo pakeitimai:

Nr. V-975, 2014-09-22, paskelbta TAR 2014-09-30, i. k. 2014-13239

Nr. V-905, 2020-04-17, paskelbta TAR 2020-04-20, i. k. 2020-08229

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-975, 2014-09-22, paskelbta TAR 2014-09-30, i. k. 2014-13239

Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymo Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-905, 2020-04-17, paskelbta TAR 2020-04-20, i. k. 2020-08229

Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymo Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo