2001-05-00

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2010 M. RUGSĖJO 20 D. ĮSAKYMO NR. V-804 „DĖL LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO SAUGOS ĮGALIOTINIO IR ADMINISTRATORIAUS SKYRIMO“ PAKEITIMO

2015 m. rugsėjo 7 d. Nr. V-1031

Vilnius

1. P a k e i č i u Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. rugsėjo 20 d. įsakymą Nr. V-804 „Dėl Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatų patvirtinimo, Lietuvos Respublikos vaistinių preparatų registro saugos įgaliotinio ir administratoriaus skyrimo“ ir jį išdėstau nauja redakcija:

„LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11, 19, 26 punktais:

1. T v i r t i n u Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatus (pridedama).

2. P a v e d u Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininkui:

2.1. paskirti Lietuvos Respublikos vaistinių preparatų registro saugos įgaliotinį;

2.2. paskirti Lietuvos Respublikos vaistinių preparatų registro administratorių.

2.3. per 6 mėnesius nuo Lietuvos Respublikos vaistinių preparatų registro duomenų saugos nuostatų patvirtinimo parengti ir pateikti Lietuvos Respublikos sveikatos apsaugos ministrui tvirtinti:

2.3.1. Lietuvos Respublikos vaistinių preparatų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.3.2. Lietuvos Respublikos vaistinių preparatų registro informacinės sistemos veiklos tęstinumo valdymo plano projektą;

2.3.3. Lietuvos Respublikos vaistinių preparatų registro informacinės sistemos naudotojų administravimo taisyklių projektą.“

Sveikatos apsaugos ministrė Rimantė Šalaševičiūtė

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. rugsėjo 20 d.

įsakymu Nr. V-804

(Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. rugsėjo 7 d.

įsakymo Nr. V-1031 redakcija)

LIETUVOS RESPUBLIKOS VAISTINIŲ PREPARATŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos vaistinių preparatų registro (toliau – VPREG) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja VPREG elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus.

2. VPREG elektroninės informacijos saugumo užtikrinimo tikslai:

2.1. sudaryti sąlygas saugiai automatiniu būdu VPREG tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad VPREG elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, kokio nors kitokio neteisėto jos tvarkymo.

3. VPREG elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. saugus VPREG elektroninės informacijos teikimas VPREG naudotojams;

3.2. teisėtas ir kokybiškas VPREG elektroninės informacijos tvarkymas, užtikrinant jų konfidencialumą, vientisumą ir prieinamumą.

4. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ ir Lietuvos Respublikos vaistinių preparatų registro nuostatuose, patvirtintuose Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. birželio 13 d. įsakymu Nr. V-582 „Dėl Lietuvos Respublikos vaistinių preparatų registro nuostatų patvirtinimo“ (toliau – VPREG nuostatai) vartojamas sąvokas.

5. VPREG valdytojas yra Lietuvos Respublikos sveikatos apsaugos ministerija, esanti adresu Vilniaus g. 33, LT-01506 Vilnius.

6. VPREG valdytojas atsako už VPREG saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

7. VPREG valdytojas atlieka šias funkcijas:

7.1. nustato VPREG saugos politiką;

7.2. tvirtina šiuos VPREG saugos politiką įgyvendinančius dokumentus:

7.2.1. saugaus elektroninės informacijos tvarkymo taisykles;

7.2.2. veiklos tęstinumo valdymo planą;

7.2.3. naudotojų administravimo taisykles;

7.3. vykdo VPREG elektroninės informacijos saugos reikalavimų laikymosi priežiūrą;

7.4. atlieka kitas VPREG nuostatuose nustatytas funkcijas.

8. VPREG pagrindinis tvarkytojas yra Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos, esanti adresu Žirmūnų g. 139A, LT-09120 Vilnius.

9. VPREG pagrindinis tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

10. Paslaugų teikėjai (juridiniai ar fiziniai asmenys), teikiantys VPREG kūrimo, diegimo, priežiūros ir (ar) vystymo paslaugas, tvarko duomenis tik teikiamų paslaugų apimtimi.

11. VPREG tvarkytojas atlieka šias funkcijas:

11.1. VPREG valdytojo pavedimu, skiria VPREG saugos įgaliotinį ir VPREG administratorių (-ius);

11.2. teikia VPREG valdytojui siūlymus dėl VPREG saugos užtikrinimo;

11.3. įgyvendina administracines, technines ir organizacines saugos priemones;

11.4. atlieka kitas VPREG nuostatuose nustatytas funkcijas.

12. VPREG saugos įgaliotinis:

12.1. teikia VPREG valdytojui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ar keitimo;

12.2. teikia VPREG tvarkytojui pasiūlymus dėl:

12.2.1. VPREG administratoriaus (-ių) paskyrimo ir reikalavimų administratoriui (-iams) nustatymo;

12.2.2. VPREG informacinių technologijų saugos atitikties vertinimo atlikimo, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

12.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių VPREG, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

12.4. teikia VPREG administratoriui (-iams) ir VPREG naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

12.5. organizuoja kasmetinius ir neeilinius VPREG rizikos įvertinimus;

12.6. periodiškai organizuoja VPREG naudotojų mokymus informacijos saugos klausimais;

12.7. atlieka kitas Saugos nuostatuose ir teisės aktuose nustatytas funkcijas.

13. VPREG administratoriaus funkcijos ir atsakomybė:

13.1. vykdo VPREG sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, duomenų perdavimo tinklų) priežiūrą ir reguliariai tikrina jų sąranką ir VPREG būsenos rodiklius;

13.2. atsako už VPREG pažeidžiamų vietų nustatymą ir saugumo reikalavimų atitikties Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams nustatymą ir stebėseną;

13.3. informuoja VPREG saugos įgaliotinį apie pastebėtus elektroninės informacijos saugos incidentus, saugos reikalavimų pažeidimus, neveikiančias ar netinkamai veikiančias saugos užtikrinimo priemones, imasi veiksmų, skirtų užkirsti kelią elektroninės informacijos saugos incidentui įvykti ir (ar) pašalinti jo sukeltą žalą tam, kad būtų užtikrintas tinkamas VPREG veikimas;

13.4. pagal kompetenciją dalyvauja elektroninės informacijos saugos incidentų tyrime;

13.5. vykdo visus VPREG saugos įgaliotinio teisėtus nurodymus ir pavedimus, susijusius su VPREG saugos užtikrinimu, ir nuolat teikia VPREG saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

13.6. vykdo VPREG naudotojų parengimą dirbti su VPREG, suteikia jiems prieigos teises darbui;

13.7. kontroliuoja paslaugos teikėjo darbą, jeigu administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos paslaugos teikėjui;

13.8. atlieka kitas Saugos nuostatuose, saugos politiką įgyvendinančiuose dokumentuose ir informacinių technologijų valdymą reglamentuojančiuose teisės aktuose numatytas funkcijas.

14. Teisės aktai ir standartai, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją ir užtikrinant jos saugumą:

14.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.2. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.3. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymas Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.4. Lietuvos standartai LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 27002:2013)“ ir LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

14.5. VPREG nuostatai;

14.6. VPREG Saugos nuostatai ir VPREG saugos politiką įgyvendinantys dokumentai;

14.7. kiti teisės aktai, kuriais reglamentuojamas elektroninės informacijos tvarkymo teisėtumas, VAPRIS valdytojo ir tvarkytojo veikla ir elektroninės informacijos saugos valdymas.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. VPREG elektroninė informacija, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), 4.3 papunktyje nurodytais kriterijais, priskiriama žinybinės svarbos elektroninės informacijos kategorijai.

16. VPREG, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčio nuostatomis, priskiriama trečiai informacinės sistemos kategorijai.

17. VPREG saugos įgaliotinis kasmet organizuoja VPREG rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį VPREG rizikos įvertinimą. VPREG tvarkytojo rašytiniu pavedimu VPREG rizikos įvertinimą gali atlikti pats VPREG saugos įgaliotinis.

18. VPREG rizikos vertinimas atliekamas, vadovaujantis VPREG tvarkytojo patvirtintos Informacijos saugumo rizikų valdymo procedūros nustatyta tvarka.

19. VPREG rizikos vertinimo metu atliekamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika. Vertinimo metu:

19.1. įvertinama realios VPREG elektroninės informacijos saugos situacijos atitiktis Saugos nuostatams bei kitiems saugos politiką įgyvendinantiems teisės aktams;

19.2. vykdoma VPREG techninės ir programinės įrangos inventorizacija;

19.3. ne vėliau kaip prieš 5 darbo dienas raštu apie tai informavus VPREG naudotojus, tikrinamos ne mažiau kaip dešimtyje procentų VPREG naudotojų kompiuterinių darbo vietų visuose kompiuteriuose įdiegtos programos ir jų konfigūracija, tikrinama programinė įranga visose tarnybinėse stotyse;

19.4. peržiūrima VPREG naudotojų vykdomų funkcijų ir suteiktų VPREG naudotojų teisių atitiktis;

19.5. įvertinamas pasiruošimas VPREG veiklai atkurti įvykus saugos incidentui.

20. Informacinių technologijų saugos atitikties vertinimo rezultatai pateikiami VPREG rizikos vertinimo ataskaitoje.

21. VPREG rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama VPREG tvarkytojui. Rizikos įvertinimo ataskaita rengiama, įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VPREG elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22. Atsižvelgdamas į rizikos įvertinimo ataskaitą, VPREG tvarkytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. VPREG rizikos įvertinimo ir rizikos valdymo priemonių plane įtraukiami ir informacinių technologijų saugos atitikties vertinimo metu pastebėti trūkumai.

23. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas VPREG tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

24. Pagrindiniai VPREG elektroninės informacijos saugos priemonių parinkimo principai yra šie:

24.1. informacijos saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius VPREG elektroninės informacijos konfidencialumui, vientisumui ir (ar) prieinamumui;

24.2. informacijos saugos priemonės parenkamos taip, kad likutinė rizika būtų sumažinta iki priimtino lygio;

24.3. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

24.4. kur galima, turi būti įdiegtos prevencinės, identifikacinės ir korekcinės informacijos saugos priemonės.

IIi SKYRIUS

Organizaciniai ir techniniai reikalavimai

25. Programinės įrangos, skirtos apsaugoti VPREG nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

25.1. visose VPREG (tiek naudotojų, tiek administratorių) kompiuterinėse darbo vietose ir tarnybinėse stotyse privalo būti įdiegta centralizuotai valdoma programinė įranga, skirta apsaugoti VPREG nuo kenksmingos programinės įrangos;

25.2. VPREG naudotojų ir administratorių kompiuterinėse darbo vietose programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – 1 (viena) darbo diena;

25.3. tarnybinėse stotyse programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, atnaujinama VPREG administratorių, prieš tai įvertinus atnaujinimo (-ų) įtaką VPREG tinkamam veikimui;

25.4. programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, automatiškai informuoja VPREG administratorių apie tai, kuriems VPREG komponentams yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atnaujinimo laikas;

25.5. VPREG komponentai be kenksmingo programinės įrangos aptikimo priemonių gali būti eksploatuojami tik tuo atveju, jei rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

25.6. laikinai nenaudojamose ir neprijungtose prie duomenų perdavimo tinklų VPREG kompiuterinėse darbo vietose programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, gali būti neatnaujinama. Pradėjus naudoti ir (ar) prijungus prie duomenų perdavimo tinklų VPREG kompiuterinę darbo vietą, programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos, turi būti nedelsiant (ne vėliau kaip 1 darbo dieną) atnaujinama.

26. Techninės ir programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo reikalavimai:

26.1. VPREG techninę ir programinę įrangą diegia, atnaujina ir prižiūri VPREG administratoriai (pagal atliekamas funkcijas). VPREG administratoriai dalyvauja paslaugų teikėjams atnaujinant ar keičiant techninę ir (ar) programinę įrangą;

26.2. programinei įrangai kurti, testuoti ir eksploatuoti naudojamos atskiros aplinkos, testuojant negali būti naudojami tikri asmens duomenys;

26.3. VPREG techninė ir programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

26.4. VPREG techninės ir programinės įrangos priežiūrą ir gedimų šalinimą gali atlikti tik kvalifikuoti specialistai;

26.5. naudojama programinė įranga, skirta stebėti VPREG komponentų būsenos rodiklius – VPREG administratorius perspėjamas, kai tarnybinėse stotyse sumažėja iki nustatytos pavojingos ribos laisvos atminties ar vietos diske, ilgą laiką apkraunamas centrinis procesorius ar kompiuterinio tinklo sąsaja;

26.6. ribojama arba blokuojama prieiga prie operacinės sistemos prievadų;

26.7. VPREG administratorių kompiuterinėse darbo vietose ir tarnybinėse stotyse operacinės sistemos kritinės pataisos ir kiti gamintojo rekomenduojami atnaujinimai diegiami prieš tai įvertinus jų įtaką tinkamam VPREG veikimui, bet ne vėliau kaip per 3 darbo dienas. VPREG naudotojų kompiuterinėse darbo vietose operacinės sistemos kritinės pataisos diegiamos automatiškai;

26.8. VPREG naudotojams ribojamos teisės – jiems neleidžiama diegtis papildomos programinės įrangos bei keisti jos ar kompiuterinės darbo vietos bendrųjų nustatymų;

26.9. leistinos programinės įrangos sąrašą rengia ir ne rečiau kaip kartą per metus peržiūri bei prireikus atnaujina VPREG saugos įgaliotinis ir derina su VPREG tvarkytoju:

26.9.1. VPREG kompiuterinėse darbo vietose ir tarnybinėse stotyse turi būti naudojama tik legali ir saugi programinė įranga;

26.9.2. VPREG kompiuterinėse darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su VPREG naudotojų ir administratorių tiesiogine veikla ir funkcijomis.

27. Kompiuterių tinklo apsaugos reikalavimai:

27.1. vidinis tinklas atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes. Ugniasienės įvykių žurnalai turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

27.2. turi būti naudojama apsauga nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų;

27.3. tinklo perimetro apsaugai naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

27.4. atliekama turinio kontrolė, nepraleidžiant nepageidaujamos informacijos.

28. VPREG naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius VPREG duomenims perduoti kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas VPREG naudotojo tapatybės patvirtinimas ir VPREG duomenų šifravimas.

29. VPREG duomenys teikiami ir gaunami VPREG nuostatų nustatyta tvarka pagal vienkartinius prašymus arba duomenų teikimo sutartis ir jose nustatytus duomenų teikimo metodus ir būdus.

30. Saugiam elektroninės informacijos teikimui ir (arba) gavimui užtikrinti duomenys teikiami šifruotais duomenų perdavimo kanalais, naudojant specialius protokolus, kurie užtikrina duomenų šifravimą bei gali užtikrinti perduodamos informacijos autentiškumą ir vientisumą.

31. VPREG duomenų apsikeitimui naudojamas Saugus valstybinis duomenų perdavimo tinklas.

32. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

32.1. VPREG veiklos tęstinumui užtikrinti elektroninė informacija yra periodiškai kopijuojama į rezervinių kopijų laikmenas kas 24 valandos ir laikmenos saugomos taip, kad avarijos atveju VPREG veiklą iš atsarginių kopijų galima būtų atkurti ne ilgiau kaip per 16 valandų;

32.2. bylų mėnesinių kopijų laikmenos ir atsarginės programinės įrangos kopijos laikomos kitoje patalpoje nei VPREG tarnybinės stotys, nedegiame seife;

32.3. kartą metuose daromi atkūrimo iš atsarginių kopijų bandymai.

Iv SKYRIUS

Reikalavimai personalui

33. VPREG naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius ir būti susipažinę su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

34. VPREG saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatų 14 punkte nurodytais teisės aktais ir standartais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

35. VPREG administratorius privalo išmanyti darbą su tarnybinėmis stotimis, kompiuterių tinklais ir kita kompiuterių įranga, ir (arba) duomenų bazėmis, ir (arba) standartine programine įranga, ir (arba) taikomosiomis sistemomis ir sąsajomis tarp jų, mokėti užtikrinti jų saugumą.

36. VPREG naudotojai, prieš suteikiant jiems prieigą prie VPREG elektroninės informacijos, privalo dalyvauti pradiniame mokyme, kurį vykdo VPREG saugos įgaliotinis arba jo pavedimu VPREG administratorius, ir kuriame jie supažindinami su saugos politika, saugumo reikalavimais ir atsakomybe už jų nesilaikymą.

37. VPREG naudotojams turi būti periodiškai, bet ne rečiau kaip kartą per metus, rengiami elektroninės informacijos saugos mokymai, įvairiais būdais turi būti primenama apie elektroninės informacijos saugos reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės darbuotojams). Elektroninės informacijos saugos mokymai įtraukiami į bendrą VPREG tvarkytojo mokymų planą. Už elektroninės informacijos saugos mokymų organizavimą yra atsakingas VPREG saugos įgaliotinis. Mokymus gali vykdyti paslaugų teikėjas.

v SKYRIUS

VPREG naudotojų supažindinimo su saugos dokumentais principai

38. VPREG naudotojai su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją, užtikrinant jos saugumą, ir su atsakomybe už saugos reikalavimų pažeidimus supažindinami pasirašytinai per pradinius mokymus, už kurių vykdymą atsakingas VPREG saugos įgaliotinis arba jo pavedimu VPREG administratorius.

39. Pakartotinis supažindinimas vykdomas per kasmetinius elektroninės informacijos saugos mokymus ir tik iš esmės pasikeitus Saugos nuostatams ir (ar) saugos politiką įgyvendinantiems dokumentams, kitiems teisės aktams, kuriais vadovaujamasi tvarkant VPREG elektroninę informaciją, užtikrinant jos saugumą. Su neesminiais pakeitimais supažindinama per dokumentų valdymo sistemą ir paskelbiant vidinėje svetainėje.

40. VPREG naudotojai tvarkyti VPREG elektroninę informaciją gali tik susipažinę su Saugos nuostatais, Saugos politiką įgyvendinančiais teisės aktais bei raštu įsipareigoję laikytis šių teisės aktų reikalavimų.

41. VPREG naudotojai, pažeidę Saugos nuostatų ar kitų Saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_____________________