LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO
Į S A K Y M A S
DĖL SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2011 m. gruodžio 16 d. Nr. V-1071
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8, 15 punktais:
1. T v i r t i n u Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro duomenų saugos nuostatus (pridedama).
2. P a v e d u:
2.1. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos direktoriui:
2.1.1. iki 2012 m. liepos 1 d. paskirti Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugos įgaliotinį ir administratorių;
2.1.2. iki 2012 m. lapkričio 1 d. parengti ir pateikti Lietuvos Respublikos sveikatos apsaugos ministerijai tvirtinti:
2.1.2.1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;
2.1.2.2. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro veiklos tęstinumo valdymo plano projektą;
PATVIRTINTA
Lietuvos Respublikos
sveikatos apsaugos ministro
2011 m. gruodžio 16 d. įsakymu Nr. V-1071
SVEIKATOS PRIEŽIŪROS IR FARMACIJOS SPECIALISTŲ PRAKTIKOS LICENCIJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro (toliau – Registras) duomenų saugos nuostatai (toliau – saugos nuostatai) nustato Registre tvarkomos elektroninės informacijos saugos tikslus, duomenų saugos užtikrinimo prioritetines kryptis, saugų elektroninės informacijos valdymą, organizacinius, techninius ir personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus, apibrėžia duomenų saugos politiką.
2. Šiuose saugos nuostatuose vartojamos sąvokos atitinka teisės aktuose, nurodytuose šių saugos nuostatų 13 punkte, vartojamas sąvokas.
3. Šiais saugos nuostatais turi vadovautis Registro saugos įgaliotinis (toliau – saugos įgaliotinis), Registro administratorius (toliau – administratorius), Registro naudotojai (toliau – naudotojai), vadovaujančioji Registro tvarkymo įstaiga, Registro tvarkymo įstaigos.
4. Informacijos saugos tikslai yra šie:
5. Informacijos saugos užtikrinimo prioritetinės kryptys:
6. Vadovaujančioji Registro tvarkymo įstaiga – Lietuvos Respublikos sveikatos apsaugos ministerija (Vilniaus g. 33, LT-01506 Vilnius).
7. Registro tvarkymo įstaigos yra Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (Žalgirio g. 92, LT-09303 Vilnius), Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos (Žirmūnų g. 139A, LT-09120 Vilnius), Lietuvos Respublikos odontologų rūmai (J. Jasinskio g. 16, LT-01112 Vilnius).
8. Vadovaujančioji Registro tvarkymo įstaiga atlieka šias funkcijas:
8.2. priima sprendimus dėl registro techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;
8.3. priima sprendimą dėl Registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;
8.5. tvirtina Saugaus elektroninės informacijos tvarkymo taisykles, Informacinės sistemos veiklos tęstinumo valdymo planą bei Informacinės sistemos naudotojų administravimo taisykles;
9. Šių saugos nuostatų 8.3, 8.6, 8.7 punktuose nurodytas funkcijas vadovaujančioji Registro tvarkymo įstaiga gali perduoti vykdyti vienai iš Registro tvarkymo įstaigų.
10. Registro tvarkymo įstaigos užtikrina, kad naudotojai laikytųsi saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nurodytų reikalavimų.
11. Saugos įgaliotinio funkcijos ir atsakomybė:
11.1. teikia Vadovaujančiajai registro tvarkymo įstaigai (arba jos paskirtai Registro tvarkymo įstaigai) siūlymus dėl:
12. Administratoriaus funkcijos ir atsakomybė:
12.3. administruoja ir užtikrina tinkamą Registrą sudarančių komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės) veikimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;
13. Registro sauga užtikrinama vadovaujantis:
13.1. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
13.2. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
13.3. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
13.4. Interneto tarnybinių stočių apsaugos rekomendacijomis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 21 d. įsakymu Nr. 1V-176 (Žin., 2004, Nr. 85-3095).
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
14. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą informaciją gairėmis, Registras priskiriamas antrajai kategorijai.
15. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Minėtą rizikos įvertinimą gali atlikti ir pats saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.
16. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
16.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);
16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdymai, saugos pažeidimai, vagystės ir kt.);
17. Atsižvelgdama į rizikos įvertinimo ataskaitą, Vadovaujančioji registro tvarkymo įstaiga prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Saugos užtikrinimo priemonės parenkamos, siekiant užtikrinti Registro veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų informacinės sistemos darbą.
19. Registro saugos atitikties vertinimas atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855).
20. Atliekant Registro saugos atitikties vertinimą (atliekamas ne rečiau, kaip kartą per dvejus metus):
20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Saugi prieiga prie informacijos yra užtikrinama tokiomis priemonėmis:
22.2. kiekvienas naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;
22.3. naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo Registro, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;
22.4. naudotojui neatliekant jokių veiksmų, Registras turi užsirakinti, kad toliau naudotis Registru galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;
22.5. prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik administratoriui;
22.6. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir drausti prieigą neatpažintiems kompiuteriams, prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;
23. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.):
23.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;
23.2. turi būti naudojamos priemonės nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;
24. Naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti diegia ir prižiūri administratorius.
25. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus), bent kartą per mėnesį atlieka administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau 20% interneto ryšio resurso.
26. Kompiuterių tinklo serveriai, bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės, bei duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali pilnai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.
27. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą, tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja administratorius, blokuodamas potencialiai pavojingas interneto sritis.
28. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie Registro įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.
30. Registro atsarginės duomenų kopijos daromos automatiniu būdu kiekvieną dieną esant aktyviai registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kopijų saugojimo laikmenas) ir saugomos seife, prieinamame tik administratoriui, jo nesant – administratorių pavaduojančiam asmeniui. Prireikus jas atkurti turi teisę tik administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atstatyti Registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta Registro saugaus informacijos tvarkymo taisyklėse.
IV. REIKALAVIMAI PERSONALUI
32. Administratorius turi išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
33. Saugos įgaliotinis turi išmanyti saugos užtikrinimo principus, darbą su kompiuterių tinklais, turėti darbo su operacinėmis sistemomis, taikomosiomis programomis patirties. Savo darbe turi vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
34. Naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su šiais nuostatais bei kitais saugos politiką reglamentuojančiais dokumentais.
35. Naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui.
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
VI. BAIGIAMOSIOS NUOSTATOS