VALSTYBINĖS AKREDITAVIMO SVEIKATOS PRIEŽIŪROS VEIKLAI TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS

ĮSAKYMAS

DĖL VALSTYBINĖS AKREDITAVIMO SVEIKATOS PRIEŽIŪROS VEIKLAI TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS MEDICINOS PRIETAISŲ INFORMACINĖS SISTEMOS NUOSTATŲ IR VALSTYBINĖS AKREDITAVIMO SVEIKATOS PRIEŽIŪROS VEIKLAI TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS MEDICINOS PRIETAISŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2007 m. lapkričio 10 d. Nr. T1-415

Vilnius

Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1, 8 ir 15 punktais:

1. Tvirtinu pridedamus:

1.1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos nuostatus;

1.2. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos duomenų saugos nuostatus.

2. Skiriu Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Informacijos ir ryšių su visuomene skyriaus vyriausiąjį specialistą Kęstutį Akinį Medicinos prietaisų informacinės sistemos saugos įgaliotiniu.

3. Pavedu:

3.1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Informacijos ir ryšių su visuomene skyriui iki 2008 m. kovo 31 d. parengti ir pateikti Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriui tvirtinti teisės aktų projektus dėl:

3.1.1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos duomenų saugaus tvarkymo;

3.1.2. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos veiklos tęstinumo valdymo;

3.1.3. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos naudotojų administravimo.

3.2. Įsakymo vykdymą kontroliuoti Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriaus pavaduotojui medicinos prietaisams Artūrui Andziuliui.

DIREKTORIAUS PAVADUOTOJAS LICENCIJAVIMUI,

PAVADUOJANTIS DIREKTORIŲ ARVYDAS RAMELIS

_________________

PATVIRTINTA

Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. lapkričio 10 d. įsakymu Nr. T1-415

VALSTYBINĖS AKREDITAVIMO SVEIKATOS PRIEŽIŪROS VEIKLAI TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS MEDICINOS PRIETAISŲ INFORMACINĖS SISTEMOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos nuostatai (toliau – Nuostatai) nustato Medicinos prietaisų informacinės sistemos (toliau – MEPRIS) paskirtį, funkcijas, jos valdytoją, tvarkytoją, duomenų teikėjus, MEPRIS duomenis, jų saugą, MEPRIS reorganizavimą ir likvidavimą.

2. MEPRIS – tai Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos (toliau – VASPVT) teisės aktų nustatytoms medicinos prietaisų atitikties įvertinimo valdymo funkcijoms, išskyrus vidaus administravimą, atlikti reikalingos informacijos apdorojimo procesus atliekanti sistema.

3. MEPRIS tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, kitais teisės aktais ir šiais Nuostatais.

4. MEPRIS rengiama ir tvarkoma vadovaujantis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 58-2061), Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2004 m. spalio 15 d. įsakymu Nr. T-131 „Dėl Valstybės informacinių sistemų kūrimo metodinių dokumentų patvirtinimo“ (Žin., 2004, Nr. 155-5679), kitais teisės aktais ir šiais Nuostatais.

5. Šiuose Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos įstatymuose ir kituose teisės aktuose, reglamentuojančiuose informacinių sistemų administravimą, vartojamas sąvokas.

II. STEIGIMO PAGRINDAS IR UŽDAVINIAI

6. Pagrindiniai teisės aktai, kuriems įgyvendinti steigiama MEPRIS bei reglamentuojama numatoma kompiuterizuoti veiklos sritis:

6.1. Lietuvos medicinos norma MN 4:2001 „Medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 8 d. įsakymu Nr. 101 (Žin., 2001, Nr. 15-467);

6.2. Lietuvos medicinos norma MN 100:2001 „Aktyviųjų implantuojamųjų medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 8 d. įsakymu Nr. 101 (Žin., 2001, Nr. 15-467);

6.3. Lietuvos medicinos norma MN 102:2001 „In vitro diagnostikos medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. gruodžio 29 d. įsakymu Nr. 679 (Žin., 2002, Nr. 9-323);

6.4. Lietuvos medicinos norma MN 104:2004 „Medicinos prietaisų, gaminamų naudojant gyvūninius audinius, saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. balandžio 27 d. įsakymu Nr. V-280 (Žin., 2004, Nr. 70-2462);

6.5. Lietuvos medicinos norma MN 101:2003 „Medicinos prietaisų instaliavimo, eksploatavimo ir naudojimo tvarka sveikatos priežiūros įstaigose“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2003 m. spalio 22 d. įsakymu Nr. V-620 (Žin., 2003, Nr. 103-4621);

6.6. Asmens sveikatos priežiūros įstaigų licencijavimo taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. kovo 2 d. įsakymu Nr. V-156 (Žin., 2007, Nr. 31-1148).

7. MEPRIS paskirtis yra kompiuterizuoti VASPVT medicinos prietaisų atitikties įvertinimo valdymo veiklą, siekiant užtikrinti efektyvesnį šios srities funkcijų vykdymą bei užtikrinti, kad į Lietuvos Respublikos rinką būtų teikiami, Lietuvos Respublikoje platinami ir naudojami tik įstatymų ir kitų teisės aktų reikalavimus atitinkantys medicinos prietaisai.

8. MEPRIS funkcijos:

8.1. rinkti, kaupti, apdoroti, sisteminti, saugoti ir kitaip tvarkyti informaciją, susijusią su Lietuvos Respublikoje teikiamais, platinamais bei naudojamais medicinos prietaisais;

8.2. tenkinti fizinių ir juridinių asmenų teisėtus poreikius gauti MEPRIS tvarkomus duomenis;

8.3. užtikrinti MEPRIS tvarkytojo darbuotojams prieigą prie reikalingų MEPRIS duomenų;

8.4. teikti visuomenei viešai prieinamą informaciją;

8.5. vykdyti kitas šiuose Nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

9. Laukiami MEPRIS diegimo ir naudojimo rezultatai:

9.1. padidės informacijos rinkimo, kaupimo, apdorojimo ir analizės galimybės bei pagerės šių procesų kokybė;

9.2. padidės darbo organizavimo racionalumas;

9.3. sumažės teikiamų duomenų dubliavimas;

9.4. surinkti duomenys padės užtikrinti medicinos prietaisų rinkos priežiūros vykdymą.

III. ORGANIZACINĖ STRUKTŪRA

10. MEPRIS organizacinę struktūrą sudaro MEPRIS valdytojas, MEPRIS tvarkytojas, MEPRIS duomenų teikėjai ir gavėjai.

10.1. MEPRIS valdytojas – VASPVT:

10.1.1. tvirtina teisės aktus, reglamentuojančius MEPRIS duomenų tvarkymą bei saugą;

10.1.2. peržiūri ir teikia tikslinti MEPRIS Nuostatus, inicijuoja jų keitimą;

10.1.3. priima sprendimus dėl MEPRIS techninių ir programinių priemonių įsigijimo, įdiegimo ir tobulinimo;

10.1.4. teisės aktų nustatyta tvarka teikia suinteresuotiems asmenims informaciją apie MEPRIS veiklą;

10.1.5. užtikrina, kad MEPRIS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais Nuostatais ir kitais teisės aktais;

10.2. MEPRIS tvarkytojas – VASPVT:

10.2.1. tvarko MEPRIS duomenis;

10.2.2. įgyvendina MEPRIS techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;

10.2.3. rengia MEPRIS duomenų tvarkymą ir saugą reglamentuojančius teisės aktų projektus;

10.2.4. užtikrina MEPRIS duomenų saugą;

10.2.5. atlieka MEPRIS vartotojų administravimą;

10.2.6. užtikrina tinkamą MEPRIS veikimą;

10.2.7. atlieka duomenų ir kitos informacijos, poreikių analizę;

10.2.8. atlieka kitas šiuose Nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

11. MEPRIS duomenų teikėjai yra medicinos prietaisų gamintojai, įgaliotieji atstovai, importuotojai, platintojai, asmens sveikatos priežiūros įstaigos, asmenys, atliekantys medicinos prietaisų klinikinius tyrimus, medicinos prietaisų techninės būklės tikrinimą, paskelbtosios (notifikuotos) įstaigos, Europos Sąjungos šalių įgaliotosios institucijos.

IV. INFORMACINĖ STRUKTŪRA

12. MEPRIS susideda iš:

12.1. asmenų, atsakingų už medicinos prietaisų pateikimą į rinką, registravimo katalogo;

12.2. teikiamų į Lietuvos rinką medicinos prietaisų katalogo;

12.3. medicinos prietaisų budros pranešimų katalogo;

12.4. leidimų atlikti medicinos prietaisų techninės būklės tikrinimą katalogo;

12.5. Lietuvos paskelbtųjų (notifikuotų) įstaigų katalogo;

12.6. teikimų atlikti medicinos prietaisų klinikinius tyrimus katalogo;

12.7. Globalinės medicinos prietaisų nomenklatūros (GMDN) katalogo;

12.8. atšauktų atitikties sertifikatų katalogo;

12.9. Lietuvos vaistinių katalogo;

12.10. Lietuvos medicinos prietaisų rinkos tikrinimų katalogo.

13. Asmenų, atsakingų už medicinos prietaisų pateikimą į rinką, registravimo kataloge tvarkomi duomenys:

13.1. duomenys apie pranešimo registravimą:

13.1.1. bylos Nr.;

13.1.2. bylos registracijos data;

13.1.3. įregistravimo Nr.;

13.1.4. įregistravimo data;

13.1.5. registracijos panaikinimo data;

13.2. duomenys apie pranešimą (pirmas pateikimas; įmonės adreso/pavadinimo pasikeitimas; informacijos apie medicinos prietaisą pasikeitimas; teikimo į rinką nutraukimas);

13.3. duomenys apie pranešimo pateikėją (gamintojas; asmuo, surenkantis sistemas ar procedūrinius rinkinius; asmuo, sterilizuojantis medicinos prietaisus; įgaliotasis atstovas; importuotojas);

13.4. duomenys apie gamintoją:

13.4.1. įmonės pavadinimas;

13.4.2. įmonės sutrumpintas pavadinimas (jei yra);

13.4.3. įmonės kodas;

13.4.4. įmonės adresas(-ai) (buveinė/veiklos vietovės);

13.4.5. įmonės telefonas, faksas;

13.4.6. kontaktinis asmuo;

13.5. duomenys apie asmenį, surenkantį sistemas ar procedūrinius rinkinius:

13.5.1. įmonės pavadinimas;

13.5.2. įmonės sutrumpintas pavadinimas (jei yra);

13.5.3. įmonės kodas;

13.5.4. įmonės adresas(-ai) (buveinė/veiklos vietovės);

13.5.5. įmonės telefonas, faksas;

13.5.6. kontaktinis asmuo;

13.6. duomenys apie asmenį, sterilizuojantį medicinos prietaisus:

13.6.1. įmonės pavadinimas;

13.6.2. įmonės sutrumpintas pavadinimas (jei yra);

13.6.3. įmonės kodas;

13.6.4. įmonės adresas(-ai) (buveinė/veiklos vietovės);

13.6.5. įmonės telefonas, faksas;

13.6.6. kontaktinis asmuo;

13.7. duomenys apie įgaliotąjį atstovą:

13.7.1. įmonės pavadinimas;

13.7.2. įmonės sutrumpintas pavadinimas (jei yra);

13.7.3. įmonės kodas;

13.7.4. įmonės adresas(-ai) (buveinė/veiklos vietovės);

13.7.5. įmonės telefonas, faksas;

13.8. duomenys apie importuotoją:

13.8.1. įmonės pavadinimas;

13.8.2. įmonės sutrumpintas pavadinimas (jei yra);

13.8.3. įmonės kodas;

13.8.4. įmonės adresas(-ai) (buveinė/veiklos vietovės);

13.8.5. įmonės telefonas, faksas;

13.9. duomenys apie medicinos (in vitro diagnostikos) prietaisą:

13.9.1. medicinos prietaiso klasė;

13.9.2. gamybos tipas (serijinis, pagal užsakymą, „naujas“);

13.9.3. paskelbtosios (notifikuotos) įstaigos Nr. ;

13.9.4. paskelbtosios (notifikuotos) įstaigos išduotos atitikties sertifikato Nr.;

13.9.5. medicinos prietaiso kodas pagal GMDN;

13.9.6. medicinos prietaiso pavadinimas;

13.9.7. medicinos prietaiso modelis.

14. Teikiamų į Lietuvos rinką medicinos prietaisų kataloge tvarkomi duomenys:

14.1. duomenys apie IIb ir III klasės medicinos prietaisus:

14.1.1. duomenys apie pranešimo registravimą:

14.1.1.1. bylos Nr.;

14.1.1.2. bylos registracijos data;

14.1.1.3. duomenų pasikeitimo data;

14.1.2. duomenys apie pranešimo pateikėją (gamintojas; įgaliotasis atstovas; importuotojas; platintojas);

14.1.3. identifikaciniai pranešėjo duomenys:

14.1.3.1. įmonės pavadinimas;

14.1.3.2. įmonės adresas;

14.1.3.3. įmonės kodas;

14.1.3.4. įmonės telefonas, faksas;

14.1.4. duomenys apie gamintoją:

14.1.4.1. įmonės pavadinimas;

14.1.4.2. įmonės adresas;

14.1.5. duomenys apie įgaliotąjį atstovą:

14.1.5.1. įmonės pavadinimas;

14.1.5.2. įmonės adresas;

14.1.6. duomenys apie medicinos prietaisą:

14.1.6.1. medicinos prietaiso pavadinimas;

14.1.6.2. medicinos prietaiso modelis;

14.1.6.3. medicinos prietaiso klasė;

14.1.6.4. paskelbtosios (notifikuotos) įstaigos numeris;

14.2. duomenys apie in vitro diagnostikos medicinos prietaisus:

14.2.1. duomenys apie pranešimo registravimą:

14.2.1.1. bylos Nr. ;

14.2.1.2. bylos registracijos data;

14.2.2. duomenys apie gamintoją:

14.2.2.1. įmonės pavadinimas;

14.2.2.2. įmonės adresas;

14.2.3. duomenys apie įgaliotąjį atstovą:

14.2.3.1. įmonės pavadinimas;

14.2.3.2. įmonės adresas;

14.2.4. duomenys apie medicinos prietaisą:

14.2.4.1. medicinos prietaiso klasė;

14.2.4.2. paskelbtosios (notifikuotos) įstaigos Nr.;

14.2.4.3. paskelbtosios (notifikuotos) įstaigos išduoto atitikties sertifikato Nr.;

14.2.4.4. medicinos prietaiso kodas pagal GMDN;

14.2.4.5. medicinos prietaiso pavadinimas;

14.2.4.6. medicinos prietaiso modelis.

15. Medicinos prietaisų budros pranešimų kataloge tvarkomi duomenys:

15.1. duomenys apie pranešimo registravimą:

15.1.1. bylos Nr.;

15.1.2. bylos registracijos data;

15.2. duomenys apie pranešimo pateikėją (gamintojas; asmens sveikatos priežiūros įstaiga; įgaliotoji institucija);

15.3. pranešėjo identifikaciniai duomenys:

15.3.1. įmonės pavadinimas;

15.3.2. įmonės adresas;

15.3.3. pranešimo Nr.;

15.4. duomenys apie gamintoją:

15.4.1. įmonės pavadinimas;

15.4.2. įmonės adresas;

15.4.3. įmonės telefonas, faksas;

15.5. duomenys apie įgaliotąjį atstovą:

15.5.1. įmonės pavadinimas;

15.5.2. įmonės adresas;

15.5.3. įmonės telefonas, faksas;

15.6. duomenys apie medicinos prietaisą:

15.6.1. medicinos prietaiso pavadinimas;

15.6.2. medicinos prietaiso modelis;

15.6.3. medicinos prietaiso partijos/serijos Nr.;

15.6.4. medicinos prietaiso kodas pagal GMDN;

15.6.5. paskelbtosios (notifikuotos) įstaigos identifikacinis Nr.;

15.7. pranešimo priežastys;

15.8. kiti pranešimo duomenys (atšaukimas; apsaugos procedūra; kitas veiksmas; prietaisas yra Lietuvos rinkoje);

15.9. pastabos.

16. Lietuvos asmens sveikatos priežiūros įstaigose esančių medicinos prietaisų kataloge tvarkomi duomenys:

16.1. asmens sveikatos priežiūros įstaigos:

16.1.1. įmonės pavadinimas;

16.1.2. įmonės adresas;

16.1.3. įmonės telefonas, faksas;

16.1.4. įmonės kodas;

16.2. asmenų, atsakingų už pranešimų apie nesaugius ir neatitinkančius reikalavimų medicinos prietaisus pateikimą, duomenys:

16.2.1. vardas;

16.2.2. pavardė;

16.2.3. telefonas, faksas;

16.3. duomenys apie medicinos prietaisus:

16.3.1. duomenys apie gamintoją:

16.3.1.1. įmonės pavadinimas;

16.3.1.2. įmonės adresas;

16.3.2. duomenys apie medicinos prietaisą:

16.3.2.1. medicinos prietaiso pavadinimas;

16.3.2.2. medicinos prietaiso modelis;

16.3.2.3. medicinos prietaiso pagaminimo data;

16.3.2.4. medicinos prietaiso kodas pagal GMDN.

17. Leidimų atlikti medicinos prietaisų techninės būklės tikrinimą kataloge tvarkomi duomenys:

17.1. duomenys apie prašymo registravimą:

17.1.1. bylos Nr.;

17.1.2. bylos registracijos data;

17.2. duomenys apie leidimo suteikimą:

17.2.1. VASPVT direktoriaus įsakymo Nr.;

17.2.2. VASPVT direktoriaus įsakymo data;

17.2.3. VASPVT direktoriaus įsakymo paskelbimo informacinio leidinio „Valstybės žinios“ priede „Informaciniai pranešimai“ Nr.;

17.3. duomenys apie pranešėją:

17.3.1. įmonės pavadinimas;

17.3.2. įmonės adresas;

17.3.3. įmonės kodas;

17.3.4. įmonės telefonas, faksas;

17.3.5. kontaktinis asmuo;

17.4. duomenys apie medicinos prietaisus;

18. Lietuvos paskelbtųjų (notifikuotų) įstaigų kataloge tvarkomi duomenys:

18.1. įmonės identifikaciniai duomenys:

18.1.1. įmonės pavadinimas;

18.1.2. įmonės adresas;

18.1.3. įmonės kodas;

18.1.4. telefonas, faksas;

18.1.5. identifikacinis Nr.;

18.2. duomenys apie paskelbimo sritį:

18.2.1. medicinos prietaisų pavadinimai;

18.3. duomenys apie išduotus atitikties sertifikatus:

18.3.1. atitikties sertifikato Nr.;

18.3.2. atitikties sertifikato išdavimo data;

18.3.3. atitikties sertifikato galiojimo data;

18.3.4. medicinos prietaiso pavadinimas;

18.3.5. medicinos prietaiso modelis;

18.3.6. medicinos prietaiso partijos/serijos Nr.;

18.3.7. medicinos prietaiso kodas pagal GMDN;

18.4. duomenys apie atšauktus/sustabdytus atitikties sertifikatus:

18.4.1. atitikties sertifikato Nr.;

18.4.2. atitikties sertifikato sustabdymo/atšaukimo data;

18.4.3. atitikties sertifikato sustabdymo/atšaukimo priežastys.

19. Teikimų atlikti medicinos prietaisų klinikinius tyrimus kataloge tvarkomi duomenys:

19.1. duomenys apie pranešimo registravimą:

19.1.1. bylos Nr.;

19.1.2. bylos gavimo data;

19.2. duomenys apie teikimo atlikti klinikinius tyrimus išdavimą:

19.2.1. teikimo atlikti klinikinius tyrimus Nr.;

19.2.2. teikimo atlikti klinikinius tyrimus data;

19.3. duomenys apie gamintoją:

19.3.1. įmonės pavadinimas;

19.3.2. įmonės adresas;

19.3.3. įmonės telefonas, faksas;

19.4. duomenys apie įgaliotąjį atstovą:

19.4.1. įmonės pavadinimas;

19.4.2. įmonės adresas;

19.4.3. telefonas, faksas;

19.5. asmens, atsakingo už pranešimą, duomenys:

19.5.1. įmonės pavadinimas;

19.5.2. įmonės adresas;

19.5.3. įmonės telefonas, faksas;

19.5.4. kontaktinis asmuo;

19.6. duomenys apie medicinos prietaisą:

19.6.1. medicinos prietaiso pavadinimas;

19.6.2. medicinos prietaiso prekės ženklas;

19.6.3. medicinos prietaiso modelis;

19.6.4. medicinos prietaiso klasė;

19.6.5. paskelbtosios (notifikuotos) įstaigos, įvertinusios gamintojo kokybės sistemą ar procesą identifikacinis Nr. bei sertifikato Nr. ir išdavimo data;

19.7. duomenys apie klinikinius tyrimus:

19.7.1. duomenys apie asmenį, atsakingą už klinikinių tyrimų organizavimą:

19.7.1.1. vardas;

19.7.1.2. pavardė;

19.7.1.3. telefonas, faksas;

19.7.2. duomenys apie pagrindinį tyrėją:

19.7.2.1. vardas;

19.7.2.2. pavardė;

19.7.2.3. kontaktinis adresas;

19.7.2.4. telefonas, faksas;

19.7.3. klinikinių tyrimų atlikimo vieta:

19.7.3.1. įmonės pavadinimas;

19.7.3.2. įmonės adresas;

19.7.3.3. įmonės kodas;

19.7.3.4. įmonės telefonas, faksas;

19.7.4. klinikinių tyrimų atlikimo pradžia;

19.7.5. numatoma klinikinių tyrimų trukmė.

20. Globalinės medicinos prietaisų nomenklatūros (GMDN) kataloge tvarkomi duomenys:

20.1. medicinos prietaisų kategorijos:

20.1.1. terminas;

20.1.2. apibrėžimas;

20.2. medicinos prietaisų klasifikavimas:

20.2.1. kodas;

20.2.2. medicinos prietaiso pavadinimas;

20.2.3. sinonimas;

20.2.4. medicinos prietaiso apibūdinimas.

21. Atšauktų atitikties sertifikatų kataloge tvarkomi duomenys:

21.1. duomenys apie gamintoją:

21.1.1. įmonės pavadinimas;

21.1.2. įmonės adresas;

21.2. duomenys apie įgaliotąjį atstovą:

21.2.1. įmonės pavadinimas;

21.2.2. įmonės adresas;

21.3. duomenys apie medicinos prietaisą:

21.3.1. medicinos prietaiso pavadinimas;

21.3.2. medicinos prietaiso modelis;

21.4. duomenys apie paskelbtąją (notifikuotą) įstaigą:

21.4.1. įmonės pavadinimas;

21.4.2. identifikacinis Nr.;

21.5. duomenys apie atšaukimą (sustabdymas; atšaukimas):

21.5.1. atšaukimo data;

21.5.2. atšaukimo priežastis.

22. Lietuvos vaistinių kataloge tvarkomi duomenys:

22.1. įmonės pavadinimas;

22.2. įmonės adresas;

22.3. įmonės kodas.

23. Lietuvos medicinos prietaisų rinkos tikrinimų kataloge tvarkomi duomenys:

23.1. duomenys apie tikrinimo registravimą:

23.1.1. tikrinimo data;

23.1.2. tikrinimo akto Nr.;

23.1.3. bylos Nr.;

23.2. duomenys apie tikrinimo vietą:

23.2.1. įmonės pavadinimas;

23.2.2. įmonės adresas;

23.3. duomenys apie medicinos prietaisą:

23.3.1. medicinos prietaiso pavadinimas;

23.3.2. medicinos prietaiso modelis;

23.3.3. medicinos prietaiso partijos/serijos Nr.;

23.3.4. paskelbtosios (notifikuotos) įstaigos identifikacinis Nr.;

23.3.5. medicinos prietaiso kategorija pagal GMDN;

23.3.6. medicinos prietaiso kodas pagal GMDN;

23.4. duomenys apie gamintoją:

23.4.1. įmonės pavadinimas;

23.4.2. įmonės adresas;

23.5. duomenys apie įgaliotąjį atstovą:

23.5.1. įmonės pavadinimas;

23.5.2. įmonės adresas;

23.6. duomenys apie importuotoją:

23.6.1. įmonės pavadinimas;

23.6.2. įmonės adresas;

23.7. duomenys apie platintoją:

23.7.1. įmonės pavadinimas;

23.7.2. įmonės adresas;

23.8. duomenys apie nustatytus pažeidimus:

23.8.1. pažeidimų aprašymas;

23.9. kitos pastabos.

24. MEPRIS duomenų srautai:

24.1. Į MEPRIS iš Išduotų įstaigos asmens sveikatos priežiūros licencijų registro atnaujinami registruotų asmens sveikatos priežiūros įstaigų duomenys, nurodyti šių Nuostatų 16.1 punkte.

V. FUNKCINĖ STRUKTŪRA

25. MEPRIS funkcinę struktūrą sudaro MEPRIS posistemės ir šių posistemių atliekamos funkcijos.

26. MEPRIS sudaro šios posistemės:

26.1. administravimo ir vartotojų apskaitos posistemė, kurios pagrindinės funkcijos registruoti vartotojus, įvykius, užtikrinti duomenų apsaugos reikalavimus, valdyti MEPRIS duomenų archyvavimo priemones;

26.2. informacijos įvedimo į duomenų bazes posistemė, kurios pagrindinės funkcijos sudaryti sąlygas MEPRIS tvarkytojui pagal administravimo ir vartotojų apskaitos posistemėje suteiktas teises įvesti informaciją į duomenų bazes bei importuoti reikalingus duomenis iš kitų informacinių sistemų ir integruoti juos su MEPRIS esančiais duomenimis;

26.3. informacijos teikimo posistemė, kurios pagrindinė funkcija teikti informaciją duomenų gavėjams;

26.4. informacijos saugojimo posistemė, kurios pagrindinė funkcija saugoti į MEPRIS administravimo ir vartotojų apskaitos bei įvedimo į duomenų bazes posistemėse įvestus duomenis, informaciją ir ryšius tarp duomenų bei informacijos elementų;

26.5. informacijos apdorojimo posistemė, kurios pagrindinė funkcija pertvarkyti ir apdoroti įvedamus ir teikiamus duomenis.

27. MEPRIS duomenys kaupiami, tvarkomi duomenų bazėje ir saugomi archyve neterminuotai.

28. MEPRIS tvarkytojas pagal kompetenciją parengtus duomenis privalo per 5 darbo dienas įrašyti į MEPRIS duomenų bazę. Esant duomenų neatitikimams, duomenys į MEPRIS neįrašomi.

29. Nustačius, kad į MEPRIS įrašyti duomenys yra klaidingi ar neišsamūs, ir jei tai įvyko:

29.1. dėl MEPRIS tvarkytojo darbuotojų kaltės, MEPRIS tvarkytojas per 5 darbo dienas privalo ištaisyti padarytas klaidas;

29.2. dėl duomenų teikėjų darbuotojų kaltės, MEPRIS tvarkytojas nedelsdamas praneša apie tai atitinkamam duomenų teikėjui. Duomenų teikėjas per 5 darbo dienas privalo pateikti patikslintus duomenis MEPRIS tvarkytojui, o šis nedelsdamas pakeisti duomenis MEPRIS duomenų bazėse.

30. MEPRIS duomenys teikiami:

30.1. susijusiems valstybės registrams ir informacinėms sistemoms;

30.2. valstybės ir savivaldybių institucijoms, kurios atlieka valstybės priskirtas funkcijas, susijusias su registro duomenimis, arba kurioms duomenų reikia jų tiesioginėms funkcijoms atlikti Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka;

30.3. duomenų teikėjams, kurių duomenys yra įrašyti MEPRIS (tik jų pateikti MEPRIS duomenys).

VI. KAUPIAMŲ DUOMENŲ ŠALTINIAI

31. MEPRIS duomenis teikia:

31.1. medicinos prietaisų gamintojai;

31.2. gamintojų, neturinčių registruotos įmonės Bendrijoje, įgaliotieji atstovai;

31.3. medicinos prietaisų importuotojai;

31.4. medicinos prietaisų platintojai;

31.5. Lietuvos asmens sveikatos priežiūros įstaigos;

31.6. Europos Sąjungos valstybių narių medicinos prietaisų įgaliotosios institucijos;

31.7. paskelbtosios (notifikuotos) įstaigos;

31.8. asmenys, atliekantys medicinos prietaisų klinikinius tyrimus;

31.9. asmenys, atliekantys medicinos prietaisų techninės būklės tikrinimą;

31.10. MEPRIS tvarkytojo darbuotojų – valstybės tarnautojų ar darbuotojų, dirbančių pagal darbo sutartis, kurie turi teisę naudotis MEPRIS ištekliais numatytoms funkcijoms atlikti, veiklos metu sukaupti duomenys.

VII. DUOMENŲ SAUGA

32. MEPRIS duomenų sauga užtikrinama organizacinėmis, techninėmis, technologinėmis, metodinėmis ir kitomis priemonėmis, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), taip pat Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597) ir kitų teisės aktų, reglamentuojančių duomenų tvarkymo teisėtumą, informacinės sistemos valdytojo (tvarkytojo) veiklą ir duomenų saugos valdymą, nuostatomis.

33. MEPRIS duomenų sauga organizuojama vadovaujantis MEPRIS valdytojo ir tvarkytojo patvirtintais MEPRIS duomenų saugos nuostatais ir saugumo politiką įgyvendinančiais dokumentais.

34. Už MEPRIS duomenų saugą atsako MEPRIS valdytojas Lietuvos Respublikos teisės aktų ir šių Nuostatų nustatyta tvarka.

VIII. FINANSAVIMAS

35. MEPRIS finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų teisės aktuose nustatytų finansavimo šaltinių.

IX. BAIGIAMOSIOS NUOSTATOS

36. Reorganizuojant ir likviduojant MEPRIS, jos saugyklose laikomi duomenys perduodami kitos tokios pat arba panašios paskirties informacinės sistemos valdytojui (tvarkytojui), kitos (steigiamos vietoj reorganizuojamos ar likviduojamos) sistemos valdytojui (tvarkytojui), sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

37. MEPRIS valdytojas, tvarkytojas ir MEPRIS duomenų gavėjai teisės aktų nustatyta tvarka atsako už neteisėtą gaunamos iš MEPRIS informacijos atskleidimą ar kokią nors kitokią neteisėtą veiką, susijusią su MEPRIS.

_________________

PATVIRTINTA

Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. lapkričio 10 d. įsakymu Nr. T1-415

VALSTYBINĖS AKREDITAVIMO SVEIKATOS PRIEŽIŪROS VEIKLAI TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS MEDICINOS PRIETAISŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos Medicinos prietaisų informacinės sistemos (toliau – MEPRIS) elektroninių duomenų saugos nuostatai (toliau – saugos nuostatai) nustato elektroninių duomenų (toliau – duomenų) saugumo tikslus, duomenų saugumo užtikrinimo prioritetines kryptis, apibrėžia duomenų saugumo politiką.

2. Saugos nuostatuose vartojamos sąvokos:

Administratorius – MEPRIS tvarkytojo paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atliekantis MEPRIS priežiūrą.

Duomenų saugos įgaliotinis – MEPRIS tvarkytojo paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis duomenų saugą.

Duomenų tvarkymas – visos su duomenimis atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas ir t. t.

Saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie MEPRIS galimybę, sutrikdyti ar pakeisti MEPRIS veiklą, sunaikinti, sugadinti ar pakeisti duomenis, panaikinti ar apriboti galimybę naudotis duomenimis, sudaryti sąlygas neleistinai duomenis pasisavinti, paskleisti ar kitaip panaudoti.

Elektroniniai duomenys – visi duomenys, kurie tvarkomi informacinių technologijų (toliau – IT) priemonėmis. Tai yra programos, bylos ir kita informacija, kuri saugoma, perduodama ir sukuriama kompiuteriu.

Duomenų naudotojas – MEPRIS tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis kompiuterių tinklo ištekliais (MEPRIS duomenimis) nustatytoms funkcijoms atlikti.

Kompiuterinė įranga – tai kompiuteriai, jų dalys, išoriniai įrenginiai (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatai, klaviatūros, pelės, garso kolonėlės, ausinės, videokameros bei fotokameros, projektoriai ir pan.), kompiuterinio tinklo įranga, kompiuterinės bei tinklinės įrangos montavimo spintos, nepertraukiamo elektros maitinimo šaltiniai ir pan.

Kompiuterių tinklas – tai serveris ir darbo vietų kompiuteriai, sujungti į vieningą sistemą kompiuterinio tinklo įranga (kabelių ir tinklo aparatūros), siekiant užtikrinti naudotojams operatyvų apsikeitimą informacija, kolektyvinį kompiuterinės ir programinės įrangos naudojimą bei interneto paslaugas.

Programinė įranga – tai kompiuterinės programos, skirtos kompiuterinei įrangai valdyti bei naudotojo uždaviniams spręsti kompiuteriu (operacinės sistemos, programavimo sistemos, biuro programų paketai, antivirusinės, archyvavimo bei kitos taikomosios programos).

3. Saugos nuostatai kartu su Saugaus duomenų tvarkymo taisyklėmis, Elektroninių duomenų veiklos tęstinumo valdymo planu bei Elektroninių duomenų naudotojų administravimo taisyklėmis nustato MEPRIS duomenų saugumo politiką (toliau vadinama – saugumo politika).

4. Šiais saugos nuostatais turi vadovautis visi MEPRIS tvarkytojo įstaigos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, kurie tvarko duomenis, esančius MEPRIS.

5. MEPRIS duomenų saugos tikslai yra šie:

5.1. duomenų patikimumo, vientisumo, konfidencialumo, prieinamumo ir saugumo užtikrinimas;

5.2. kompiuterizuotų darbo vietų pakankamo saugumo lygio įdiegimas ir palaikymas;

5.3. nuolatinis vietinio kompiuterių tinklo funkcionavimo užtikrinimas bei saugumo monitoringas;

5.4. tinkamo kompiuterinės, programinės ir komunikacinės įrangos funkcionavimo užtikrinimas;

5.5. kompiuterinio ryšio, priimant ir perduodant informaciją elektroniniu paštu, patikimumo ir saugumo užtikrinimas.

6. Duomenų saugumo užtikrinimo prioritetinės kryptys:

6.1. fizinė duomenų apdorojimo priemonių (patalpos, serveriai, duomenų perdavimo įranga, programinė įranga) apsauga;

6.2. organizacinių saugaus darbo su duomenimis priemonių įgyvendinimas ir kontrolė.

7. MEPRIS valdytojas ir tvarkytojas yra Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (toliau – VASPVT), Žalgirio g. 92, LT-09303 Vilnius.

7.1. MEPRIS valdytojo vadovų funkcijos ir atsakomybė:

7.1.1. MEPRIS valdytojo vadovas organizuoja ir vadovauja MEPRIS veiklai, skirdamas MEPRIS saugos įgaliotinį;

7.1.2. kontroliuoja, kad MEPRIS būtų tvarkoma vadovaujantis Lietuvos Respublikos valstybės įstatymais, šiais saugos nuostatais ir kitais teisės aktais;

7.1.3. atsako už MEPRIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems saugos nuostatams;

7.2. MEPRIS tvarkytojo vadovų funkcijos ir atsakomybė:

7.2.1. MEPRIS tvarkytojo vadovas rūpinasi MEPRIS duomenų saugumu;

7.2.2. atsako už MEPRIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems saugos nuostatams;

7.2.3. užtikrina, kad MEPRIS tvarkytojo darbuotojai – valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, kurie turi teisę naudotis MEPRIS ištekliais numatytoms funkcijoms atlikti, laikosi nuostatų, išvardytų saugos nuostatuose bei kituose saugos politiką įgyvendinančiuose teisės aktuose;

7.3. saugos įgaliotinio funkcijos ir atsakomybė:

7.3.1. teikia MEPRIS valdytojui pasiūlymus dėl:

7.3.1.1. administratoriaus paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

7.3.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

7.3.1.3. MEPRIS IT saugos reikalavimų atitikties vertinimo atlikimo;

7.3.2. koordinuoja duomenų saugos incidentų tyrimą;

7.3.3. teikia administratoriui privalomus vykdyti nurodymus bei pavedimus;

7.3.4. kartu su MEPRIS tvarkytoju ir valdytoju rengia MEPRIS duomenų saugumo politiką;

7.3.5. konsultuoja naudotojus IT saugos klausimais;

7.3.6. atsako už duomenų saugumo politikos įgyvendinimo organizavimą;

7.4. administratoriaus funkcijos ir atsakomybė:

7.4.1. įvertina, ar naudotojai yra pasirengę darbui;

7.4.2. suteikia teisę naudotis MEPRIS duomenimis paskirtoms funkcijoms atlikti;

7.4.3. supažindina su MEPRIS komponentais;

7.4.4. atlieka MEPRIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

7.4.5. informuoja saugos įgaliotinį apie saugos incidentus ir teikia pasiūlymus;

7.4.6. atsako už MEPRIS funkcionavimą.

8. Tvarkant MEPRIS duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

8.1. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);

8.2. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

8.3. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

8.4. Interneto tarnybinių stočių apsaugos rekomendacijomis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 21 d. įsakymu Nr. 1V-176 (Žin., 2004, Nr. 85-3095);

8.5. Lietuvos medicinos norma MN 4:2001 „Medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 8 d. įsakymu Nr. 101 (Žin., 2001, Nr. 15-467);

8.6. Lietuvos medicinos norma MN 100:2001 „Aktyviųjų implantuojamųjų medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 8 d. įsakymu Nr. 101 (Žin., 2001, Nr. 15-467);

8.7. Lietuvos medicinos norma MN 102:2001 „In vitro diagnostikos medicinos prietaisų saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. gruodžio 29 d. įsakymu Nr. 679 (Žin., 2002, Nr. 9-323);

8.8. Lietuvos medicinos norma MN 104:2004 „Medicinos prietaisų, gaminamų naudojant gyvūninius audinius, saugos techninis reglamentas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. balandžio 27 d. įsakymu Nr. V-280 (Žin., 2004, Nr. 70-2462);

8.9. Lietuvos medicinos norma MN 101:2003 „Medicinos prietaisų instaliavimo, eksploatavimo ir naudojimo tvarka sveikatos priežiūros įstaigose“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2003 m. spalio 22 d. įsakymu Nr. V-620 (Žin., 2003, Nr. 103-4621);

8.10. Asmens sveikatos priežiūros įstaigų licencijavimo taisyklėmis, patvirtintomis Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. kovo 2 d. įsakymu Nr. V-156 (Žin., 2007, Nr. 31-1148).

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

9. MEPRIS saugomi duomenys yra priskiriami trečiajai kategorijai, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160) patvirtintų Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą informaciją gairėmis.

10. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja MEPRIS duomenų rizikos įvertinimą. Minėtą rizikos įvertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

11. MEPRIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte išvardytus rizikos veiksnius, galinčius turėti įtakos informacijos saugai.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

12. Saugi prieiga prie duomenų yra užtikrinama tokiomis priemonėmis:

12.1. signalizacija (nuo įsilaužimo ir gaisro);

12.2. naudotojai MEPRIS identifikuojami pagal vartotojų vardus bei slaptažodžius, kurių kontrolę atlieka MEPRIS administravimo ir vartotojų apskaitos posistemė;

12.3. prieiga prie kompiuterių bei serverių, kuriuose saugomi MEPRIS duomenys, operacinių sistemų valdymo bei konfigūravimo leidžiama tik administratoriui;

12.4. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir drausti prieigą neatpažintiems kompiuteriams, prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui, yra draudžiama;

12.5. prisijungimo prie MEPRIS laikas bei trukmė nėra ribojami.

13. Antivirusinė programa, skirta apsaugoti kompiuterių tinklą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.), turi turėti tokias savybes:

13.1. kenksmingų programų paieškos technologijos („scan engine“) turi būti ne senesnės nei 3 mėnesių. Minėtos technologijos atnaujinamos nuolat, atnaujinimai privalo būti įdiegti per 7 paras;

13.2. kenksmingų programų aprašų bazė („virus database“) turi būti ne senesnė nei 1 mėnesio. Minėta aprašų bazė atnaujinama nuolat, atnaujinimai privalo būti įdiegti per 7 paras;

13.3. privalo nuolat ieškoti ir blokuoti kenksmingas programas, veikiančias sisteminiuose kataloguose esančiose rinkmenose (įskaitant suspaustas rinkmenas);

13.4. kas savaitę privalo ieškoti ir blokuoti kenksmingas programas visuose kompiuterių tinklo kompiuteriuose bei serveriuose esančiose rinkmenose (įskaitant suspaustas bei įkrovos rinkmenas);

13.5. privalo turėti visuose MEPRIS tvarkytojo kompiuteriuose įdiegtų klientinių dalių valdymą viename kompiuteryje. Valdymo programoje turi matytis klientinių dalių būklė, atnaujinimų datos, kenksmingų programų radimo įrašai. Turi būti galimybė visiškai valdyti klientinę dalį nuotoliniu būdu bei galimybė išjungti klientinės dalies valdymą iš vietinio kompiuterio;

13.6. turi turėti apsaugos mechanizmus, blokuojančius kenksmingų programų bandymus panaikinti apsaugas nuo kenksmingų programų („tamper protection“);

13.7. turi turėti metodus ir technologijas kompiuterio darbo metu ieškoti neatpažintų kenksmingų programų ir jas blokuoti („bloodhound protection“).

14. Naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri administratorius.

15. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus) bent kartą per mėnesį atlieka administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius, didelius duomenų srautus, apkraunančius ne mažiau kaip 20% MEPRIS tvarkytojo interneto ryšio resurso.

16. Kompiuterių tinklo serveriai, bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės bei duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali visiškai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

17. Interneto ryšys turi būti atskirtas papildoma užkarda, kurioje visi nereikalingi prievadai yra blokuojami, o tiesioginis prievadų peradresavimas į kompiuterių tinklą suteiktas tik prievadams, kurie yra būtini minėtam tinklui funkcionuoti. Vidiniai kompiuterių adresai bei prievadai turi būti keičiami į internete VASPVT, o ne individualius kompiuterius, reprezentuojančius adresus.

18. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja administratorius, blokuodamas potencialiai pavojingas interneto sritis.

19. MEPRIS esančių duomenų atsarginės kopijos turi būti daromos kiekvieną darbo dieną.

20. Atkurti duomenis iš atsarginių kopijų turi būti įmanoma per 1 darbo dieną. Atsarginės duomenų kopijos turi būti 1 dienos, savaitės ir mėnesio senumo.

IV. REIKALAVIMAI PERSONALUI

21. Administratoriumi gali būti skiriamas darbuotojas, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

22. Saugos įgaliotiniu gali būti skiriamas darbuotojas, išmanantis saugos užtikrinimo principus. Savo darbe turi vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą.

23. Naudotojai, kurie naudosis MEPRIS duomenimis, privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su šiais saugos nuostatais bei kitais saugumo politiką reglamentuojančiais dokumentais.

24. Naudotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui.

V. DUOMENŲ NAUDOTOJŲ SUPAŽINDINIMO
SU SAUGOS DOKUMENTAIS PRINCIPAI

25. Naudotojų supažindinimą su šiais saugos nuostatais bei kitais saugumo politiką reglamentuojančiais dokumentais vykdo Kanceliarija. Su minėtais dokumentais duomenų naudotojai supažindinami pasirašytinai.

26. Saugos įgaliotinis periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką.

VI. BAIGIAMOSIOS NUOSTATOS

27. Naudotojai, pažeidę šiuos saugos nuostatus, atsako teisės aktų nustatyta tvarka.

_________________