LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

ĮSAKYMAS

 

DĖL SVEIKATOS APSAUGOS MINISTERIJOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO

 

2007 m. gruodžio 22 d. Nr. V-1065

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu Lietuvos Respublikos sveikatos apsaugos ministerijos informacinės sistemos saugos nuostatus (pridedama).

2. Skiriu:

2.1. Sveikatos apsaugos ministerijos Informacinių technologijų skyriaus vyriausiąjį specialistą Mantą Nausėdą Sveikatos apsaugos ministerijos informacinės sistemos saugos įgaliotiniu;

2.2. Sveikatos apsaugos ministerijos Informacinių technologijų skyriaus vyresnįjį specialistą Mantą Vaičiulį Sveikatos apsaugos ministerijos informacinės sistemos administratoriumi.

3. Pavedu saugos įgaliotiniui per 4 mėnesius nuo šio įsakymo įsigaliojimo datos parengti:

3.1. saugaus elektroninės informacijos tvarkymo taisyklių projektą;

3.2. informacinių sistemų veiklos tęstinumo valdymo plano projektą;

3.3. informacinių sistemų naudotojų administravimo taisyklių projektą.

 

 

 

SVEIKATOS APSAUGOS MINISTRAS                                  RIMVYDAS TURČINSKAS

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2007-12-10 raštu Nr. 1D-9499 (13)

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. gruodžio 22 d. įsakymu
Nr. V-1065

 

SVEIKATOS APSAUGOS MINISTERIJOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau – SAM) informacinės sistemos saugos nuostatai (toliau – saugos nuostatai) apibrėžia informacijos saugumo politiką.

2. Saugos nuostatuose vartojamos sąvokos:

Informacijos tvarkymas – visos su informacija atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas.

Saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie SAM informacinės sistemos galimybę, sutrikdyti ar pakeisti SAM informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas elektroninę informaciją neleistinai pasisavinti, paskleisti ar kitaip panaudoti.

Elektroninė informacija – visa informacija, kuri tvarkoma informacinių technologijų (toliau – IT) priemonėmis. Tai yra programos, bylos ir kita informacija, kuri saugoma, perduodama ir sukuriama kompiuteriu.

Informacijos naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis informacinės sistemos ištekliais nustatytoms funkcijoms atlikti.

Kompiuterinė įranga – tai kompiuteriai, jų dalys, išoriniai įrenginiai (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatai, klaviatūros, pelės, garso kolonėlės, ausinės, filmavimo kameros, fotoaparatai, projektoriai ir pan.), kompiuterinio tinklo įranga, kompiuterinės bei tinklinės įrangos montavimo spintos, nepertraukiamo elektros maitinimo šaltiniai ir pan.

Kompiuterių tinklas – tai serveris ir darbo vietų kompiuteriai, sujungti į vieningą sistemą kompiuterinio tinklo įrangos (kabelių ir tinklo aparatūros) pagalba siekiant užtikrinti vartotojams operatyvų apsikeitimą informacija, kolektyvinį kompiuterinės ir programinės įrangos naudojimą bei interneto paslaugas.

Programinė įranga – tai kompiuterinės programos, skirtos kompiuterinės įrangos valdymui bei vartotojo uždavinių sprendimui kompiuteriu (operacinės sistemos, programavimo sistemos, biuro programų paketai, antivirusinės, archyvavimo bei kitos taikomosios programos).

Kitos šiuose informacinės sistemos saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose, kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.

3. Šiais saugos nuostatais turi vadovautis visi SAM valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį (toliau – darbuotojai), kurie tvarko informaciją, esančią SAM kompiuterių tinkle.

4. SAM informacijos saugos tikslai yra šie:

4.1. informacijos patikimumo, vientisumo, konfidencialumo, prieinamumo ir saugumo užtikrinimas;

4.2. kompiuterizuotų darbo vietų pakankamo saugumo lygio įdiegimas ir palaikymas;

4.3. nuolatinis vietinio kompiuterių tinklo funkcionavimo užtikrinimas bei saugumo monitoringas;

4.4. tinkamo kompiuterinės, programinės ir komunikacinės įrangos funkcionavimo užtikrinimas;

4.5. saugaus darbo internete užtikrinimas;

4.6. kompiuterinio ryšio, priimant ir perduodant informaciją elektroniniu paštu, patikimumo ir saugumo užtikrinimas.

5. Informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. fizinė informacijos apdorojimo priemonių (patalpos, serveriai, informacijos perdavimo įranga, programinė įranga) apsauga;

5.2. organizacinių saugaus darbo su informacija priemonių įgyvendinimas ir kontrolė.

6. Informacijos valdytojas ir tvarkytojas yra SAM, Vilniaus g. 33, LT-01506 Vilnius.

7. Informacijos valdytojas ir tvarkytojas atlieka šias funkcijas:

7.1. skiria informacinės sistemos saugos įgaliotinį (toliau – saugos įgaliotinis);

7.2. rūpinasi informacijos saugumu;

7.3. atsako už informacijos saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems saugos nuostatams;

7.4. tvirtina Saugaus elektroninės informacijos tvarkymo taisykles, Veiklos tęstinumo valdymo planą ir Naudotojų administravimo taisykles;

7.5. užtikrina, kad informacijos naudotojai (toliau – naudotojai) laikytųsi nuostatų, išvardintų saugos nuostatuose ir saugumo politiką įgyvendinančiuose teisės aktuose.

8. Saugos įgaliotinis, įgyvendindamas informacinės sistemos saugą, atlieka šias funkcijas:

8.1. teikia siūlymus dėl:

8.1.1. administratorių paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

8.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

8.1.3. įstaigos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

8.2. koordinuoja informacijos saugos incidentų, įvykusių su informacija, tyrimą;

8.3. teikia administratoriui privalomus vykdyti nurodymus bei pavedimus;

8.4. kartu su tvarkytoju ir valdytoju rengia informacinės sistemos saugumo politiką;

8.5. konsultuoja naudotojus IT saugos klausimais;

8.6. atsako už informacijos saugumo politikos įgyvendinimo organizavimą.

9. Administratorius atlieka tokias funkcijas:

9.1. įvertina, ar naudotojai yra pasirengę darbui;

9.2. darbuotojams suteikia teisę naudotis informacija ir kompiuteriu paskirtoms funkcijoms atlikti;

9.3. supažindina su kompiuterių tinklo komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis, taikomosiomis programomis, užkardomis, informacijos perdavimo tinklais);

9.4. atlieka kompiuterių tinklą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, informacijos perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

9.5. registruoja saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;

9.6. atsako už kompiuterių tinklo funkcionavimą.

10. SAM informacijos sauga užtikrinama vadovaujantis:

10.1. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891);

10.2. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

11. SAM kompiuterių tinkle saugoma informacija yra priskiriama ketvirtai kategorijai, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą informaciją gairėmis patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 78-3160).

12. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja informacijos rizikos vertinimą. Minėtą rizikos vertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą.

13. Informacinės sistemos rizikos vertinimas išdėstomas rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 31 punkte išvardintus rizikos veiksnius, galinčius turėti įtakos informacijos saugai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

14. Saugi prieiga prie informacijos yra užtikrinama tokiomis priemonėmis:

14.1. apsaugos darbuotojas kontroliuoja patekimą į SAM patalpas;

14.2. signalizacija (nuo įsilaužimo ir gaisro);

14.3. naudotojai kompiuterių tinkle identifikuojami pagal vartotojų vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio bei serverio operacinės sistemos;

14.4. įėjimą į serverių laikymo patalpas turi tik administratorius;

14.5. prieiga prie kompiuterių ir serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik administratoriui;

14.6. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir drausti prieigą neatpažintiems kompiuteriams, prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui, yra draudžiama;

14.7. prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami.

15. Antivirusinė programa yra valdoma iš pagrindinio serverio. Darbuotojų kompiuterių antivirusinės programos atnaujinamos iš pagrindinio SAM serverio, taip mažinant interneto linijos apkrovimą.

16. Naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti diegia ir prižiūri administratorius.

17. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus), bent kartą per 3 mėnesius atlieka administratorius.

18. Interneto ryšys turi būti teikiamas naudojant saugų valstybinį duomenų perdavimo tinklą.

19. Nešiojamuosiuose kompiuteriuose esanti informacija apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Nešiojamuosiuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus naudotojo naudojamus darbo dokumentus.

20. Teisę diegti ir valdyti programas nešiojamuosiuose kompiuteriuose turi tik administratorius.

21. Serveriuose esančios informacijos atsarginės kopijos turi būti daromos kiekvieną darbo dieną.

22. Atkurti informaciją iš atsarginių kopijų turi būti įmanoma per 1 darbo dieną. Atsarginės informacijos kopijos turi būti saugomos ne mažiau kaip 5 dienas.

 

IV. REIKALAVIMAI PERSONALUI

 

23. Administratoriumi gali būti skiriamas darbuotojas, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

24. Naudotojai, kurie naudosis kompiuterių tinklo elektronine informacija, privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su šiais nuostatais ir kitais saugumo politiką reglamentuojančiais dokumentais.

25. Naudotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui.

26. Saugos įgaliotinis periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką.

 

V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

27. Naudotojų supažindinimą su šiais nuostatais ir kitais saugumo politiką reglamentuojančiais dokumentais vykdo saugos įgaliotinis.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

28. Naudotojai, pažeidę šiuos informacinės sistemos saugos nuostatus, atsako teisės aktų nustatyta tvarka.

 

_________________