LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

Į S A K Y M A S

DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2011 m. gruodžio 16 d. Nr. V-1071

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8, 15 punktais:

1. T v i r t i n u Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriui:

2.1.1. iki 2012 m. liepos 1 d. paskirti Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos įgaliotinį ir administratorių;

2.1.2. iki 2012 m. lapkričio 1 d. parengti ir pateikti Lietuvos Respublikos sveikatos apsaugos ministerijai tvirtinti:

2.1.2.1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.1.2.2. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano projektą;

2.1.2.3. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro naudotojų administravimo taisyklių projektą.

2.2. Įsakymo vykdymo kontrolę viceministrui pagal administruojamą sritį.

SVEIKATOS APSAUGOS MINISTRAS RAIMONDAS ŠUKYS

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2011 m. gruodžio 16 d. įsakymu Nr. V-1071

SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) duomenų saugos nuostatai (toliau – saugos nuostatai) nustato Registre tvarkomos elektroninės informacijos saugos tikslus, duomenų saugos užtikrinimo prioritetines kryptis, saugų elektroninės informacijos valdymą, organizacinius, techninius ir personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus, apibrėžia duomenų saugos politiką.

2. Šiuose saugos nuostatuose vartojamos sąvokos atitinka teisės aktuose, nurodytuose šių saugos nuostatų 13 punkte, vartojamas sąvokas.

3. Šiais saugos nuostatais turi vadovautis Registro saugos įgaliotinis (toliau – saugos įgaliotinis), Registro administratorius (toliau – administratorius), Registro naudotojai (toliau – naudotojai), vadovaujančioji Registro tvarkymo įstaiga, Registro tvarkymo įstaigos.

4. Informacijos saugos tikslai yra šie:

4.1. informacijos vientisumo, konfidencialumo, prieinamumo užtikrinimas;

4.2. kompiuterizuotų darbo vietų pakankamo saugos lygio įdiegimas ir palaikymas;

4.3. tinkamo kompiuterinės, programinės ir ryšių įrangos funkcionavimo užtikrinimas;

4.4. kompiuterinio ryšio, priimant ir perduodant informaciją elektroniniu paštu, patikimumo ir saugos užtikrinimas.

5. Informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. Registro duomenims tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

5.2. Registro duomenų tvarkymo kontrolė;

5.3. veiklos tęstinumo užtikrinimas;

5.4. asmens duomenų apsauga.

6. Vadovaujančioji Registro tvarkymo įstaiga – Lietuvos Respublikos sveikatos apsaugos ministerija (Vilniaus g. 33, LT-01506 Vilnius).

7. Registro tvarkymo įstaigos yra Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (Žalgirio g. 92, LT-09303 Vilnius), Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos (Žirmūnų g. 139A, LT-09120 Vilnius), Lietuvos Respublikos odontologų rūmai (J. Jasinskio g. 16, LT-01112 Vilnius).

8. Vadovaujančioji Registro tvarkymo įstaiga atlieka šias funkcijas:

8.1. organizuoja ir vadovauja Registro veiklai;

8.2. priima sprendimus dėl registro techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;

8.3. priima sprendimą dėl Registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

8.4. atsako už elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugą;

8.5. tvirtina Saugaus elektroninės informacijos tvarkymo taisykles, Informacinės sistemos veiklos tęstinumo valdymo planą bei Informacinės sistemos naudotojų administravimo taisykles;

8.6. prižiūri saugos dokumentų reikalavimų įgyvendinimą;

8.7. skiria saugos įgaliotinį ir administratorių;

8.8. kontroliuoja, kad Registras būtų tvarkomos vadovaujantis Lietuvos Respublikos įstatymais, šiais saugos nuostatais ir kitais teisės aktais.

9. Šių saugos nuostatų 8.3, 8.6, 8.7 punktuose nurodytas funkcijas vadovaujančioji Registro tvarkymo įstaiga gali perduoti vykdyti vienai iš Registro tvarkymo įstaigų.

10. Registro tvarkymo įstaigos užtikrina, kad naudotojai laikytųsi saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nurodytų reikalavimų.

11. Saugos įgaliotinio funkcijos ir atsakomybė:

11.1. teikia Vadovaujančiajai registro tvarkymo įstaigai (arba jos paskirtai Registro tvarkymo įstaigai) siūlymus dėl:

11.1.1. administratoriaus paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. Registro saugos reikalavimų atitikties vertinimo atlikimo;

11.2. koordinuoja Registro saugos incidentų, tyrimą;

11.3. teikia administratoriui privalomus vykdyti nurodymus bei pavedimus;

11.4. konsultuoja naudotojus Registro saugos klausimais;

11.5. atsako už Registro saugos politikos įgyvendinimo organizavimą.

12. Administratoriaus funkcijos ir atsakomybė:

12.1. įvertina, ar naudotojai yra pasirengę darbui;

12.2. suteikia teisę naudotojams naudotis elektronine informacija paskirtoms funkcijoms atlikti;

12.3. administruoja ir užtikrina tinkamą Registrą sudarančių komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės) veikimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

12.4. informuoja saugos įgaliotinį apie saugos incidentus ir teikia pasiūlymus saugos užtikrinimo;

12.5. atsako už kompiuterių tinklo funkcionavimą;

12.6. atsako už Registro atsarginių duomenų kopijų darymą.

13. Registro sauga užtikrinama vadovaujantis:

13.1. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);

13.2. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

13.3. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

13.4. Interneto tarnybinių stočių apsaugos rekomendacijomis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 21 d. įsakymu Nr. 1V-176 (Žin., 2004, Nr. 85-3095).

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą informaciją gairėmis, Registras priskiriamas antrajai kategorijai.

15. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Minėtą rizikos įvertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

16. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

16.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdymai, saugos pažeidimai, vagystės ir kt.);

16.3. nenugalima jėga (force majeure) (audros, gaisrai, vandens poveikis ir kt.).

17. Atsižvelgdama į rizikos įvertinimo ataskaitą, Vadovaujančioji registro tvarkymo įstaiga prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Saugos užtikrinimo priemonės parenkamos, siekiant užtikrinti Registro veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų informacinės sistemos darbą.

19. Registro saugos atitikties vertinimas atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855).

20. Atliekant Registro saugos atitikties vertinimą (atliekamas ne rečiau, kaip kartą per dvejus metus):

20.1. įvertinama saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

20.2. inventorizuojama techninė ir programinė įranga;

20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;

20.4. patikrinama naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

20.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus saugos incidentui.

21. Atlikus šių saugos nuostatų 20 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato vadovaujančioji registro tvarkymo įstaiga.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. Saugi prieiga prie informacijos yra užtikrinama tokiomis priemonėmis:

22.1. signalizacija (nuo įsilaužimo ir gaisro);

22.2. kiekvienas naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

22.3. naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo Registro, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;

22.4. naudotojui neatliekant jokių veiksmų, Registras turi užsirakinti, kad toliau naudotis Registru galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

22.5. prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik administratoriui;

22.6. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir drausti prieigą neatpažintiems kompiuteriams, prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;

22.7. prisijungimo prie Registro laikas bei trukmė nėra ribojami;

22.8. turi būti naudojama tik legali programinė įranga.

23. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.):

23.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

23.2. turi būti naudojamos priemonės nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;

23.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

24. Naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti diegia ir prižiūri administratorius.

25. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus), bent kartą per mėnesį atlieka administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau 20% interneto ryšio resurso.

26. Kompiuterių tinklo serveriai, bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės, bei duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali pilnai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

27. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą, tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja administratorius, blokuodamas potencialiai pavojingas interneto sritis.

28. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie Registro įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

29. Nešiojami kompiuteriai gali būti prijungiami prie Registro tik iš tam skirtos vietos.

30. Registro atsarginės duomenų kopijos daromos automatiniu būdu kiekvieną dieną esant aktyviai registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kopijų saugojimo laikmenas) ir saugomos seife, prieinamame tik administratoriui, jo nesant – administratorių pavaduojančiam asmeniui. Prireikus jas atkurti turi teisę tik administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atstatyti Registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta Registro saugaus informacijos tvarkymo taisyklėse.

31. Naudotojai prie Registro prisijungia nuotoliniu būdu naudojant interneto naršyklę.

IV. REIKALAVIMAI PERSONALUI

32. Administratorius turi išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

33. Saugos įgaliotinis turi išmanyti saugos užtikrinimo principus, darbą su kompiuterių tinklais, turėti darbo su operacinėmis sistemomis, taikomosiomis programomis patirties. Savo darbe turi vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

34. Naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su šiais nuostatais bei kitais saugos politiką reglamentuojančiais dokumentais.

35. Naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui.

36. Saugos įgaliotinis periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką.

V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

37. Naudotojų supažindinimą su šiais saugos nuostatais bei kitais saugos politiką reglamentuojančiais dokumentais vykdo saugos įgaliotinis. Su minėtais dokumentais naudotojai supažindinami pasirašytinai.

VI. BAIGIAMOSIOS NUOSTATOS

38. Saugos įgaliotinis, administratorius ir naudotojai pažeidę šių saugos nuostatų reikalavimus, atsako teisės aktų nustatyta tvarka.

_________________