LIETUVOS REPSUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2016 M. VASARIO 17 D. ĮSAKYMO NR. V-269 „DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO
2020 m. gegužės 25 d. Nr. V-1277
Vilnius
P a k e i č i u Lietuvos Respublikos sveikatos apsaugos ministro 2016 m. vasario 17 d. įsakymą Nr. V-269 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos politiką įgyvendinančių dokumentų patvirtinimo“ ir jį išdėstau nauja redakcija:
„LIETUVOS REPSUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2, 7.3 ir 7.4 papunkčiais:
1. Tvirtinu pridedamus:
1.1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisykles;
1.2. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo planą;
PATVIRTINTA
Lietuvos Respublikos sveikatos
apsaugos ministro 2016 m.
vasario 17 d. įsakymu Nr. V-269
(Lietuvos Respublikos sveikatos
apsaugos ministro 2020 m.
gegužės 25 d. įsakymo Nr. V-1277
redakcija)
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS
LICENCIJŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) naudotojų, Registro administratoriaus, Registro saugos įgaliotinio ir Registro duomenų įgaliotinio veiksmus, užtikrinančius saugų Registro techninės ir programinės įrangos funkcionavimą, duomenų tvarkymą bei būtinus Registro elektroninės informacijos techninius saugos reikalavimus.
2. Tvarkymo taisyklės parengtos vadovaujantis:
2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
2.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);
2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);
3. Tvarkymo taisyklės privalomos Registro naudotojams, Registro administratoriui, Registro saugos įgaliotiniui ir Registro duomenų įgaliotiniui. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsako Registro saugos įgaliotinis.
4. Tvarkymo taisyklėse vartojamos sąvokos:
4.1. Registro naudotojas – Registro tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti (toliau – vidinis Registro naudotojas), arba sveikatos priežiūros ir farmacijos specialistas, turintis teisę peržiūrėti su juo pačiu susijusią Registro elektroninę informaciją;
6. Registre tvarkoma informacija priskiriama svarbios elektroninės informacijos kategorijai ir skirstoma į šias grupes:
6.1. Registro administratoriaus tvarkoma informacija:
6.1.4. Registro duomenų užklausų inicijavimo ir teikimo duomenys (Registro duomenų užklausos laikas, registro duomenų perdavimo laikas);
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
7. Registro kompiuterinės įrangos saugos priemonės:
7.1. tiesioginė prieiga prie Registro tarnybinių stočių leidžiama tik Registro administratoriui ir Duomenų ir dokumentų valdymo skyriaus vedėjui, išskyrus atvejus, kai atliekant kompiuterinės ir programinės įrangos paleidimo, derinimo ar kitus darbus nustatyta tvarka ji gali būti suteikta asmeniui, atliekančiam nuodytus darbus;
7.2. kompiuterinė įranga, kurioje saugomi duomenys, ir jos palaikymo infrastruktūra turi būti fiziškai apsaugota nuo neteisėtos prieigos, vagystės, sugadinimo ar kito įsikišimo;
7.3. tarnybinės stotys turi būti apsaugotos nuo trumpalaikio elektros srovės nutrūkimo ir elektros įtampos svyravimų;
7.5. visa kompiuterinė įranga į tarnybinių stočių patalpas įnešama ir išnešama iš jų tik Registro administratoriui leidus;
8. Registro sisteminės ir taikomosios programinės įrangos saugos priemonės:
8.2. teisę dirbti su Registro administravimo programine įranga turi tik Registro administratorius, Registro tvarkytojo skyriaus, vykdančio duomenų ir dokumentų valdymą, vedėjas ir (ar) Registro techninės ir (ar) programinės įrangos vystymo ar priežiūros paslaugų teikėjas (toliau – paslaugų teikėjas);
8.3. prisijungimo prie tarnybinių stočių vardai ir slaptažodžiai turi būti žinomi tik Registro administratoriui, jo nesant – Registro administratorių pavaduojančiam asmeniui;
8.4. programinis kodas apsaugomas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir Registro duomenims. Naudojamos programinės priemonės – tinklo užkardos;
8.5. prieigos teisė dirbti su Registro taikomąja programine įranga suteikiama vidiniams Registro naudotojams Registro naudotojų administravimo taisyklių nustatyta tvarka;
8.6. Registro duomenys turi būti apsaugoti techninėmis, organizacinėmis, programinėmis priemonėmis nuo jų praradimo, iškraipymo, sunaikinimo ir nesankcionuoto naudojimo;
8.7. techninėje ir programinėje įrangoje draudžiama naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus;
9. Elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės:
9.1. informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę; ugniasienės įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;
10. Registro tarnybinių stočių patalpų (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:
10.1. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;
10.3. patalpos turi būti atskirtos nuo bendro naudojimo patalpų, įrengta langų ir durų fizinė apsauga;
10.4. patekti į patalpas gali tik tie asmenys, kuriems tai būtina atliekant nustatytas funkcijas; įėjimo į patalpas kontrolę vykdo Registro administratorius ir Duomenų ir dokumentų valdymo skyriaus vedėjas;
10.5. trečiųjų šalių atstovai ir kiti asmenys į patalpas gali patekti ar dirbti jose tik lydimi Registro administratoriaus arba Duomenų ir dokumentų valdymo skyriaus vedėjo;
11. Kitos Registro elektroninės informacijos saugos užtikrinimo priemonės – Registro tarnybinėse stotyse įrašomi duomenys apie tarnybinių stočių, taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus naudotis Registro tarnybinėmis stotimis, taikomąja programine įranga, naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką; šiuos duomenis ne rečiau kaip kartą per mėnesį analizuoja Registro administratorius, esant poreikiui apie tai informuoja Duomenų ir dokumentų valdymo skyriaus vedėją.
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
12. Registro duomenis įveda, keičia, atnaujina ir naikina vidiniai Registro naudotojai pagal suteiktas prieigos teises.
13. Vidinio Registro naudotojo atleidimo iš užimamų pareigų atveju, Registre esančius vidinio Registro naudotojo sukauptus nenaudojamus duomenis naikina Registro administratorius.
14. Registre taikomos programinės priemonės naudotojų tapatybei nustatyti ir jų veiksmams su duomenimis fiksuoti.
16. Naudotojų veiksmų registravimo tvarka:
16.1 Registro naudotojų veiksmai automatiniu būdu įrašomi Registro duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ir sunaikinimo;
16.2. Duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio programinei įrangai ir duomenims šaltinį, laiką, ketinimus ar veiksmus;
17. Duomenų kopijų darymas:
17.3 diskų masyve turi būti saugomos duomenų kopijos ir kita informacija, reikalinga duomenims atkurti;
17.4. elektroninė informacija atsarginėse kopijose turi būti užšifruota (šifravimo raktai saugomi atskirai nuo kopijų) arba imtasi kitų priemonių siekiant išvengti kopijų panaudojimo neteisėtam elektroninės informacijos atkūrimui;
18. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:
18.1. elektroninės informacijos mainai tarp susijusių registrų bei kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose elektroninės informacijos teikimo sutartyse numatytais būdais, terminais ir numatyta apimtimi;
18.2. elektroninės informacijos teikimo sutartyse turi būti numatyti įsipareigojimai neatskleisti pagal sutartį gautos elektroninės informacijos ar suteikti kitokios galimybės bet kokia forma su ja susipažinti tretiesiems asmenims bei įsipareigojimai užtikrinti gautos elektroninės informacijos saugą.
19. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
19.1. naudotojams kilus įtarimui, kad su Registro duomenimis yra vykdoma neteisėta veikla, jie privalo nedelsiant apie tai informuoti Registro administratorių, kuris iškart turi reaguoti į tokį pranešimą ir imtis visų įmanomų veiksmų, reikalingų neteisėtai veiklai su duomenimis užkirsti;
19.2. Registro administratorius privalo naudoti visas turimas ir įmanomas technines, programines ir administracines priemones, skirtas apsaugoti duomenis nuo neteisėtos veiklos;
19.3. Registro administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su elektronine informacija, pasinaudojęs duomenų bazės veiksmų žurnalo įrašais bei kitomis priemonėmis, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su programine įranga ir elektronine informacija;
20. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
20.1. programinė ir techninė įranga keičiama ir (ar) atnaujinama, vadovaujantis gamintojo rekomendacijomis;
20.2. programinę ir techninę įrangą keičia ir (ar) atnaujina tik įgalioti asmenys – Registro administratorius ir (ar) išoriniai paslaugų teikėjai pagal paslaugų teikimo sutartį;
21. Pokyčių valdymo tvarka:
21.1. kiekvienas pokytis turi būti suplanuotas, atsižvelgiant į pokyčio svarbą, aktualumą, poreikį, apimant pokyčio identifikavimą, priskyrimą kategorijai pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą, pokyčio prioriteto nustatymą bei pokyčio atlikimo tvarką;
21.2. pokyčius turi teisę inicijuoti Registro duomenų valdymo įgaliotinis, Registro saugos įgaliotinis ar Registro administratorius, o įgyvendinti – Registro administratorius;
21.3. pokyčius planuoja juos iniciavęs asmuo arba specialiai tvarkytojo vadovo sudaryta darbo grupė;
21.4. jei yra sudaroma paslaugų teikimo sutartis dėl papildomo funkcionalumo kūrimo ar modernizavimo, pokyčių įgyvendinimo tvarka nustatoma paslaugų teikimo sutartyje;
21.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti Registro darbą, suderinami su tvarkytojo vadovu;
21.6. pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti aplinkoje, atskirtoje nuo eksploatuojamo Registro;
22. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:
22.1. nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai naudojami tik tarnybinėms funkcijoms vykdyti;
IV SKYRIUS
REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
23. Registro administratorius ir skyriaus, atsakingo už duomenų ir dokumentų valdymą, skyriaus vedėjas yra atsakingi už prieigos prie Registro programinių, techninių ir kitų išteklių paslaugų teikėjui suteikimą ir panaikinimą.
24. Registro administratorius suteikia paslaugų teikėjui tik tokią prieigą prie Registro programinių, techninių ir kitų išteklių, kokia yra būtina norint vykdyti Registro vystymo ir priežiūros paslaugas.
25. Reikalavimai, keliami paslaugų teikėjams ir jų teikiamoms paslaugoms:
25.1. reikalavimai paslaugų teikėjams ir jų teikiamoms paslaugoms nustatomi šių paslaugų teikimo sutartyse;
25.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas Registro taikomąją programinę įrangą kuria, modifikuoja ar vykdo jos priežiūrą naudodamas:
25.2.1. įgyvendintas elektroninės informacijos saugos nuo nesankcionuoto poveikio sisteminei, taikomajai programinei įrangai, duomenų saugai ir patalpoms priemones;
25.2.2. Registro testinės duomenų bazės duomenis (Registro taikomajai programinei įrangai modifikuoti);
25.3. paslaugų teikėjai teikdami paslaugas turi užtikrinti atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
26. Registro administratorius privalo supažindinti Registro paslaugų teikėją su suteiktos prieigos prie Registro saugos reikalavimais ir sąlygomis.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos sveikatos
apsaugos ministro 2016 m.
vasario 17 d. įsakymu Nr. V-269
(Lietuvos Respublikos sveikatos
apsaugos ministro 2020 m.
gegužės 25 d. įsakymo Nr. V-1277
redakcija)
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS
LICENCIJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) administratoriaus, Registro saugos įgaliotinio, Registro naudotojų veiksmus esant elektroninės informacijos saugos incidentui, įskaitant ir kibernetiniam (toliau – saugos incidentas), kurio metu gali kilti pavojus Registro duomenims, techninės bei programinės įrangos funkcionavimui.
2. Valdymo planas parengtas vadovaujantis:
2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
2.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);
2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);
2.12. Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas);
3. Valdymo planas įsigalioja įvykus saugos incidentui ir galioja tol, kol bus atkurta Registro veikla. Valdymo planas privalomas Registro tvarkytojui, Registro valdytojui, Registro saugos įgaliotiniui, Registro administratoriui ir Registro naudotojams.
4. Saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų nustatyta tvarka, įsigijimo ištekliai padengiami iš valstybės biudžeto ir kitų šaltinių.
5. Kriterijai, pagal kuriuos nustatoma, kad Registro veikla atkurta:
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
9. Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (toliau – Akreditavimo tarnyba), kaip Registro tvarkytoja, įvykus saugos incidentui, atlieka šias funkcijas:
9.2. registruoja įvykusius saugos incidentus ir nedelsdama į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;
9.3. informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) apie Registre įvykusius saugos incidentus ir taikytas saugos incidentų valdymo priemones Nacionalinio kibernetinių incidentų valdymo plano ir Nacionalinio kibernetinio saugumo centro nustatyta tvarka;
9.4. teikia Sveikatos apsaugos ministerijai, kaip Registro valdytojai, informaciją apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais ir taikytas saugos incidentų valdymo priemones, Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, nustatyta tvarka;
10. Saugos incidentams valdyti bei veiklos atkūrimui organizuoti Akreditavimo tarnybos direktoriaus įsakymu sudaroma:
11. Valdymo grupės sudėtis:
11.1. Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už pacientų teisių priežiūrą ir sveikatos priežiūros paslaugų prieinamumo ir kokybės atitikties teisės aktų reikalavimams vertinimą (Valdymo grupės vadovas);
11.2. Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už duomenų ir dokumentų valdymą bei licencijavimą (Valdymo grupės vadovo pavaduotojas);
11.6. Akreditavimo tarnybos Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams;
12. Valdymo grupės funkcijos:
12.6. finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
13. Atkūrimo grupės sudėtis:
13.1. Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už duomenų ir dokumentų valdymą bei licencijavimą (Atkūrimo grupės vadovas);
13.2. Akreditavimo tarnybos direktoriaus pavaduotojas, atsakingas už pacientų teisių priežiūrą ir sveikatos priežiūros paslaugų prieinamumo ir kokybės atitikties teisės aktų reikalavimams vertinimą (Atkūrimo grupės pavaduotojas);
14. Atkūrimo grupės funkcijos:
15. Valdymo ir Atkūrimo grupės tarpusavyje bendrauja elektroniniu paštu ar telefonu. Esant poreikiui, rengia susitikimus esamai situacijai aptarti.
16. Įvykus saugos incidentui:
16.1. Registro naudotojai apie saugos incidentą nedelsdami informuoja Registro administratorių, o Registro administratorius – Registro saugos įgaliotinį;
16.2. Registro saugos įgaliotinis apie saugos incidentą nedelsdamas informuoja Registro tvarkytojo vadovą;
16.3. Registro saugos įgaliotinis informaciją įrašo į Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos incidentų registravimo žurnalą (toliau – Žurnalas) (Valdymo plano 2 priedas), vadovaudamasis Nacionaliniame kibernetinių incidentų valdymo plane nustatytais kibernetinių incidentų priskyrimo konkrečiai kategorijai vertinimo kriterijais, vertina saugos incidentą bei, pasitvirtinus įtarimui dėl saugos incidento, atsižvelgdamas į veiklos Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos atkūrimo detaliajame plane (Valdymo plano 1 priedas) nustatytą poreikį, informuoja kitus atsakingus asmenis, vadovauja Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos atkūrimo detaliajame plane nurodytiems veiksmams;
16.4. Registro administratorius organizuoja saugos incidentų plėtros stabdymo veiksmus, atkuria Registro techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, duomenis, techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie atliktus veiksmus nedelsdamas informuoja Registro saugos įgaliotinį;
17. Kibernetinių incidentų tyrimas ir vertinimas atliekamas vadovaujantis Nacionaliniu kibernetiniu incidentų valdymo planu ir Valdymo planu, imantis visų įmanomų priemonių, būtinų kibernetiniam incidentui suvaldyti ir įprastai ryšių ir informacinių sistemų veiklai atkurti.
18. Nacionaliniam kibernetinio saugumo centrui pranešama apie:
18.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;
18.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;
19. Sveikatos apsaugos ministerijai pranešama apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, nustatyta tvarka.
21. Saugos įgaliotinis, nustatęs aplinkybes, dėl kurių saugos incidentas gali turėti didesnių, nei manyta, padarinių, arba nustatęs, kad saugos incidento padariniai neatitinka numatytų kriterijų, turi teisę perkvalifikuoti saugos incidentą į kitą kategoriją.
22. Tiriant Registro saugos incidentus, saugos įgaliotinis turi teisę gauti informaciją iš visų veiklos tęstinumo atstatyme dalyvavusių ir kitų galinčių turėti reikiamos informacijos darbuotojų.
23. Atlikus nereikšmingo kibernetinio incidento tyrimą, saugos įgaliotinis informaciją apie saugos incidento aplinkybes ir jo sprendimą fiksuoja Žurnale.
24. Atlikus didelio ar vidutinio poveikio kibernetinio incidento tyrimą, saugos įgaliotinis parengia saugos incidento ataskaitą, kurioje išdėsto saugos incidento aplinkybes, priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, informaciją apie saugos incidento aplinkybes ir jo sprendimą fiksuoja Žurnale.
25. Atsarginėms patalpoms, naudojamoms Registro veiklai atkurti elektroninės informacijos saugos incidento atveju, taikomi Registro saugaus elektroninės informacijos tvarkymo taisyklėse nurodyti reikalavimai. Atsarginių patalpų, naudojamų Registro veiklai atkurti saugos incidento atveju, adresas ir būdai, kaip iki jų nuvykti, yra pateikti Valdymo plano 3 priede.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
26. Dokumentą, kuriame nurodyti Registro informacinių technologijų įrangos parametrai, už šios įrangos priežiūrą atsakingas Registro administratorius ir minimalus reikiamos kompetencijos ar žinių lygis Registro veiklai atkurti nesant Registro administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
27. Dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus saugos incidentui, specifikacija, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
28. Dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
29. Dokumentą, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
30. Dokumentą, kuriame nurodyti programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
31. Dokumentą, kuriame nurodytas Valdymo grupės ir Atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu, rengia Duomenų ir dokumentų valdymo skyriaus vedėjas ir Registro saugos įgaliotinis.
IV SKYRIUS
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
34. Valdymo plano veiksmingumas išbandomas kartą per metus. Valdymo plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojamas saugos incidentas. Jo metu už saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Atsarginėje Registro stotyje iš atsarginių Registro duomenų kopijų atkuriami Registro duomenys.
35. Registro saugos įgaliotinis parengia Registro plano veiksmingumo išbandymo metu pastebėtų trūkumų ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, nurodomi pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Akreditavimo tarnybos direktorius.
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano
1 priedas
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO VEIKLOS ATKŪRIMO DETALUSIS PLANAS
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) elektroninės informacijos saugos incidentas |
Registro veiklos atkūrimo užduotys |
Registro veiklos atkūrimo priemonės |
Atsakingi vykdytojai |
1. Manipuliacija elektronine informacija (pavyzdžiui, elektroninės informacijos, įskaitant Registro programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas). |
1.1. Elektroninės informacijos saugos incidento analizė. |
1.1.1. Nustatomas atakos šaltinis, elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija. 1.1.2. Stabdomas pažeistos elektroninės informacijos teikimas 1.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys. 1.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys. |
Registro veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovo pavaduotojas Registro saugos įgaliotinis Registro tvarkytojo Duomenų ir dokumentų valdymo skyriaus (toliau – Duomenų ir dokumentų valdymo skyrius) vedėjas Veikiantys pagal sutartį juridinių asmenų atstovai |
1.2. Veiksmų plano sudarymas. |
1.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, Registro veiklai atkurti ir Registrui apsaugoti. |
Registro veiklos atkūrimo grupės (toliau – Atkūrimo grupė)vadovas Duomenų ir dokumentų valdymo skyriaus vedėjas Registro saugos įgaliotinis Veikiantys pagal sutartį juridinių asmenų atstovai |
|
1.3. Padarinių likvidavimas ir veiklos atkūrimas. |
1.3.1. Likviduojami elektroninės informacijos saugos incidento padariniai, atkuriamas Registro veikimas, diegiamos Registro apsaugos priemonės. 1.3.2. Jeigu Registro veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga. 1.3.3. Jeigu nėra galimybės elektroninės informacijos tinkamai atkurti iš atsarginių kopijų, informacinių sistemų duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo. 1.3.4. Atkuriamas elektroninės informacijos paslaugų teikimas. 1.3.5. Prireikus veikla atkuriama atsarginėse patalpose. |
Atkūrimo grupės vadovas Duomenų ir dokumentų valdymo skyriaus vedėjas Registro saugos įgaliotinis Registro administratorius Registro tvarkytojo Teisės ir bendrųjų reikalų skyriaus (toliau – Teisės ir bendrųjų reikalų skyrius) vyriausiasis specialistas ūkio reikalams |
|
2. Ryšio sutrikimas.
|
2.1. Ryšio sutrikimo priežasties nustatymas. |
2.1.1. Aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl ryšio sutrikimo trukmės bei prognozuojamo sutrikimo pašalinimo laiko.
|
Registro saugos įgaliotinis Registro administratorius Duomenų ir dokumentų valdymo skyriaus vedėjas Veikiantys pagal sutartį juridinių asmenų atstovai |
2.2. Ryšio sutrikimo pašalinimo priemonių plano sudarymas |
2.2.1. Priemonių nustatymas sutrikimams pašalinti. |
Veiklos atkūrimo grupės vadovas Duomenų ir dokumentų valdymo skyriaus vedėjas
|
|
2.3. Ryšio sutrikimo pašalinimas. |
2.3.1. Priemonių įgyvendinimas. |
Registro administratorius Veikiantys pagal sutartį juridinių asmenų atstovai Valdymo grupės vadovo pavaduotojas |
|
3. Kritinis Registro tvarkytojo techninės įrangos gedimas, praradimas (pavyzdžiui, techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavimo įrangos gedimas, šios įrangos vagystė arba sugadinimas).
|
3.1. Elektroninės informacijos saugos incidento analizė. |
3.1.1. Nustatomas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga. |
Registro saugos įgaliotinis Registro administratorius Duomenų ir dokumentų valdymo skyriaus vedėjas Veikiantys pagal sutartį juridinių asmenų atstovai |
3.1.2. Nustatomi ir įvertinami įvykio padariniai, žala. |
Registro saugos įgaliotinis Registro administratorius Veikiantys pagal sutartį juridinių asmenų atstovai |
||
3.2. Veiksmų plano sudarymas. |
3.2.1. Sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai: 3.2.1.1. esant galimybei, naudoti kitos turimos techninės įrangos išteklius; 3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją; 3.2.1.3. vykdyti viešąjį techninės įrangos pirkimą; 3.2.1.4. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą). 3.2.2. Prireikus numatomas finansinių ir kitokių išteklių poreikis Registro veiklai atkurti. |
Valdymo grupės vadovas Valdymo grupės vadovo pavaduotojas Atkūrimo grupės vadovas Registro saugos įgaliotinis Registro administratorius Duomenų ir dokumentų valdymo skyriaus vedėjas Veikiantys pagal sutartį juridinių asmenų atstovai Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams |
|
3.3. Padarinių likvidavimas ir veiklos atkūrimas. |
3.3.1. Registro veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų. |
Registro saugos įgaliotinis Registro administratorius Duomenų ir dokumentų valdymo skyriaus vedėjas Veikiantys pagal sutartį juridinių asmenų atstovai Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams
|
|
4. Stichinė nelaimė, avarija, Registro tvarkytojo patalpų praradimas, pažeidimas (pavyzdžiui, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio kiekio pavojingų medžiagų išsiveržimas į aplinką). |
4.1. Standartinių veiksmų vykdymas.
|
4.1.1. Veiksmų, nustatytų Registro tvarkytojo darbuotojų saugos ir sveikatos įvadinėse instrukcijose ir kituose teisės aktuose, vykdymas. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą Registro saugos įgaliotinis |
5. Registro tvarkytojo patalpų užgrobimas. |
5.1. Teisėsaugos institucijų informavimas. |
5.1.1. Apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos. 5.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas. |
Valdymo grupės vadovas Valdymo grupės vadovo pavaduotojas Teisės ir bendrųjų reikalų skyriaus vedėjas Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą |
5.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija. |
5.2.1. Draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymai. 5.2.2. Darbuotojų informavimas apie evakavimą. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą |
|
5.3. Patalpų užrakinimas, jei yra galimybė. |
5.3.1. Teisėsaugos institucijų nurodymų vykdymas. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą |
|
|
|
||
5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija. |
5.4.1. Darbuotojų informavimas apie nurodymų vykdymą. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Registro tvarkytojo darbuotojas, atsakingas už priešgaisrinę apsaugą, darbo ir civilinę saugą |
|
5.5. Veiksmai atlaisvinus užgrobtas patalpas.
|
5.5.1. Padarytos žalos įvertinimas. 5.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas. |
Valdymo grupės vadovas Valdymo grupės vadovo pavaduotojas Atkūrimo grupės vadovas Registro administratorius Veikiantys pagal sutartį juridinių asmenų atstovai Teisės ir bendrųjų reikalų skyriaus vedėjas
|
|
6. Komunalinių paslaugų teikimo Registro tvarkytojo patalpose sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas).
|
6.1. Incidento analizė. |
6.1.1. Pagal kompetenciją nustatomos galimos komunalinių paslaugų tiekimo sutrikimo priežastys. 6.1.2. Informuojami komunalinių paslaugų teikėjai. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams |
6.2. Veiksmų plano sudarymas. |
6.2.1. Sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti. |
Teisės ir bendrųjų reikalų skyriaus vedėjas Teisės ir bendrųjų reikalų skyriaus vyriausiasis specialistas ūkio reikalams |
|
6.3. Padarinių likvidavimas ir veiklos atkūrimas. |
6.3.1. Organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas. |
Teisės ir bendrųjų reikalų skyriaus vedėjas
|
|
7. Registro tvarkytojo darbuotojų praradimas (pavyzdžiui, nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus). |
7.1. Elektroninės informacijos saugos incidento analizė. |
7.1.1. Nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti. 7.1.2. Nustatoma, kokia darbuotojų kompetencija reikalinga svarbiems procesas vykdyti. |
Duomenų ir dokumentų valdymo skyriaus vedėjas Teisės ir bendrųjų reikalų skyriaus vedėjas
|
7.2. Veiklos atkūrimas. |
7.2.1. Trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus apmokomi esami darbuotojai. 7.2.2. Vykdoma naujų darbuotojų paieška ir atliekamos įdarbinimo procedūros. |
Duomenų ir dokumentų valdymo skyriaus vedėjas Teisės ir bendrųjų reikalų skyriaus vedėjas |
______________________
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano
2 priedas
(Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS
Pildymo pradžia 20___ m. ___________ d.
Eil. Nr. |
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) elektroninės informacijos saugos incidentas (toliau – incidentas) |
|||||
Incidento požymio kodas
|
Incidento aprašymas |
Pradžia
(metai, mėnuo, diena, valanda) |
Pabaiga
(metai, mėnuo, diena, valanda) |
Incidentą pašalino
(vardas, pavardė) |
Registro saugos įgaliotinis (vardas, pavardė, parašas) |
|
1 |
|
|
|
|
|
|
2 |
|
|
|
|
|
|
3 |
|
|
|
|
|
|
4 |
|
|
|
|
|
|
5 |
|
|
|
|
|
|
6 |
|
|
|
|
|
|
Incidento požymių kodai:
1. Manipuliacija elektronine informacija. 2. Ryšio sutrikimas. 3. Kritinis Registro tvarkytojo techninės įrangos gedimas, praradimas. 4. Stichinė nelaimė, avarija, Registro tvarkytojo patalpų praradimas, pažeidimas. 5. Registro tvarkytojo patalpų užgrobimas. 6. Komunalinių paslaugų teikimo Registro tvarkytojo patalpose sutrikimai. 7. Registro tvarkytojo darbuotojų praradimas
_______________________
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano
3 priedas
ATSARGINIŲ PATALPŲ, NAUDOJAMŲ SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO VEIKLAI ATKURTI SAUGOS INCIDENTO ATVEJU, ADRESAS IR BŪDAI, KAIP IKI JŲ NUVYKTI
1. Atsarginių patalpų adresas: Vilniaus g. 33, Vilnius.
2. Atsarginių patalpų vieta žemėlapyje:
_______________________
PATVIRTINTA
Lietuvos Respublikos sveikatos
apsaugos ministro 2016 m.
vasario 17 d. įsakymu Nr. V-269
(Lietuvos Respublikos sveikatos
apsaugos ministro 2020 m.
gegužės 25 d. įsakymo Nr. V-1277
redakcija)
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS
LICENCIJŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) naudotojų ir Registro administratoriaus įgaliojimus, teises, pareigas ir saugaus Registre tvarkomų duomenų teikimo naudotojams kontrolės tvarką.
2. Administravimo taisyklės parengtos vadovaujantis:
2.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
2.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.7. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
2.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
2.9. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
2.10. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2005 m. birželio 23 d. nutarimu Nr. 690 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro reorganizavimo ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro nuostatų patvirtinimo“ (toliau – Registro nuostatai);
2.11. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 16 d. įsakymu Nr. V-1071 „Dėl Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);
4. Administravimo taisyklėse vartojamos sąvokos:
4.1. Registro naudotojas – Registro tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Registro ištekliais savo funkcijoms atlikti (toliau – vidinis Registro naudotojas), arba sveikatos priežiūros ar farmacijos specialistas, turintis teisę peržiūrėti su juo pačiu susijusią Registro elektroninę informaciją;
5. Prieiga prie Registro duomenų Registro naudotojams suteikiama vadovaujantis šiais duomenų saugumo principais: konfidencialumo (prie Registre saugomų duomenų prieigą gali gauti tik tie Registro naudotojai, kuriems tokia teisė buvo suteikta), vientisumo (Registre saugomus duomenis gali tvarkyti (sukurti, ištrinti, papildyti) tik tokius įgaliojimus turintis Registro naudotojas), prieinamumo (Registro naudotojai neturi savo veiksmais sutrikdyti nepertraukiamos Registro veiklos).
6. Registro priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą Registro administratoriaus paskyrą, kuria naudojantis negalima atlikti Registro naudotojo funkcijos.
II SKYRIUS
REGISTRO NAUDOTOJŲ IR ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS
9. Vidiniai Registro naudotojai turi teisę rinkti, tvarkyti, perduoti, saugoti ar kitaip naudoti Registro elektroninę informaciją tik atlikdami savo tiesiogines funkcijas. Registro naudotojai – sveikatos priežiūros ir farmacijos specialistai – turi teisę peržiūrėti su jais pačiais susijusią Registro elektroninę informaciją.
10. Registro naudotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti ar kitaip naudoti Registro elektroninę informaciją.
11. Pagal vykdomas funkcijas Registro naudotojams suteikiami prieigos prie duomenų įgaliojimai:
12. Vidiniams Registro naudotojams suteikiama teisė:
12.2. spausdinti arba kitomis elektroninėmis priemonėmis teikti informaciją ar pažymas, parengtas pagal Registro duomenų bazėje esančius duomenis;
13. Registro naudotojams – sveikatos priežiūros ir farmacijos specialistams – suteikiama teisė HTTPS protokolu peržiūrėti savo pačių duomenis, esančius Registre bei reikalauti, kad būtų ištaisyti klaidingi, netikslūs, papildyti neišsamūs, pašalinti nereikalingi arba neteisėtai surinkti duomenys.
14. Konkrečios vidinių Registro naudotojų teisės nustatomos pagal Registro naudotojų vykdomas funkcijas.
15. Kiekvienas Registro naudotojas, jungdamasis prie Registro, privalo atlikti tapatumo nustatymo procedūrą, t. y. nurodyti naudotojo vardą ir slaptažodį arba jungtis kitais, tapatybę nustatančiais būdais.
16. Vidiniam Registro naudotojui teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai vidinis Registro naudotojas nesinaudoja Registru ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais vidinis Registro naudotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams, vidinio Registro naudotojo teisė naudotis Registru turi būti panaikinta nedelsiant;
17. Vidiniai Registro naudotojai privalo laikytis Registro saugos dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.
18. Vidiniai Registro naudotojai privalo nedelsdami pranešti Registro saugos įgaliotiniui apie Registro sutrikimus, neįprastą veikimą, esamus arba galimus informacijos saugumo reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones bei kitų Registro naudotojų netinkamus veiksmus.
19. Registro administratorius, vykdydamas jam priskirtas funkcijas, turi prieigą prie visų Registro duomenų.
20. Registro administratoriaus įgaliojimai, teisės ir pareigos:
21. Registro administratorius privalo:
21.4. konsultuoti Registro naudotojus dėl Registro veikimo ir kitais su Registru susijusiais klausimais;
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA
22. Registro naudotojų registravimo ir išregistravimo tvarka:
22.1. Vidinius Registro naudotojus įregistruoja ir išregistruoja Registro administratorius, įstaigos, kurioje dirba Registro naudotojas, vadovo prašymu (Administravimo taisyklių 1 priedas):
22.1.1. vidiniam Registro naudotojui Registro administratorius suteikia naudotojo vardą ir laikiną slaptažodį;
22.1.3. kiekvienas vidinis Registro naudotojas privalo naudoti tik jam suteiktą naudotojo vardą, naudoti svetimą vardą draudžiama;
22.1.4. vidiniai Registro naudotojų vardai kaupiami ir registruojami centralizuotai, elektroniniame registracijos žurnale, kurį pildo administratorius;
22.1.5. Registro administratoriaus suteiktas laikinas slaptažodis galioja iki Registro naudotojo pirmo prisijungimo prie Registro;
22.1.6. prieš suteikdamas vidiniam Registro naudotojui prieigą prie Registro, administratorius privalo įsitikinti, ar vidinis Registro naudotojas turi savo tiesioginio vadovo leidimą naudotis konkrečia informacija. Tiesioginis vadovas Registro administratoriui turi nurodyti prieigos prie Registro teises.
23. Registro naudotojų slaptažodžio, jo galiojimo trukmės, keitimo ir saugojimo reikalavimai:
23.1. Registro administratorius suteiktą laikiną slaptažodį Registro naudotojui perduoda asmeniškai arba elektroniniu paštu;
23.2. Registro naudotojas, pirmą kartą jungdamasis prie Registro, laikiną slaptažodį privalo pakeisti;
23.4. slaptažodį turi sudaryti trijų grupių iš galimų keturių (didžiosios ir mažosios raidės, skaičiai ir specialūs ženklai) simboliai;
23.5. slaptažodžiui sudaryti negalima naudoti asmeninės informacijos (pvz., savo ar vaiko gimimo datos, gyvenamosios vietos adreso sudėtinių dalių, vaikų vardų ir t. t.);
23.6. Registro naudotojas slaptažodį turi įsiminti, draudžiama slaptažodį užsirašyti ar pasakyti kitam asmeniui;
23.7. kilus įtarimui, kad slaptažodis galėjo būti atskleistas, Registro naudotojas turi nedelsdamas slaptažodį pakeisti;
23.8. pasirinkdamas ar keisdamas slaptažodį, Registro naudotojas turi bent kartą slaptažodį pakartoti;
23.11. Registro dalys, atliekančios nuotolinio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;
23.12. iš eilės neteisingai įvedus slaptažodį 5 kartus, naudotojo paskyra yra užblokuojama ir ją atblokuoti gali tik Registro administratorius;
23.13. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei Registro naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.
24. Papildomi reikalavimai Registro administratorių slaptažodžiams:
25. Vidinių Registro naudotojų teisių dirbti su elektronine informacija suteikimas:
25.1. prieigos teisės dirbti su Registro elektronine informacija darbuotojui gali būti suteiktos tik pasirašius Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojo (administratoriaus) pasižadėjimą (Administravimo taisyklių 2 priedas) bei susipažinus su Registro duomenų saugos nuostatais. Pasižadėjimas pasirašomas dalyvaujant liudininkui, kuris savo dalyvavimą patvirtina parašu;
25.2. Registro tvarkytojo vadovas prašymą dėl darbuotojui reikalingų suteikti prieigos teisių kartu su darbuotojo pasirašytu pasižadėjimu pateikia Registro saugos įgaliotiniui, kuris jį patvirtina;
25.3. Registro tvarkytojo vadovas darbuotojo pasižadėjimą perduoda saugoti už personalą atsakingiems darbuotojams, o prašymą – administratoriui;
25.4. darbuotojui, perėjusiam dirbti į kitas pareigas arba suteikiant papildomas prieigos teises, jos pakeičiamos (suteikiamos) šiame skyriuje nustatyta tvarka. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojo (administratoriaus) pasižadėjimo antrą kartą pasirašyti nereikia.
26. Vidinių Registro naudotojų teisė dirbti su elektronine informacija panaikinama:
27. Nuotolinis prisijungimas prie Registro nėra numatytas, išskyrus Registro techninės ir (ar) programinės įrangos vystymo ar priežiūros paslaugų teikėjams ir Registro administratoriui. Prisijungimas galimas tik Registro administratoriaus suteiktais unikaliais prisijungimo vardais ir slaptažodžiais naudojant virtualų privatų tinklą (VPN) arba nuotolinį darbalaukį (RDC).
Sveikatos priežiūros ir farmacijos specialistų
praktikos licencijų registro naudotojų
administravimo taisyklių
1 priedas
(Prašymo suteikti arba panaikinti teisę naudotis Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registru forma)
(Įstaigos pavadinimas)
(Adresas)
(Kontaktiniai duomenys)
( Sveikatos priežiūros ir farmacijos specialistų
praktikos licencijų registro administratoriui)
PRAŠYMAS
SUTEIKTI ARBA PANAIKINTI TEISĘ NAUDOTIS SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRU
Prašau suteikti / panaikinti (pabraukti) teisę naudotis Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registru (toliau – Registras), suteikiant / panaikinant (pabraukti) teises (nurodyti darbuotojo funkcijas, kurioms vykdyti reikalinga Registro prieiga):
|
|
|
Darbuotojo vardas, pavardė:
Darbuotojo asmens kodas:
Darbuotojo pareigos:
Eil. Nr. |
Vykdoma funkcija1 |
Prašoma suteikti/panaikinti teisė naudotis Registru2 |
Prašoma teisę naudotis Registru suteikti laikotarpiui |
Prašoma teisę naudotis Registru panaikinti nuo3 |
Teisę naudotis Registru panaikinimo priežastis4 |
|
Nuo |
Iki5 |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
_____________________________________ ______________ _______________
(Darbuotojo pareigos, vardas, pavardė) (Parašas) (Data)
_____________________________________ ______________ _______________
(Įstaigos vadovo pareigos, vardas, pavardė) (Parašas) (Data)
_____________________________________ ______________ _______________
(Registro saugos įgaliotinio pareigos, vardas, pavardė) (Parašas) (Data)
_____________________________
1 Nurodyti darbo funkciją (jei žinoma, nurodyti Registro posistemės pavadinimą)
2 Pildo Registro administratorius
3 Pildo Registro administratorius
4 Pildo Registro administratorius
5 Pildyti, jei ši informacija yra žinoma (pvz., terminuota darbo sutartis)
Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklių
2 priedas
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO NAUDOTOJO (ADMINISTRATORIAUS) PASIŽADĖJIMAS
1. Patvirtinu, kad esu susipažinęs (-usi) su Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų, įskaitant asmens duomenis, (toliau – duomenys) tvarkymą ir saugą.
2. Suprantu, kad:
2.1. atlikdamas pareigybės aprašyme nustatytas funkcijas, tvarkysiu Registro duomenis ar susipažinsiu su šiais duomenimis; šie duomenys visuomenės ir atskirų asmenų interesais gali būti atskleisti ar perduoti tik teisės aktų nustatyta tvarka įgaliotiems asmenims ir institucijoms;
2.2. draudžiama perduoti neįgaliotiems asmenimis įstaigoje ar už jos ribų duomenis, dokumentus ir (arba) jų kopijas ar kitaip sudaryti sąlygas susipažinti su duomenimis, dokumentais, jų kopijomis;
2.3. draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis, ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;
2.4. netinkamas duomenų tvarkymas užtraukia atsakomybę Lietuvos Respublikos įstatymų nustatyta tvarka;
2.5. asmuo, patyręs žalą dėl mano padarytos neteisėtos veikos, įstatymų nustatyta tvarka turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą;
3. Pasižadu ir įsipareigoju:
3.1. saugoti duomenų paslaptį, jei jie neskirti skelbti viešai; įsipareigojimas saugoti duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams;
3.2. tvarkyti duomenis vadovaudamasis Lietuvos Respublikos įstatymais, Registro elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatomis ir kitais teisės aktais, taip pat pareigybės aprašymu;
3.3. neatskleisti, neperduoti duomenų nė vienam asmeniui, kuris nėra įgaliotas gauti šiuos duomenis teisės aktų nustatyta tvarka;
3.4. pranešti savo tiesioginiam vadovui, duomenų saugos įgaliotiniui, Registro administratoriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
______________________________ ______________________________ _______________
(pareigos) (vardas, pavardė) (parašas)
Šis pasižadėjimas buvo pasirašytas dalyvaujant
______________________________ _______________________________ _______________
(pareigos) (vardas, pavardė) (parašas)