Suvestinė redakcija nuo 2020-05-26

 

Įsakymas paskelbtas: TAR 2016-02-18, i. k. 2016-03022

 

Nauja redakcija nuo 2020-05-26:

Nr. V-1277, 2020-05-25, paskelbta TAR 2020-05-25, i. k. 2020-11037

 

LIETUVOS REPSUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO

 

2016 m. vasario 17 d. Nr. V-269
Vilnius

 

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2, 7.3 ir 7.4 papunkčiais:

1.     Tvirtinu pridedamus:

1.1.  Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisykles;

1.2.  Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo planą;

1.3.  Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisykles.

2.  Pavedu įsakymo vykdymo kontrolę viceministrui pagal veiklos sritį.

 

 

 

 

 

Sveikatos apsaugos ministrė                                                       Rimantė Šalaševičiūtė

 

 

PATVIRTINTA

Lietuvos Respublikos sveikatos

apsaugos ministro 2016 m.

vasario 17 d. įsakymu Nr. V-269

(Lietuvos Respublikos sveikatos

apsaugos ministro 2020 m.

gegužės 25 d. įsakymo Nr. V-1277

redakcija)

 

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.           Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) naudotojų, Registro administratoriaus, Registro saugos įgaliotinio ir Registro duomenų įgaliotinio veiksmus, užtikrinančius saugų Registro techninės ir programinės įrangos funkcionavimą, duomenų tvarkymą bei būtinus Registro elektroninės informacijos techninius saugos reikalavimus.

2.           Tvarkymo taisyklės parengtos vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2.  Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

2.8.  Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);

2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.12. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

3.           Tvarkymo taisyklės privalomos Registro naudotojams, Registro administratoriui, Registro saugos įgaliotiniui ir Registro duomenų įgaliotiniui. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis.

4.           Tvarkymo taisyklėse vartojamos sąvokos:

4.1.        Registro naudotojas – Registro tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti (toliau – vidinis Registro naudotojas), arba sveikatos priežiūros ir farmacijos specialistas, turintis teisę peržiūrėti su juo pačiu susijusią Registro elektroninę informaciją;

4.2.        kitos Tvarkymo taisyklėse vartojamos sąvokos atitinka Tvarkymo taisyklių 2 punkte nurodytuose teisės aktuose vartojamas sąvokas.

5.           Registro elektroninę informaciją sudaro duomenys, nurodyti Registro nuostatų III skyriuje.

6.           Registre tvarkoma informacija priskiriama svarbios elektroninės informacijos kategorijai ir skirstoma į šias grupes:

6.1.        Registro administratoriaus tvarkoma informacija:

6.1.1.   Registro klasifikatoriai;

6.1.2.   Registro naudotojų teisės;

6.1.3.   Registro naudotojų unikalus identifikatorius;

6.1.4.    Registro duomenų užklausų inicijavimo ir teikimo duomenys (Registro duomenų užklausos laikas, registro duomenų perdavimo laikas);

6.1.5.    asmenų, įrašiusių duomenis į Registrą arba juos patikslinusių, duomenys;

6.1.6.    kiti techniniai duomenys, reikalingi Registro duomenų teikimo stebėjimui atlikti;

6.2.        vidinių Registro naudotojų tvarkoma informacija, apimanti Registro nuostatų III skyriuje nurodytus duomenis.

 

 

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

 

 

7.           Registro kompiuterinės įrangos saugos priemonės:

7.1.        tiesioginė prieiga prie Registro tarnybinių stočių leidžiama tik Registro administratoriui ir Duomenų ir dokumentų valdymo skyriaus vedėjui, išskyrus atvejus, kai atliekant kompiuterinės ir programinės įrangos paleidimo, derinimo ar kitus darbus nustatyta tvarka ji gali būti suteikta asmeniui, atliekančiam nuodytus darbus;

7.2.        kompiuterinė įranga, kurioje saugomi duomenys, ir jos palaikymo infrastruktūra turi būti fiziškai apsaugota nuo neteisėtos prieigos, vagystės, sugadinimo ar kito įsikišimo;

7.3.        tarnybinės stotys turi būti apsaugotos nuo trumpalaikio elektros srovės nutrūkimo ir elektros įtampos svyravimų;

7.4.        Registro kompiuterinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų;

7.5.        visa kompiuterinė įranga į tarnybinių stočių patalpas įnešama ir išnešama iš jų tik Registro administratoriui leidus;

7.6.        kitos kompiuterinės įrangos saugos priemonės nustatytos Duomenų saugos nuostatuose.

8.           Registro sisteminės ir taikomosios programinės įrangos saugos priemonės:

8.1.        turi būti naudojama tik legali sisteminė ir taikomoji programinė įranga;

8.2.        teisę dirbti su Registro administravimo programine įranga turi tik Registro administratorius, Registro tvarkytojo skyriaus, vykdančio duomenų ir dokumentų valdymą,  vedėjas ir (ar) Registro techninės ir (ar) programinės įrangos vystymo ar priežiūros paslaugų teikėjas (toliau – paslaugų teikėjas);

8.3.        prisijungimo prie tarnybinių stočių vardai ir slaptažodžiai turi būti žinomi tik Registro administratoriui, jo nesant – Registro administratorių pavaduojančiam asmeniui;

8.4.        programinis kodas apsaugomas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir Registro duomenims. Naudojamos programinės priemonės – tinklo užkardos;

8.5.        prieigos teisė dirbti su Registro taikomąja programine įranga suteikiama vidiniams Registro naudotojams Registro naudotojų administravimo taisyklių nustatyta tvarka;

8.6.        Registro duomenys turi būti apsaugoti techninėmis, organizacinėmis, programinėmis priemonėmis nuo jų praradimo, iškraipymo, sunaikinimo ir nesankcionuoto naudojimo;

8.7.        techninėje ir programinėje įrangoje draudžiama naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus;

8.8.        kitos sisteminės ir taikomosios programinės įrangos saugos priemonės nurodytos Duomenų saugos nuostatuose.

9.           Elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės:

9.1.        informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę; ugniasienės įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

9.2.        nuotolinis prisijungimas turi būti vykdomas protokolu, skirtu duomenų šifravimui;

9.3.        kitos elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės nurodytos Duomenų saugos nuostatuose.

10.         Registro tarnybinių stočių patalpų (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

10.1.      patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;

10.2.      patalpose turi būti įrengtas šildymas, vėdinimas ir oro kondicionavimas;

10.3.      patalpos turi būti atskirtos nuo bendro naudojimo patalpų, įrengta langų ir durų fizinė apsauga;

10.4.      patekti į patalpas gali tik tie asmenys, kuriems tai būtina atliekant nustatytas funkcijas; įėjimo į patalpas kontrolę vykdo Registro administratorius ir Duomenų ir dokumentų valdymo skyriaus vedėjas;

10.5.      trečiųjų šalių atstovai ir kiti asmenys į patalpas gali patekti ar dirbti jose tik lydimi Registro administratoriaus arba Duomenų ir dokumentų valdymo skyriaus vedėjo;

10.6.      patalpose, kuriose yra Registro kompiuterinė įranga, turi būti užtikrintos gamintojo rekomenduojamos kompiuterinės įrangos darbo sąlygos.

11.         Kitos Registro elektroninės informacijos saugos užtikrinimo priemonės – Registro tarnybinėse stotyse įrašomi duomenys apie tarnybinių stočių, taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus naudotis Registro tarnybinėmis stotimis, taikomąja programine įranga, naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką; šiuos duomenis ne rečiau kaip kartą per mėnesį analizuoja Registro administratorius, esant poreikiui apie tai informuoja Duomenų ir dokumentų valdymo skyriaus vedėją.

 

 

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

12. Registro duomenis įveda, keičia, atnaujina ir naikina vidiniai Registro naudotojai pagal suteiktas prieigos teises.

13. Vidinio Registro naudotojo atleidimo iš užimamų pareigų atveju, Registre esančius vidinio Registro naudotojo sukauptus nenaudojamus duomenis naikina Registro administratorius.

14. Registre taikomos programinės priemonės naudotojų tapatybei nustatyti ir jų veiksmams su duomenimis fiksuoti.

15. Registro duomenys kitoms informacinėms sistemoms teikiami Registro nuostatų nustatyta tvarka.

16. Naudotojų veiksmų registravimo tvarka:

16.1 Registro naudotojų veiksmai automatiniu būdu įrašomi Registro duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ir sunaikinimo;

16.2. Duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio programinei įrangai ir duomenims šaltinį, laiką, ketinimus ar veiksmus;

16.3. Registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Registro administratoriui;

16.4. Registro naudotojų veiksmai registruojami šiomis priemonėmis: įvykių žurnalo apžvalga, vykdomų užduočių apžvalga, kompiuterinio tinklo stebėsena, įdiegtų programų apskaitos analizė, tarnybinių stočių naudojimo pranešimų žurnalas.

17. Duomenų kopijų darymas:

17.1. Registro duomenų kopijos daromos kiekvieną darbo dieną, esant aktyviai duomenų bazei;

17.2. duomenų saugykloje realiuoju laiku yra dubliuojami visi Registro duomenys;

17.3 diskų masyve turi būti saugomos duomenų kopijos ir kita informacija, reikalinga duomenims atkurti;

17.4. elektroninė informacija atsarginėse kopijose turi būti užšifruota (šifravimo raktai saugomi atskirai nuo kopijų) arba imtasi kitų priemonių siekiant išvengti kopijų panaudojimo neteisėtam elektroninės informacijos atkūrimui;

17.5. duomenų kopijos turi būti prieinamos tik Registro administratoriui;

17.6. už duomenų atkūrimą iš duomenų kopijų atsakingas Registro administratorius.

18. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:

18.1. elektroninės informacijos mainai tarp susijusių registrų bei kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose elektroninės informacijos teikimo sutartyse numatytais būdais, terminais ir numatyta apimtimi;

18.2. elektroninės informacijos teikimo sutartyse turi būti numatyti įsipareigojimai neatskleisti pagal sutartį gautos elektroninės informacijos ar suteikti kitokios galimybės bet kokia forma su ja susipažinti tretiesiems asmenims bei įsipareigojimai užtikrinti gautos elektroninės informacijos saugą.

19. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

19.1. naudotojams kilus įtarimui, kad su Registro duomenimis yra vykdoma neteisėta veikla, jie privalo nedelsiant apie tai informuoti Registro administratorių, kuris iškart turi reaguoti į tokį pranešimą ir imtis visų įmanomų veiksmų, reikalingų neteisėtai veiklai su duomenimis užkirsti;

19.2. Registro administratorius privalo naudoti visas turimas ir įmanomas technines, programines ir administracines priemones, skirtas apsaugoti duomenis nuo neteisėtos veiklos;

19.3. Registro administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su elektronine informacija, pasinaudojęs duomenų bazės veiksmų žurnalo įrašais bei kitomis priemonėmis, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su programine įranga ir elektronine informacija;

19.4. Registro administratorius, patikrinęs Duomenų saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų reikalavimų pažeidimus, privalo nedelsdamas apie tai pranešti saugos įgaliotiniui.

20. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

20.1. programinė ir techninė įranga keičiama ir (ar) atnaujinama, vadovaujantis gamintojo rekomendacijomis;

20.2. programinę ir techninę įrangą keičia ir (ar) atnaujina tik įgalioti asmenys – Registro administratorius ir (ar) išoriniai paslaugų teikėjai pagal paslaugų teikimo sutartį;

20.3. jeigu programinė ir (ar) techninė įranga keičiama ir (ar) atnaujinama iš esmės, įgyvendinamas pokytis pagal Tvarkymo taisyklių 21 punkte nustatytą pokyčių valdymo tvarką.

21. Pokyčių valdymo tvarka:

21.1. kiekvienas pokytis turi būti suplanuotas, atsižvelgiant į pokyčio svarbą, aktualumą, poreikį, apimant pokyčio identifikavimą, priskyrimą kategorijai pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą, pokyčio prioriteto nustatymą bei pokyčio atlikimo tvarką;

21.2. pokyčius turi teisę inicijuoti Registro duomenų valdymo įgaliotinis, Registro saugos įgaliotinis ar Registro administratorius, o įgyvendinti – Registro administratorius;

21.3. pokyčius planuoja juos iniciavęs asmuo arba specialiai tvarkytojo vadovo sudaryta darbo grupė;

21.4. jei yra sudaroma paslaugų teikimo sutartis dėl papildomo funkcionalumo kūrimo ar modernizavimo, pokyčių įgyvendinimo tvarka nustatoma paslaugų teikimo sutartyje;

21.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Registro darbą, suderinami su tvarkytojo vadovu;

21.6. pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti aplinkoje, atskirtoje nuo eksploatuojamo Registro;

21.7. Registro administratorius naudotojams privalo pateikti visą reikalingą informaciją apie naudojimosi Registru pakitimus, kurių atsiradimas susijęs su įvykdytais arba vykdomais pokyčiais.

22. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:

22.1. nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai naudojami tik tarnybinėms funkcijoms vykdyti;

22.2. nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai naudotojams perduodami tik pasirašius perdavimo-priėmimo aktą.

 

 

IV SKYRIUS

REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

23. Registro administratorius ir skyriaus, atsakingo už duomenų ir dokumentų valdymą,  skyriaus vedėjas yra atsakingi už prieigos prie Registro programinių, techninių ir kitų išteklių paslaugų teikėjui suteikimą ir panaikinimą.

24. Registro administratorius suteikia paslaugų teikėjui tik tokią prieigą prie Registro programinių, techninių ir kitų išteklių, kokia yra būtina norint vykdyti Registro vystymo ir priežiūros paslaugas.

25. Reikalavimai, keliami paslaugų teikėjams ir jų teikiamoms paslaugoms:

25.1. reikalavimai paslaugų teikėjams ir jų teikiamoms paslaugoms nustatomi šių paslaugų teikimo sutartyse;

25.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas Registro taikomąją programinę įrangą kuria, modifikuoja ar vykdo jos priežiūrą naudodamas:

25.2.1. įgyvendintas elektroninės informacijos saugos nuo nesankcionuoto poveikio sisteminei, taikomajai programinei įrangai, duomenų saugai ir patalpoms priemones;

25.2.2. Registro testinės duomenų bazės duomenis (Registro taikomajai programinei įrangai modifikuoti);

25.2.3. tik sertifikuotą sisteminę programinę įrangą;

25.3. paslaugų teikėjai teikdami paslaugas turi užtikrinti atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

26. Registro administratorius privalo supažindinti Registro paslaugų teikėją su suteiktos prieigos prie Registro saugos reikalavimais ir sąlygomis.

27. Pasibaigus sutarties su paslaugų teikėju galiojimo terminui ar atsiradus kitoms sąlygoms, Registro administratorius privalo per 1 darbo dieną panaikinti paslaugų teikėjui prieigą prie Registro išteklių.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

28. Asmenys, pažeidę Tvarkymo taisyklių reikalavimus, atsako teisės aktų nustatyta tvarka.

__________

 

PATVIRTINTA

Lietuvos Respublikos sveikatos

apsaugos ministro 2016 m.

vasario 17 d. įsakymu Nr. V-269

(Lietuvos Respublikos sveikatos

apsaugos ministro 2020 m.

gegužės 25 d. įsakymo Nr. V-1277

redakcija)

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) administratoriaus, Registro saugos įgaliotinio, Registro naudotojų veiksmus esant elektroninės informacijos saugos incidentui, įskaitant ir kibernetiniam (toliau – saugos incidentas), kurio metu gali kilti pavojus Registro duomenims, techninės bei programinės įrangos funkcionavimui.

2.     Valdymo planas parengtas vadovaujantis:

2.1.  Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2.  Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

2.8.  Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);

2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.12. Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas);

2.13. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

3.       Valdymo planas įsigalioja įvykus saugos incidentui ir galioja tol, kol bus atkurta Registro veikla. Valdymo planas privalomas Registro tvarkytojui, Registro valdytojui, Registro saugos įgaliotiniui, Registro administratoriui ir Registro naudotojams.

4.       Saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų nustatyta tvarka, įsigijimo ištekliai padengiami iš valstybės biudžeto ir kitų šaltinių.

5.       Kriterijai, pagal kuriuos nustatoma, kad Registro veikla atkurta:

5.1.    Registro duomenų atnaujinimas;

5.2.    Registro duomenų išsaugojimas;

5.3.    nuolatinis Registro duomenų teikimas fiziniams, juridiniams asmenims ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

6.       Registrui neveikiant ar veikiant iš dalies, jo veikla turi būti atkurta per 8 valandas.

7.       Registro prieinamumas turi būti užtikrintas ne mažiau kaip 90 proc. laiko visą parą.

8.       Saugos incidento metu Registro veiklai atkurti reikalingi finansiniai ištekliai yra padengiami iš valstybės biudžeto.

 

 

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

 

9.       Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (toliau – Akreditavimo tarnyba), kaip Registro tvarkytoja, įvykus saugos incidentui, atlieka šias funkcijas:

9.1.    užtikrina Registro saugos incidentų valdymą ir tyrimą;

9.2.    registruoja įvykusius saugos incidentus ir nedelsdama į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

9.3.    informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) apie Registre įvykusius saugos incidentus ir taikytas saugos incidentų valdymo priemones Nacionalinio kibernetinių incidentų valdymo plano ir Nacionalinio kibernetinio saugumo centro nustatyta tvarka;

9.4.    teikia Sveikatos apsaugos ministerijai, kaip Registro valdytojai, informaciją apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais ir taikytas saugos incidentų valdymo priemones, Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, nustatyta tvarka;

9.5.    teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti.

10.     Saugos incidentams valdyti bei veiklos atkūrimui organizuoti Akreditavimo tarnybos direktoriaus įsakymu sudaroma:

10.1. Registro veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė);

10.2. Registro veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

11.     Valdymo grupės sudėtis:

11.1.  Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už pacientų teisių priežiūrą ir sveikatos priežiūros paslaugų prieinamumo ir kokybės atitikties teisės aktų reikalavimams vertinimą (Valdymo grupės vadovas);

11.2.  Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už duomenų ir dokumentų valdymą bei licencijavimą (Valdymo grupės vadovo pavaduotojas);

11.3.  Akreditavimo tarnybos Duomenų ir dokumentų valdymo skyriaus vedėjas;

11.4.  Akreditavimo tarnybos Teisės ir bendrųjų reikalų skyriaus vedėjas;

11.5.  Registro saugos įgaliotinis;

11.6.  Akreditavimo tarnybos Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams;

11.7.  kiti Akreditavimo tarnybos direktoriaus įsakymu paskirti specialistai arba veikiantys pagal sutartį juridinių asmenų atstovai.

12.     Valdymo grupės funkcijos:

12.1.  situacijos analizė ir sprendimų Registro veiklos tęstinumo valdymo klausimais priėmimas;

12.2.  bendravimas su Registro naudotojais;

12.3.  bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

12.4.  bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

12.5.  bendravimas su teisėsaugos ir kitomis institucijomis, kitomis interesų grupėmis;

12.6.  finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;

12.7.  Registro elektroninės informacijos fizinė sauga, įvykus saugos incidentui;

12.8.  logistika (žmonių, daiktų, įrangos gabenimo organizavimas);

12.9.  Registro veiklos atkūrimo priežiūra ir koordinavimas;

12.10. kitos Valdymo grupei Registro tvarkytojo pavestos funkcijos.

13.     Atkūrimo grupės sudėtis:

13.1.  Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už duomenų ir dokumentų valdymą bei licencijavimą (Atkūrimo grupės vadovas);

13.2.  Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už pacientų teisių priežiūrą ir sveikatos priežiūros paslaugų prieinamumo ir kokybės atitikties teisės aktų reikalavimams vertinimą (Atkūrimo grupės pavaduotojas);

13.3.  Registro saugos įgaliotinis;

13.4.  Akreditavimo tarnybos Duomenų ir dokumentų valdymo skyriaus vedėjas;

13.5.  Registro administratorius;

13.6.  Akreditavimo tarnybos Teisės ir bendrųjų reikalų skyriaus vedėjas;

13.7.  kiti Akreditavimo tarnybos direktoriaus įsakymu paskirti specialistai arba veikiantys pagal sutartį juridinių asmenų atstovai.

14.     Atkūrimo grupės funkcijos:

14.1.  Registro veiklos atkūrimo priežiūra ir koordinavimas;

14.2.  Registro tarnybinių stočių veiklos atkūrimo organizavimas;

14.3.  kompiuterių tinklo veikimo atkūrimo organizavimas;

14.4.  Registro elektroninės informacijos atkūrimo organizavimas;

14.5.  taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

14.6.  darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

14.7.  kitos Atkūrimo grupei Registro tvarkytojo pavestos funkcijos.

15.     Valdymo ir Atkūrimo grupės tarpusavyje bendrauja elektroniniu paštu ar telefonu. Esant poreikiui, rengia susitikimus esamai situacijai aptarti.

16.     Įvykus saugos incidentui:

16.1Registro naudotojai apie saugos incidentą nedelsdami informuoja Registro administratorių, o Registro administratorius – Registro saugos įgaliotinį;

16.2.  Registro saugos įgaliotinis apie saugos incidentą nedelsdamas informuoja Registro tvarkytojo vadovą;

16.3.  Registro saugos įgaliotinis informaciją įrašo į Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos incidentų registravimo žurnalą (toliau – Žurnalas) (Valdymo plano 2 priedas), vadovaudamasis Nacionaliniame kibernetinių incidentų valdymo plane nustatytais kibernetinių incidentų priskyrimo konkrečiai kategorijai vertinimo kriterijais, vertina saugos incidentą bei, pasitvirtinus įtarimui dėl saugos incidento, atsižvelgdamas į  veiklos Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos atkūrimo detaliajame plane (Valdymo plano 1 priedas) nustatytą poreikį, informuoja kitus atsakingus asmenis, vadovauja Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

16.4.  Registro administratorius organizuoja saugos incidentų plėtros stabdymo veiksmus, atkuria Registro techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, duomenis, techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie atliktus veiksmus nedelsdamas informuoja Registro saugos įgaliotinį;

16.5.  Registro saugos įgaliotinis kartu su Registro administratoriumi organizuoja žalos Registro duomenims, techninei, programinei įrangai vertinimą, koordinuoja Registro veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.

17. Kibernetinių incidentų tyrimas ir vertinimas atliekamas vadovaujantis Nacionaliniu kibernetiniu incidentų valdymo planu ir Valdymo planu, imantis visų įmanomų priemonių, būtinų kibernetiniam incidentui suvaldyti ir įprastai ryšių ir informacinių sistemų veiklai atkurti.

18. Nacionaliniam kibernetinio saugumo centrui pranešama apie:

18.1.  didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;

18.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;

18.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių.

19. Sveikatos apsaugos ministerijai pranešama apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

20. Policijai pranešama apie saugos incidentus, turinčius nusikalstamos veikos požymių. 

21. Saugos įgaliotinis, nustatęs aplinkybes, dėl kurių saugos incidentas gali turėti didesnių, nei manyta, padarinių, arba nustatęs, kad saugos incidento padariniai neatitinka numatytų kriterijų, turi teisę perkvalifikuoti saugos incidentą į kitą kategoriją.

22. Tiriant Registro saugos incidentus, saugos įgaliotinis turi teisę gauti informaciją iš visų veiklos tęstinumo atstatyme dalyvavusių ir kitų galinčių turėti reikiamos informacijos darbuotojų.

23. Atlikus nereikšmingo kibernetinio incidento tyrimą, saugos įgaliotinis informaciją apie saugos incidento aplinkybes ir jo sprendimą fiksuoja Žurnale.

24. Atlikus didelio ar vidutinio poveikio kibernetinio incidento tyrimą, saugos įgaliotinis parengia saugos incidento ataskaitą, kurioje išdėsto saugos incidento aplinkybes, priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, informaciją apie saugos incidento aplinkybes ir jo sprendimą fiksuoja Žurnale.

25. Atsarginėms patalpoms, naudojamoms Registro veiklai atkurti elektroninės informacijos saugos incidento atveju, taikomi Registro saugaus elektroninės informacijos tvarkymo taisyklėse nurodyti reikalavimai. Atsarginių patalpų, naudojamų Registro veiklai atkurti saugos incidento atveju, adresas ir būdai, kaip iki jų nuvykti, yra pateikti Valdymo plano 3 priede.

 

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

 

 

26. Dokumentą, kuriame nurodyti Registro informacinių technologijų įrangos parametrai, už šios įrangos priežiūrą atsakingas Registro administratorius ir minimalus reikiamos kompetencijos ar žinių lygis Registro veiklai atkurti nesant Registro administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

27. Dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus saugos incidentui, specifikacija, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

28. Dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

29. Dokumentą, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

30. Dokumentą, kuriame nurodyti programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

31. Dokumentą, kuriame nurodytas Valdymo grupės ir Atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.

32. Už šiame skyriuje nurodytų dokumentų saugojimą atsakingas Registro administratorius.

33. Akreditavimo tarnybos patalpų, kuriose yra Registro kompiuterinė bei programinė įranga, detalūs planai ir brėžiniai yra saugomi Teisės ir bendrųjų reikalų skyriuje.

 

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

 

 

34. Valdymo plano veiksmingumas išbandomas kartą per metus. Valdymo plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojamas saugos incidentas. Jo metu už saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Atsarginėje Registro stotyje iš atsarginių Registro duomenų kopijų atkuriami Registro duomenys.

35. Registro saugos įgaliotinis parengia Registro plano veiksmingumo išbandymo metu pastebėtų trūkumų ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, nurodomi pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Akreditavimo tarnybos direktorius.

36. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

________________________

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano

1 priedas

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO VEIKLOS ATKŪRIMO DETALUSIS PLANAS

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) elektroninės informacijos saugos incidentas

Registro veiklos atkūrimo užduotys

Registro veiklos atkūrimo priemonės

Atsakingi vykdytojai

1. Manipuliacija elektronine informacija (pavyzdžiui, elektroninės informacijos, įskaitant Registro programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas).

1.1. Elektroninės informacijos saugos incidento analizė.

1.1.1. Nustatomas atakos šaltinis, elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija.

1.1.2. Stabdomas pažeistos elektroninės informacijos teikimas

1.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys.

1.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys.

Registro veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovo pavaduotojas

Registro saugos įgaliotinis

Registro tvarkytojo Duomenų ir dokumentų valdymo skyriaus (toliau – Duomenų ir dokumentų valdymo skyrius) vedėjas

Veikiantys pagal sutartį juridinių asmenų atstovai

1.2.  Veiksmų plano sudarymas.

1.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, Registro veiklai atkurti ir Registrui apsaugoti.

Registro veiklos atkūrimo grupės (toliau – Atkūrimo grupė)vadovas

Duomenų ir dokumentų valdymo skyriaus vedėjas

Registro saugos įgaliotinis

Veikiantys pagal sutartį juridinių asmenų atstovai

1.3.  Padarinių likvidavimas ir veiklos atkūrimas.

1.3.1. Likviduojami elektroninės informacijos saugos incidento padariniai, atkuriamas Registro veikimas, diegiamos Registro apsaugos priemonės.

1.3.2. Jeigu Registro veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų,  tikrinama,  ar atkurta elektroninė informacija yra teisinga.

1.3.3. Jeigu nėra galimybės elektroninės informacijos tinkamai atkurti iš atsarginių kopijų, informacinių sistemų duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo.

1.3.4. Atkuriamas elektroninės informacijos paslaugų teikimas.

1.3.5. Prireikus veikla atkuriama atsarginėse patalpose.

Atkūrimo grupės vadovas

Duomenų ir dokumentų valdymo skyriaus vedėjas

Registro saugos įgaliotinis

Registro administratorius

Registro tvarkytojo Teisės ir bendrųjų reikalų skyriaus (toliau – Teisės ir bendrųjų reikalų skyrius) vyriausiasis specialistas ūkio reikalams

2. Ryšio sutrikimas.

 

2.1.  Ryšio sutrikimo priežasties nustatymas.

2.1.1. Aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl  įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl  ryšio sutrikimo trukmės bei prognozuojamo sutrikimo pašalinimo laiko.

 

Registro saugos įgaliotinis

Registro administratorius

Duomenų ir dokumentų valdymo skyriaus vedėjas

Veikiantys pagal sutartį juridinių asmenų atstovai

2.2.  Ryšio sutrikimo pašalinimo priemonių plano sudarymas

2.2.1. Priemonių nustatymas sutrikimams pašalinti.

Veiklos atkūrimo grupės vadovas

Duomenų ir dokumentų valdymo skyriaus vedėjas

 

2.3.  Ryšio sutrikimo pašalinimas.

2.3.1. Priemonių įgyvendinimas.

Registro administratorius

Veikiantys pagal sutartį juridinių asmenų atstovai

Valdymo grupės vadovo pavaduotojas

3. Kritinis Registro tvarkytojo techninės įrangos gedimas, praradimas (pavyzdžiui, techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavimo įrangos gedimas, šios įrangos vagystė arba sugadinimas).

 

3.1.  Elektroninės informacijos saugos incidento analizė.

3.1.1. Nustatomas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga.

Registro saugos įgaliotinis

Registro administratorius

Duomenų ir dokumentų valdymo skyriaus vedėjas

Veikiantys pagal sutartį juridinių asmenų atstovai

3.1.2. Nustatomi ir įvertinami įvykio padariniai, žala.

Registro saugos įgaliotinis

Registro administratorius

Veikiantys pagal sutartį juridinių asmenų atstovai

3.2.  Veiksmų plano sudarymas.

3.2.1. Sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai:

3.2.1.1.  esant galimybei, naudoti kitos turimos techninės įrangos išteklius;

3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją;

3.2.1.3. vykdyti viešąjį techninės įrangos pirkimą;

3.2.1.4. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą).

3.2.2.  Prireikus numatomas finansinių ir kitokių išteklių poreikis Registro veiklai atkurti.

Valdymo grupės vadovas

Valdymo grupės vadovo pavaduotojas

Atkūrimo grupės vadovas

Registro saugos įgaliotinis

Registro administratorius

Duomenų ir dokumentų valdymo skyriaus vedėjas

Veikiantys pagal sutartį juridinių asmenų atstovai

Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams

3.3.  Padarinių likvidavimas ir veiklos atkūrimas.

3.3.1. Registro veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų.

Registro saugos įgaliotinis

Registro administratorius

Duomenų ir dokumentų valdymo skyriaus vedėjas

Veikiantys pagal sutartį juridinių asmenų atstovai

Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams

 

4. Stichinė nelaimė, avarija, Registro tvarkytojo patalpų praradimas, pažeidimas (pavyzdžiui, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio kiekio pavojingų medžiagų išsiveržimas į aplinką).

4.1.  Standartinių veiksmų vykdymas.

 

4.1.1. Veiksmų, nustatytų Registro tvarkytojo darbuotojų saugos ir sveikatos įvadinėse instrukcijose ir kituose teisės aktuose, vykdymas.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą

Registro saugos įgaliotinis

5. Registro tvarkytojo patalpų užgrobimas.

5.1. Teisėsaugos institucijų informavimas.

5.1.1. Apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos.

5.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas.

Valdymo grupės vadovas

Valdymo grupės vadovo pavaduotojas

Teisės ir bendrųjų reikalų skyriaus vedėjas

Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą

5.2.  Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija.

5.2.1. Draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymai.

5.2.2. Darbuotojų informavimas apie evakavimą.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą

5.3. Patalpų užrakinimas, jei yra galimybė.

5.3.1. Teisėsaugos institucijų nurodymų vykdymas.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą

 

 

5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija.

5.4.1. Darbuotojų informavimas apie nurodymų vykdymą.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą

5.5. Veiksmai atlaisvinus užgrobtas patalpas.

 

5.5.1. Padarytos žalos įvertinimas.

5.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas.

Valdymo grupės vadovas

Valdymo grupės vadovo pavaduotojas

Atkūrimo grupės vadovas

Registro administratorius

Veikiantys pagal sutartį juridinių asmenų atstovai

Teisės ir bendrųjų reikalų skyriaus vedėjas

 

6. Komunalinių paslaugų teikimo Registro tvarkytojo patalpose sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas).

 

6.1.  Incidento analizė.

6.1.1. Pagal kompetenciją nustatomos galimos komunalinių paslaugų tiekimo sutrikimo priežastys.

6.1.2. Informuojami komunalinių paslaugų teikėjai.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams

6.2.  Veiksmų plano sudarymas.

6.2.1. Sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti.

Teisės ir bendrųjų reikalų skyriaus vedėjas

Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams

6.3.  Padarinių likvidavimas ir veiklos atkūrimas.

6.3.1. Organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas.

Teisės ir bendrųjų reikalų skyriaus vedėjas

 

7. Registro tvarkytojo darbuotojų praradimas (pavyzdžiui, nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus).

7.1.  Elektroninės informacijos saugos incidento analizė.

7.1.1. Nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti.

7.1.2. Nustatoma, kokia darbuotojų kompetencija reikalinga svarbiems procesas vykdyti.

 

Duomenų ir dokumentų valdymo skyriaus vedėjas

Teisės ir bendrųjų reikalų skyriaus vedėjas

 

7.2.  Veiklos atkūrimas.

7.2.1. Trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus apmokomi esami darbuotojai.

7.2.2. Vykdoma naujų darbuotojų paieška ir atliekamos įdarbinimo procedūros.

Duomenų ir dokumentų valdymo skyriaus vedėjas

Teisės ir bendrųjų reikalų skyriaus vedėjas

 

______________________

 

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano

2 priedas

 

(Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS 

 

Pildymo pradžia 20___ m. ___________ d.

 

 

Eil. Nr.

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) elektroninės informacijos saugos incidentas (toliau – incidentas)

 

 

 

Incidento požymio kodas

 

 

 

 

 

Incidento aprašymas

 

Pradžia

 

(metai, mėnuo, diena, valanda)

 

Pabaiga

 

(metai, mėnuo, diena, valanda)

 

Incidentą pašalino

 

(vardas, pavardė)

 

Registro saugos įgaliotinis (vardas, pavardė, parašas)

 

1

 

 

 

 

 

 

2

 

 

 

 

 

 

3

 

 

 

 

 

 

 

4

 

 

 

 

 

 

 

5

 

 

 

 

 

 

 

6

 

 

 

 

 

 

 

Incidento požymių kodai:

1.  Manipuliacija elektronine informacija. 2. Ryšio sutrikimas. 3. Kritinis Registro tvarkytojo techninės įrangos gedimas, praradimas. 4. Stichinė nelaimė, avarija, Registro tvarkytojo patalpų praradimas, pažeidimas. 5. Registro tvarkytojo patalpų užgrobimas. 6. Komunalinių paslaugų teikimo Registro tvarkytojo patalpose sutrikimai. 7. Registro tvarkytojo darbuotojų praradimas

_______________________

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano

3 priedas

 

ATSARGINIŲ PATALPŲ, NAUDOJAMŲ SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO VEIKLAI ATKURTI SAUGOS INCIDENTO ATVEJU, ADRESAS IR BŪDAI, KAIP IKI JŲ NUVYKTI

 

1. Atsarginių patalpų adresas: Vilniaus g. 33, Vilnius.

2. Atsarginių patalpų vieta žemėlapyje:

 

 

_______________________

 

 

 

PATVIRTINTA

Lietuvos Respublikos sveikatos

apsaugos ministro 2016 m.

vasario 17 d. įsakymu Nr. V-269

(Lietuvos Respublikos sveikatos

apsaugos ministro 2020 m.

gegužės 25 d. įsakymo Nr. V-1277

redakcija)

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) naudotojų ir Registro administratoriaus įgaliojimus, teises, pareigas ir saugaus Registre tvarkomų duomenų teikimo naudotojams kontrolės tvarką.

2.   Administravimo taisyklės parengtos vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

2.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);

2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.12. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

3.       Administravimo taisyklės taikomos visiems Registro naudotojams ir Registro administratoriui.

4.       Administravimo taisyklėse vartojamos sąvokos:

4.1. Registro naudotojas – Registro tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Registro ištekliais savo funkcijoms atlikti (toliau – vidinis Registro naudotojas), arba sveikatos priežiūros ar farmacijos specialistas, turintis teisę peržiūrėti su juo pačiu susijusią Registro elektroninę informaciją;

4.2. kitos Administravimo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Administravimo taisyklių 2 punkte nurodytuose teisės aktuose.

5.       Prieiga prie Registro duomenų Registro naudotojams suteikiama vadovaujantis šiais duomenų saugumo principais: konfidencialumo (prie Registre saugomų duomenų prieigą gali gauti tik tie Registro naudotojai, kuriems tokia teisė buvo suteikta), vientisumo (Registre saugomus duomenis gali tvarkyti (sukurti, ištrinti, papildyti) tik tokius įgaliojimus turintis Registro naudotojas), prieinamumo (Registro naudotojai neturi savo veiksmais sutrikdyti nepertraukiamos Registro veiklos).

6.       Registro priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą Registro administratoriaus paskyrą, kuria naudojantis negalima atlikti Registro naudotojo funkcijos.

7.       Registro naudotojams negali būti suteikiamos Registro administratoriaus teisės.

8.       Registro dalys, atliekančios nuotolinio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius.

 

II SKYRIUS

REGISTRO NAUDOTOJŲ IR ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS

 

 

9.       Vidiniai Registro naudotojai turi teisę rinkti, tvarkyti, perduoti, saugoti ar kitaip naudoti Registro elektroninę informaciją tik atlikdami savo tiesiogines funkcijas. Registro naudotojai – sveikatos priežiūros ir farmacijos specialistai – turi teisę peržiūrėti su jais pačiais susijusią Registro elektroninę informaciją.

10.     Registro naudotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti ar kitaip naudoti Registro elektroninę informaciją.

11.     Pagal vykdomas funkcijas Registro naudotojams suteikiami prieigos prie duomenų įgaliojimai:

11.1.  tvarkyti Registro duomenis, prie kurių prieigą jiems suteikė Registro administratorius;

11.2.  peržiūrėti savo duomenis, esančius Registre.

12.     Vidiniams Registro naudotojams suteikiama teisė:

12.1.  vykdyti Registro duomenų paiešką ir peržiūrą;

12.2.  spausdinti arba kitomis elektroninėmis priemonėmis teikti informaciją ar pažymas, parengtas pagal Registro duomenų bazėje esančius duomenis;

12.3.  įvesti, taisyti, keisti, atnaujinti Registro duomenis.

13.     Registro naudotojams – sveikatos priežiūros ir farmacijos specialistams – suteikiama teisė HTTPS protokolu peržiūrėti savo pačių duomenis, esančius Registre bei reikalauti, kad būtų ištaisyti klaidingi, netikslūs, papildyti neišsamūs, pašalinti nereikalingi arba neteisėtai surinkti duomenys.

14.     Konkrečios vidinių Registro naudotojų teisės nustatomos pagal Registro naudotojų vykdomas funkcijas.

15.     Kiekvienas Registro naudotojas, jungdamasis prie Registro, privalo atlikti tapatumo nustatymo procedūrą, t. y. nurodyti naudotojo vardą ir slaptažodį arba jungtis kitais, tapatybę nustatančiais būdais.

16.     Vidiniam Registro naudotojui teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai vidinis Registro naudotojas nesinaudoja Registru ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais vidinis Registro naudotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams, vidinio Registro naudotojo teisė naudotis Registru turi būti panaikinta nedelsiant;

17.     Vidiniai Registro naudotojai privalo laikytis Registro saugos dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.

18.     Vidiniai Registro naudotojai privalo nedelsdami pranešti Registro saugos įgaliotiniui apie Registro sutrikimus, neįprastą veikimą, esamus arba galimus informacijos saugumo reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones bei kitų Registro naudotojų netinkamus veiksmus.

19.     Registro administratorius, vykdydamas jam priskirtas funkcijas, turi prieigą prie visų Registro duomenų.

20.     Registro administratoriaus įgaliojimai, teisės ir pareigos:

20.1   teisė matyti visus Registro duomenis;

20.2. teisė matyti Registro naudotojų su saugomais Registro duomenimis atliktus veiksmus;

20.3.  atlikti užklausas Registre pagal pasirinktus paieškos kriterijus;

20.4.  suteikti teisę Registro naudotojams naudotis elektronine informacija paskirtoms funkcijoms atlikti.

21. Registro administratorius privalo:

21.1.  registruoti naujų Registro naudotojų duomenis;

21.2.  tvarkyti esamų Registro naudotojų duomenis;

21.3.  tikrinti, ar nėra neteisėtų Registro naudotojų paskyrų;

21.4. konsultuoti Registro naudotojus dėl Registro veikimo ir kitais su Registru susijusiais klausimais;

21.5. vykdyti kitas funkcijas, numatytas Registro nuostatuose, Duomenų saugos nuostatuose ir kituose teisės aktuose.

 

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

 

22. Registro naudotojų registravimo ir išregistravimo tvarka:

22.1. Vidinius Registro naudotojus įregistruoja ir išregistruoja Registro administratorius, įstaigos, kurioje dirba Registro naudotojas, vadovo prašymu (Administravimo taisyklių 1 priedas):

22.1.1. vidiniam Registro naudotojui Registro administratorius suteikia naudotojo vardą ir laikiną slaptažodį;

22.1.2.  kiekvienam vidiniam Registro naudotojui suteikiamas nesikartojantis vardas;

22.1.3. kiekvienas vidinis Registro naudotojas privalo naudoti tik jam suteiktą naudotojo vardą, naudoti svetimą vardą draudžiama;

22.1.4. vidiniai Registro naudotojų vardai kaupiami ir registruojami centralizuotai, elektroniniame registracijos žurnale, kurį pildo administratorius;

22.1.5. Registro administratoriaus suteiktas laikinas slaptažodis galioja iki Registro naudotojo pirmo prisijungimo prie Registro;

22.1.6. prieš suteikdamas vidiniam Registro naudotojui prieigą prie Registro, administratorius privalo įsitikinti, ar vidinis Registro naudotojas turi savo tiesioginio vadovo leidimą naudotis konkrečia informacija. Tiesioginis vadovas Registro administratoriui turi nurodyti prieigos prie Registro teises.

22.2. Sveikatos priežiūros ir farmacijos specialistai Registro naudotojais įsiregistruoja pirmo prisijungimo prie Registro metu, jungdamiesi per Registro portalą.

23. Registro naudotojų slaptažodžio, jo galiojimo trukmės, keitimo ir saugojimo reikalavimai:

23.1. Registro administratorius suteiktą laikiną slaptažodį Registro naudotojui perduoda asmeniškai arba elektroniniu paštu;

23.2. Registro naudotojas, pirmą kartą jungdamasis prie Registro, laikiną slaptažodį privalo pakeisti;

23.3.  slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

23.4. slaptažodį turi sudaryti trijų grupių iš galimų keturių (didžiosios ir mažosios raidės, skaičiai ir specialūs ženklai) simboliai;

23.5. slaptažodžiui sudaryti negalima naudoti asmeninės informacijos (pvz., savo ar vaiko gimimo datos, gyvenamosios vietos adreso sudėtinių dalių, vaikų vardų ir t. t.);

23.6. Registro naudotojas slaptažodį turi įsiminti, draudžiama slaptažodį užsirašyti ar pasakyti kitam asmeniui;

23.7. kilus įtarimui, kad slaptažodis galėjo būti atskleistas, Registro naudotojas turi nedelsdamas slaptažodį pakeisti;

23.8. pasirinkdamas ar keisdamas slaptažodį, Registro naudotojas turi bent kartą slaptažodį pakartoti;

23.9. keičiant slaptažodį neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

23.10. vidinių Registro naudotojų slaptažodis turi būti keičiamas ne rečiau kaip kas 90 dienų;

23.11. Registro dalys, atliekančios nuotolinio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

23.12. iš eilės neteisingai įvedus slaptažodį 5 kartus, naudotojo paskyra yra užblokuojama ir ją atblokuoti gali tik Registro administratorius;

23.13. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei Registro naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

24. Papildomi reikalavimai Registro administratorių slaptažodžiams:

24.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

24.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

24.3. keičiant slaptažodį Registro taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

25. Vidinių Registro naudotojų teisių dirbti su elektronine informacija suteikimas:

25.1. prieigos teisės dirbti su Registro elektronine informacija darbuotojui gali būti suteiktos tik pasirašius Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojo (administratoriaus) pasižadėjimą (Administravimo taisyklių 2 priedas) bei susipažinus su Registro duomenų saugos nuostatais. Pasižadėjimas pasirašomas dalyvaujant liudininkui, kuris savo dalyvavimą patvirtina parašu;

25.2. Registro tvarkytojo vadovas prašymą dėl darbuotojui reikalingų suteikti prieigos teisių kartu su darbuotojo pasirašytu pasižadėjimu pateikia Registro saugos įgaliotiniui, kuris jį patvirtina;

25.3. Registro tvarkytojo vadovas darbuotojo pasižadėjimą perduoda saugoti už personalą atsakingiems darbuotojams, o prašymą – administratoriui;

25.4. darbuotojui, perėjusiam dirbti į kitas pareigas arba suteikiant papildomas prieigos teises, jos pakeičiamos (suteikiamos) šiame skyriuje nustatyta tvarka. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojo (administratoriaus) pasižadėjimo antrą kartą pasirašyti nereikia.

26. Vidinių Registro naudotojų teisė dirbti su elektronine informacija panaikinama:

26.1. Registro naudotojams, kurių prisijungimo vardai nenaudojami ilgiau kaip 90 dienų;

26.2. pasibaigus Registro naudotojo tarnybos ar darbo santykiams;

26.3. nustačius, kad Registro naudotojas neteisėtai naudoja Registro duomenis.

27. Nuotolinis prisijungimas prie Registro nėra numatytas, išskyrus Registro techninės ir (ar) programinės įrangos vystymo ar priežiūros paslaugų teikėjams ir Registro administratoriui. Prisijungimas galimas tik Registro administratoriaus suteiktais unikaliais prisijungimo vardais ir slaptažodžiais naudojant virtualų privatų tinklą (VPN) arba nuotolinį darbalaukį (RDC).

 

__________________________

 

Sveikatos priežiūros ir farmacijos specialistų

praktikos licencijų registro naudotojų

administravimo taisyklių

1 priedas

 

(Prašymo suteikti arba panaikinti teisę naudotis Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registru forma)

 

(Įstaigos pavadinimas)

(Adresas)

(Kontaktiniai duomenys)

 

( Sveikatos priežiūros ir farmacijos specialistų

praktikos licencijų registro administratoriui)

 

PRAŠYMAS

 

SUTEIKTI ARBA PANAIKINTI TEISĘ NAUDOTIS SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRU

 

Prašau suteikti / panaikinti (pabraukti) teisę naudotis Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registru (toliau – Registras), suteikiant / panaikinant (pabraukti) teises (nurodyti darbuotojo funkcijas, kurioms vykdyti reikalinga Registro prieiga):

 

 

 

 

Darbuotojo vardas, pavardė:

Darbuotojo asmens kodas:

Darbuotojo pareigos:

 

 

Eil.

Nr.

 

Vykdoma

funkcija1

 

Prašoma suteikti/panaikinti teisė naudotis Registru2

 

Prašoma teisę naudotis Registru suteikti laikotarpiui

 

Prašoma teisę naudotis Registru panaikinti nuo3

 

Teisę naudotis Registru panaikinimo priežastis4

 

Nuo

 

Iki5

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

_____________________________________  ______________   _______________
(Darbuotojo pareigos, vardas, pavardė)                               (Parašas)                        (Data)

 

_____________________________________  ______________   _______________

(Įstaigos vadovo pareigos, vardas, pavardė)                       (Parašas)                        (Data)

 

_____________________________________  ______________   _______________

(Registro saugos įgaliotinio pareigos, vardas, pavardė)     (Parašas)                        (Data)

 

_____________________________

 

1 Nurodyti darbo funkciją (jei žinoma, nurodyti Registro posistemės pavadinimą)

2 Pildo Registro administratorius

3 Pildo Registro administratorius

4 Pildo Registro administratorius

5 Pildyti, jei ši informacija yra žinoma (pvz., terminuota darbo sutartis)

 

 

Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklių

2 priedas

 

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO NAUDOTOJO (ADMINISTRATORIAUS) PASIŽADĖJIMAS

 

1.  Patvirtinu, kad esu susipažinęs (-usi) su Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų, įskaitant asmens duomenis, (toliau – duomenys) tvarkymą ir saugą.

2.  Suprantu, kad:

2.1.      atlikdamas pareigybės aprašyme nustatytas funkcijas, tvarkysiu Registro duomenis ar susipažinsiu su šiais duomenimis; šie duomenys visuomenės ir atskirų asmenų interesais gali būti atskleisti ar perduoti tik teisės aktų nustatyta tvarka įgaliotiems asmenims ir institucijoms;

2.2.      draudžiama perduoti neįgaliotiems asmenimis įstaigoje ar už jos ribų duomenis, dokumentus ir (arba) jų kopijas ar kitaip sudaryti sąlygas susipažinti su duomenimis, dokumentais, jų kopijomis;

2.3. draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis, ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

2.4.      netinkamas duomenų tvarkymas užtraukia atsakomybę Lietuvos Respublikos įstatymų nustatyta tvarka;

2.5.      asmuo, patyręs žalą dėl mano padarytos neteisėtos veikos, įstatymų nustatyta tvarka turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą;

2.6.      šis pasižadėjimas galios visą mano darbo laiką Valstybinėje akreditavimo sveikatos priežiūros veiklai tarnyboje prie Sveikatos apsaugos ministerijos (toliau – VASPVT), perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams.

3.  Pasižadu ir įsipareigoju:

3.1.      saugoti duomenų paslaptį, jei jie neskirti skelbti viešai; įsipareigojimas saugoti duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams;

3.2.      tvarkyti duomenis vadovaudamasis Lietuvos Respublikos įstatymais, Registro elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatomis ir kitais teisės aktais, taip pat pareigybės aprašymu;

3.3.      neatskleisti, neperduoti duomenų nė vienam asmeniui, kuris nėra įgaliotas gauti šiuos duomenis teisės aktų nustatyta tvarka;

3.4.      pranešti savo tiesioginiam vadovui, duomenų saugos įgaliotiniui, Registro administratoriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.

 

______________________________ ______________________________ _______________

(pareigos)                                                 (vardas, pavardė)                                     (parašas)

 

Šis pasižadėjimas buvo pasirašytas dalyvaujant

______________________________     _______________________________   _______________

(pareigos)                                                 (vardas, pavardė)                                     (parašas)

Papildyta priedu:

Nr. V-1277, 2020-05-25, paskelbta TAR 2020-05-25, i. k. 2020-11037

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-1277, 2020-05-25, paskelbta TAR 2020-05-25, i. k. 2020-11037

Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2016 m. vasario 17 d. įsakymo Nr. V-269 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos politiką įgyvendinančių dokumentų patvirtinimo“ pakeitimo