LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRO

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ ELEKTRONINĖS SVEIKATOS SISTEMOS INFORMACINIŲ SISTEMŲ SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO

2020 m. balandžio 17 d. Nr. V-893

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:

1. T v i r t i n u pridedamus:

1.1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos tęstinumo valdymo planą;

1.3. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų naudotojų administravimo taisykles;

1.4. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų pokyčių valdymo tvarkos aprašą.

2. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. rugpjūčio 8 d. įsakymą Nr. V-761 „Dėl elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“.

Sveikatos apsaugos ministras Aurelijus Veryga

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2020-02-10 raštu Nr. (4.2 E) 6K-87

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2020 m. balandžio 17 d. įsakymu Nr. V-893

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ ELEKTRONINĖS SVEIKATOS SISTEMOS INFORMACINIŲ SISTEMŲ

Saugaus elektroninės informacijos tvarkymo taisyklės

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomų elektroninės sveikatos sistemos informacinių sistemų (toliau – Taisyklės) tikslas – nustatyti Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (toliau kartu – informacinės sistemos) elektroninės informacijos tvarkymo, techninius ir kitus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus.

2. Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai saugos reikalavimai).

3. Informacinėse sistemose tvarkoma elektroninė informacija ir jos grupių sąrašas nurodomi Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 7 d. nutarimu Nr. 1057 „Dėl Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų patvirtinimo“ ir Išankstinės pacientų registracijos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. gruodžio 6 d. įsakymu Nr. V-1406 „Dėl Išankstinės pacientų registracijos informacinės sistemos nuostatų patvirtinimo“.

4. Už informacinėse sistemose esančios elektroninės informacijos, priskirtos ypatingos svarbos elektroninės informacijos kategorijai, tvarkymą yra atsakingi informacinių sistemų naudotojai ir informacinių sistemų administratoriai.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

5. Kompiuterinės įrangos saugos priemonės:

5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų informacinių sistemų gaunamą ir išsiunčiamą duomenų srautą bei vidinį srautą tarp svarbiausių tinklo paslaugų;

5.2. įvykus įtartinai veiklai, tai turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas informacinių sistemų administratoriui. Sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

5.3. elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę, kurios įvykių žurnalai turi būti reguliariai, Taisyklių 11.1 papunktyje nustatyta tvarka analizuojami, o saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 (dvidešimt keturias) valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 (septyniasdešimt dvi) valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu informacinių sistemų valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinių sistemų veiklai vertinimas (testavimas);

5.5. pagrindinėse informacinių sistemų tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą, ir įjungtos užkardos, sukonfigūruotos praleisti tik su informacinių sistemų funkcionalumu ir administravimu susijusį duomenų srautą;

5.6. įsilaužimo aptikimo techninių sprendinių įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo informacinių sistemų techninės įrangos (kartu nurodant tam tikras datas (įgyvendinimo, atnaujinimo ir pan.), atsakingus asmenis, taikymo periodus ir pan.);

5.7. tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės. Informacinių sistemų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina. Kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 (dvidešimt keturias) valandas. Informacinių sistemų komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių informacinių sistemų naudotojų kompiuteriams ir kitiems informacinių sistemų komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos;

5.8. vidinių informacinių sistemų naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į kiekvieno informacinių sistemų tvarkytojo organizacijose leistinos naudoti programinės įrangos sąrašą. Leistinos naudoti programinės įrangos sąrašą turi parengti, su informacinių sistemų valdytojo vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti informacinių sistemų tvarkytojų saugos įgaliotiniai;

5.9. tarnybinių stočių ir vidinių informacinių sistemų naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

5.10. saugos administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių informacinių sistemų naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti informacinių sistemų tvarkytojo saugos įgaliotinį;

5.11. informacinių sistemų komponentų stebėjimo priemonės turi perspėti informacinių sistemų komponentų administratorių, kai pagrindinėje informacinių sistemų kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų informacinių sistemų komponentų įprastas veikimas;

5.12. pagrindinės informacinių sistemų kompiuterinės įrangos techninė būklė turi būti nuolat stebima. Pagrindinės kompiuterinės įrangos gedimai turi būti registruojami. Už gedimų registravimą atsakingi informacinių sistemų komponentų administratoriai;

5.13. pagrindinės informacinių sistemų tarnybinės stotys turi būti sujungtos į telkinius (angl. Cluster);

5.14. pagrindinė informacinių sistemų kompiuterinė įranga turi būti dubliuota, turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį kompiuterinės įrangos veikimą ne mažiau kaip 30 minučių ir apsaugantį nuo elektros srovės svyravimų. Pagrindinės informacinių sistemų kompiuterinės įrangos techninė būklė turi būti nuolat stebima.

6. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

6.1. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

6.2. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

6.3. turi būti reguliariai (ne rečiau kaip kartą per savaitę) atliekami iš vidinio kompiuterinio tinklo ir viešųjų tinklų pasiekiamų tarnybinių stočių ir atsitiktinai atrinktų vidinių informacinių sistemų naudotojų kompiuterinės įrangos operacinių sistemų, kitos naudojamos programinės įrangos pažeidžiamumų skenavimai;

6.4. turi būti reguliariai (ne rečiau kaip kartą per savaitę) atliekama nesankcionuotų įrenginių paieška informacinių sistemų kompiuteriniame tinkle;

6.5. vidinių informacinių sistemų naudotojų darbo vietose gali būti naudojamos tik tarnybos (darbo) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB atmintinės, kompaktiniai diskai ir kt.). Šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu informacinių sistemų tvarkymu;

6.6. programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką;

6.7. informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

6.8. atsarginės laikmenos su informacinių sistemų programinės įrangos kopijomis turi būti laikomos kitose patalpose arba kitame pastate nei yra informacinių sistemų tarnybinės stotys;

6.9. atsarginės laikmenos su programinės įrangos kopijomis turi būti laikomos nedegioje spintoje;

6.10. turi būti registruojami visi informacinių sistemų duomenų bazės, taikomųjų programų veikimo ir kiti informacinių sistemų darbo sutrikimai ir incidentai (toliau – IT incidentai). Pagrindinės informacinių sistemų informacinių technologijų infrastruktūros IT incidentų valdymo tvarką nustato pagrindinis informacinių sistemų tvarkytojas. Informacinių sistemų komponentų, už kurių tvarkymą pagal kompetenciją yra atsakingi kiti informacinių sistemų tvarkytojai, IT incidentų valdymo savo organizacijose tvarką nustato informacinių sistemų tvarkytojai – sveikatinimo įstaigos.

7. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

7.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant ugniasienes, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

7.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

7.3. kompiuterinis tinklas turi būti suskirstytas į skirtingo saugumo lygio segmentus pagal informacinių sistemų komponentų atliekamas funkcijas. Informacinių sistemų duomenų bazė ir informacinių sistemų taikomoji programinė įranga negali būti tame pačiame tinklo segmente. Viešai prieinamos funkciškai savarankiškos sudedamosios dalys turi būti atskirame tinklo segmente – demilitarizuotoje zonoje (angl. DMZ);

7.4. elektroninės informacijos perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį jų veikimą ne trumpiau kaip 30 minučių;

7.5. elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;

7.6. elektroninės informacijos perdavimo tinklo kabeliai turi būti apsaugoti nuo nesankcionuotos prieigos ir pažeidimo.

8. Informacinių sistemų naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:

8.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinėmis sistemomis saugumo ir kontrolės reikalavimai, nustatyti informacinių sistemų naudotojų administravimo taisyklėse;

8.2. draudžiama slaptažodžius saugoti programiniame kode;

8.3. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;

8.4. turi būti įgyvendinti svetainės kriptografijos reikalavimai:

8.4.1. svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu;

8.4.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;

8.4.3. turi būti naudojamas TLS (angl. Transport Layer Security) standartas;

8.4.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module);

8.4.5. visi kriptografiniai moduliai turi gebėti saugiai sutrikti (angl. fail securely);

8.4.6. kriptografiniai raktai ir algoritmai turi būti nustatomi atsižvelgiant į Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas) reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

8.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;

8.6. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai;

8.7. turi būti naudojama svetainės saugasienė (angl. Web Application Firewall). Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 (dvidešimt keturias) valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 (septyniasdešimt dvi) valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu informacinių sistemų valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinių sistemų veiklai vertinimas (testavimas);

8.8. turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.;

8.9. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation);

8.10. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

8.11. interneto svetainės saugumo priemonės turi gebėti uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai);

8.12. turi būti vykdomas informacinių sistemų naudotojų ir administratorių atliekamų veiksmų auditas ir naudojami kontrolės reikalavimai, nustatyti informacinių sistemų saugos dokumentuose;

8.13. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. HyperText Transfer Protocol) protokolo metodus;

8.14. turi būti uždrausta naršyti svetainės kataloguose (angl. Directory browsing);

8.15. turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. Defacement) stebėsenos sistema.

9. Pagrindinio informacinių sistemų tvarkytojo patalpų ir aplinkos saugumo užtikrinimo priemonės:

9.1. turi būti įrengta patalpų apsaugos signalizacija, kurios signalai turi būti persiunčiami patalpas saugančiai saugos tarnybai;

9.2. patalpos turi būti suskaidytos į sektorius. Teisė atrakinti ir (ar) užrakinti tam tikrą sektorių turi būti suteikiama tik darbuotojams, kurie atlikdami tarnybines funkcijas būtinai turi lankytis tame sektoriuje;

9.3. patalpose turi būti įrengta įeigos kontrolės elektroninė sistema;

9.4. patalpos ir konkretūs jų sektoriai turi būti saugiai užrakinami, langai ir durys tinkamai apsaugoti nuo nesankcionuotos fizinės prieigos naudojant užraktus, apsaugos signalizaciją, vaizdo stebėjimo kameras;

9.5. paliekant patalpas ar darbo vietas turi būti užrakinamos durys ir uždaromi langai;

9.6. visi lankytojai turi būti lydimi pagrindinio informacinių sistemų tvarkytojo darbuotojų, išskyrus atvejus, kai tokių lankytojų prieiga yra iš anksto patvirtinta. Lankytojams turi būti išduodamos svečio kortelės;

9.7. visose patalpose ir konkrečiuose jų sektoriuose turi būti ugnies gesintuvai, įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto, reguliariai atliekama gaisro aptikimo ir gesinimo priemonių patikra;

9.8. papildomos pagrindinio informacinių sistemų tvarkytojo tarnybinių stočių patalpų apsaugos nuo neteisėto asmenų patekimo į jas ir kitos saugos užtikrinimo priemonės:

9.8.1. tarnybinių stočių patalpos turi būti prijungtos prie atskiros signalizacijos zonos;

9.8.2. tarnybinių stočių patalpose turi būti įrengta vaizdo stebėjimo sistema;

9.8.3. tarnybinių stočių patalpose turi būti dubliuota oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos turi būti užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus. Tarnybinių stočių patalpų oro kondicionavimo ir drėgmės kontrolės įranga turi turėti automatinę įspėjimo funkciją. Apie neužtikrinamas tarnybinių stočių patalpų oro temperatūros ir oro drėgnumo normas turi būti automatiškai informuojami administratoriai, atliekantys techninės įrangos priežiūrą;

9.8.4. tarnybinių stočių patalpose turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas, naudojant alternatyvų elektros energijos tiekimo šaltinį, kurio veikimas turi būti tikrinamas ne rečiau kaip kartą per mėnesį imituojant elektros energijos dingimą. Alternatyvaus elektros energijos tiekimo šaltinio tikrinimai turi būti registruojami žurnale;

9.8.5. fizinė prieiga prie tarnybinių stočių patalpų suteikiama tik pagrindinio informacinių sistemų tvarkytojo vadovo įsakymu paskirtiems atsakingiems darbuotojams. Kiti darbuotojai arba tretieji asmenys gali patekti į tarnybinių stočių patalpas tik lydimi atsakingų darbuotojų. Kiekvienas patekimas į tarnybinių stočių patalpas turi būti fiksuojamas;

9.8.6. tarnybinių stočių patalpų raktai turi būti saugomi seife. Pagrindiniai tarnybinių stočių patalpų raktai ir atsarginiai raktai turi būti saugomi atskiruose pastatuose;

9.8.7. tarnybinių stočių patalpų sienos turi būti sumūrytos iš plytų ar blokelių, lubos turi būti iš gelžbetonio. Tarnybinių stočių patalpose neturi būti langų arba naudojami didelio atsparumo langai specialiais rėmais ir grotomis;

9.8.8. tarnybinių stočių patalpų durys privalo būti šarvuotos ir apsaugotos bent dviem skirtingos konstrukcijos spynomis, kurios visada rakinamos;

9.8.9. tarnybinių stočių patalpose turi būti automatinė gaisro gesinimo sistema, įrengti dūmų ir karščio davikliai, prijungti prie patalpų apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto;

9.8.10. kompiuterinio ryšio linijos apsaugotos nuo elektros išlydžių, perkūnijos ir elektros linijų avarijų naudojant apsauginius įtaisus su įžeminimo tašku.

10. Kitų informacinių sistemų tvarkytojų patalpų ir aplinkos saugumo užtikrinimo priemonės:

10.1. patekimas prie vidinių informacinių sistemų naudotojų darbo vietų turi būti kontroliuojamas;

10.1.1. patekimas į informacinės sistemos tarnybinių stočių patalpas ir patalpas, kuriose saugomos atsarginės kopijos, turi būti kontroliuojamas ir apsaugotas nuo neteisėto patekimo į jas (pvz., patvirtintas asmenų, kuriems leista lankytis tarnybinių stočių patalpoje, sąrašas, įrengta elektroninė perimetro kontrolės sistema ir pan.);

10.1.2. informacinių sistemų tarnybinių stočių patalpose turi būti oro kondicionavimo ir drėgmės kontrolės įranga;

10.1.3. visose patalpose, kuriose yra vidinių informacinių sistemų naudotojų ir informacinių sistemų techninė įranga, turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;

10.1.4. pririekus, turi būti įdiegtos kitos patalpų ir aplinkos saugumo užtikrinimo priemonės, skirtos apsaugoti elektroninę informaciją nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, kurios užtikrina pakankamą saugumo lygį, atitinkantį elektroninės informacijos tvarkymo keliamą riziką.

11. Kitos priemonės, naudojamos informacinių sistemų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti:

11.1. audito įrašų administravimas ir saugojimas:

11.1.1. informacinių sistemų, informacinių sistemų naudotojų ir informacinių sistemų administratorių veiksmų analizei, auditui ir kontrolei atlikti informacinių sistemų komponentų įvykių žurnaluose turi būti įrašomi šie duomenys:

11.1.1.1. duomenys apie informacinių sistemų tarnybinių stočių, informacinių sistemų taikomosios programinės įrangos ir kitų informacinių sistemų komponentų įjungimą, išjungimą ar perkrovimą, sėkmingus ir nesėkmingus bandymus registruotis informacinių sistemų tarnybinėse stotyse, informacinių sistemų taikomojoje programinėje įrangoje, kituose informacinių sistemų komponentuose;

11.1.1.2. visi informacinių sistemų naudotojų atliekami elektroninės informacijos tvarkymo veiksmai (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai);

11.1.1.3. visi informacinių sistemų administratorių atliekami veiksmai (informacinių sistemų naudotojų ir jų grupių, informacinių sistemų administratorių teisių naudotis informacinėmis sistemomis ir (ar) jų komponentais pakeitimai, audito funkcijos įjungimas, išjungimas, audito įrašų trynimas, kūrimas ar keitimas, laiko ir (ar) datos pakeitimai, elektroninės informacijos tvarkymo veiksmai ir kiti elektroninės informacijos saugai svarbūs įvykiai ir veiksmai, privilegijų panaudojimo atvejai);

11.1.1.4. kiekviename įvykių žurnale turi būti įrašoma įvykio ar vykdyto veiksmo data ir tikslus laikas, įvykio ar veiksmo rūšis ar pobūdis, informacinių sistemų naudotojo, informacinių sistemų administratoriaus ir (arba) informacinių sistemų įrenginio, susijusio su įvykiu ar veiksmu, duomenys ir įvykio rezultatas;

11.1.1.5. priemonės, naudojamos informacinių sistemų sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais (turi būti fiksuojami naudojami protokolai, IP (angl. Internet Protocol) adresai ir kt.);

11.1.1.6. informacinių sistemų komponentų įvykių žurnalai turi būti automatiniu būdu perduodami centralizuotai saugoti į techninę ar programinę įrangą, pritaikytą audito duomenims saugoti;

11.1.1.7. informacinių sistemų komponentų įvykių žurnalai turi būti centralizuotai saugomi ne trumpiau kaip 1 metus Taisyklių 11.1.7 papunktyje nurodytoje įrangoje. Įvykių žurnalai turi būti saugomi užtikrinant visas prasmingas jų turinio reikšmes (pvz., asmens, su kuriuo nutraukti darbo (tarnybos) santykiai ir kuris pašalintas iš sistemos, atpažinties duomenys turi būti išsaugoti visą būtiną audito duomenų saugojimo laiką);

11.1.1.8. informacinių sistemų komponentų įvykių žurnalų elektroninės informacijos kopijos turi būti apsaugotos nuo pažeidimo, praradimo, nesankcionuoto ar netyčinio pakeitimo, ar sunaikinimo siekiant užtikrinti, kad elektroninės informacijos saugos (kibernetinių) incidentų metu įvykdytų nusikalstamų veikų įrodymai būtų tinkami ir pakankami teisėsaugos institucijoms nustatyti nusikalstamų veikų faktą, o nusikalstamas veikas įvykdę asmenys negalėtų jo paneigti. Informacinių sistemų komponentų administratoriams turi būti apribota galimybė išjungti, pakeisti ar ištrinti įvykių, kuriuose įrašomi jų atliekami veiksmai, žurnalus. Turi būti naudojamos audito duomenų rinkimo, analizės, išsaugojimo, autentiškumo užtikrinimo ir pateikimo kompetentingoms institucijoms priemones (angl. Chain of Custody);

11.1.1.9. informacinių technologijų komponentų laikrodžiai turi būti sinchronizuoti su tiksliu laiko sinchronizavimo šaltiniu. Įvykių žurnalų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu. Turi būti naudojami ne mažiau kaip 2 (du) laiko sinchronizavimo šaltiniai;

11.1.1.10. naudojimasis informacinių sistemų komponentų įvykių žurnalų elektronine informacija turi būti kontroliuojamas ir fiksuojamas. Įvykių žurnalų elektroninė informacija turi būti prieinama peržiūros teisėmis tik informacinių sistemų komponentų administratoriams, saugos administratoriui ir informacinių sistemų tvarkytojų saugos įgaliotiniui;

11.1.1.11. dėl įvairių trikdžių nustojus fiksuoti auditui skirtą elektroninę informaciją, apie tai nedelsiant, bet ne vėliau kaip per vieną darbo dieną, turi būti informuojamas informacinių sistemų tvarkytojo saugos administratorius ir saugos įgaliotinis;

11.1.1.12. draudžiama audito įrašų elektroninę informaciją trinti, keisti, kol nesibaigęs audito įrašų saugojimo terminas;

11.1.1.13. informacinių sistemų komponentų įvykių žurnalai turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto ar netyčinio pakeitimo ar sunaikinimo;

11.1.1.14. informacinių sistemų komponentų įvykių žurnalų elektroninė informacija, susijusi su informacinių sistemų naudotojų ir informacinių sistemų administratorių atliekamais veiksmais, elektroninės informacijos saugai ir kibernetiniam saugumui svarbiais įvykiais (pvz., saugasienių užfiksuoti įvykiai ir pan.), turi būti analizuojama saugos administratoriaus ne rečiau kaip kartą per savaitę ir apie analizės rezultatus informuojamas informacinių sistemų tvarkytojo saugos įgaliotinis. Analizės metu pastebėtos neatitiktys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimams turi būti operatyviai šalinamos;

11.1.1.15. informacinių sistemų komponentų įvykių žurnaluose kaupiama elektroninė informacija apie informacinių sistemų ir jų komponentų veiksmus (veikimo klaidas, sutrikimus, tinklo sąsajos apkrovą ir kt.) turi būti analizuojama informacinių sistemų komponentų administratorių ne rečiau kaip kartą per savaitę ar įvykus informacinių technologijų incidentui;

11.1.1.16. informacinių sistemų įvykių žurnalų analizei atlikti turi būti naudojamos specializuotos įvykių žurnalų analizės priemonės ir jose įdiegti automatiniai įvykių žurnalų analizės ir koreliavimo, audito duomenų santraukų formavimo ir kiti įrankiai;

11.1.1.17. jei informacinių sistemų įvykių žurnalų analizės metu nustatoma, kad užfiksuotas įvykis ar veiksmas klasifikuojamas kaip informacinių technologijų incidentas, elektroninės informacijos saugos ar kibernetinis incidentas, informacinių sistemų komponentų administratorius arba saugos administratorius turi atitinkamai inicijuoti reagavimą į su įvykiais ar veiksmais susijusius informacinių technologijų incidentus ar informacinių elektroninės informacijos saugos ir kibernetinius incidentus, vadovaudamasis informacinių sistemų tvarkytojų nustatyta informacinių technologijų incidentų ir elektroninės informacijos saugos (kibernetinių) incidentų valdymo informacinių sistemų tvarkytojų organizacijose tvarka;

11.2. saugaus naudojimosi belaidžiu tinklu saugumo priemonės:

11.2.1. belaidžiai tinklai turi būti visiškai (fiziškai ir logiškai) atskirti nuo informacinių sistemų arba įgyvendintos šios belaidžių tinklų saugumo priemonės:

11.2.1.1. leidžiama naudoti tik su informacinių sistemų tvarkytojo saugos įgaliotiniu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;

11.2.1.2. turi būti tikrinami informacinėse sistemose eksploatuojami belaidžiai įrenginiai, informacinių sistemų tvarkytojo saugos įgaliotiniui pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

11.2.1.3. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuotų informacinių sistemų tvarkytojų saugos įgaliotinį;

11.2.1.4. leidžiama naudoti tik su informacinių sistemų tvarkytojo saugos įgaliotiniu suderintus belaidės prieigos taškus;

11.2.1.5. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;

11.2.1.6. prisijungiant prie belaidžio tinklo, turi būti taikomas ryšių ir informacinių sistemų naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) ir TLS (angl. Transport Layer Security) protokolas;

11.2.1.7. turi būti uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą;

11.2.1.8. turi būti uždrausti visi nebūtini valdymo protokolai;

11.2.1.9. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ir UDP (angl. User Datagram Protocol) prievadai;

11.2.1.10. turi būti uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais palaikyti ryšį tarpusavyje;

11.2.1.11. belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu;

11.2.1.12. prieš pradedant šifruoti belaidį ryšį, turi būti pakeisti belaidės prieigos stotelėje standartiniai gamintojo raktai;

11.2.1.13. kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungtas lygiarangis funkcionalumas, belaidė periferinė prieiga.

12. Informacinių sistemų veikimo užtikrinimas:

12.1. informacinių sistemų vienkartinis neveikimo (dėl incidentų, profilaktinių darbų, plėtros darbų ir kt.) laikotarpis negali būti ilgesnis nei 8 (aštuonios) valandos;

12.2. informacinių sistemų prieinamumas turi būti užtikrintas ne mažiau kaip 99 proc. laiko visą parą (kiekvienos informacinės sistemos neprieinamumo bendra trukmė per metus valandomis – iki 87,6 val.).

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

13. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

13.1. elektroninė informacija į informacines sistemas gali būti įvedama, joje keičiama, atnaujinama ir naikinama tik Taisyklių, informacinių sistemų nuostatų, informacinių sistemų duomenų saugos nuostatų ir kitų teisės aktų, reglamentuojančių informacinių sistemų veiklą ir elektroninės informacijos tvarkymą, nustatyta tvarka;

13.2. elektroninė informacija gali būti tvarkoma pagal informacinių sistemų naudotojams ir informacinių sistemų administratoriams suteiktas prieigos teises ir tik turint teisėtą tikslą ir pagrindą;

13.3. visi informacinių sistemų naudotojų veiksmai registruojami Taisyklių 11.1 papunktyje nustatyta tvarka;

13.4. informacinių sistemų naudotojui neatliekant jokių veiksmų 15 minučių, informacinių sistemų taikomoji programinė įranga turi užsirakinti, kad toliau naudotis informacinėmis sistemomis galima būtų tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

13.5. baigus darbą ar informacinių sistemų naudotojui pasitraukus iš darbo vietos turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinių sistemų, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos darbo vietoje turi būti padedami į pašaliniams asmenims neprieinamą vietą;

13.6. informacinės sistemos turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo, patikimumo tikrinimo ir informavimo apie klaidas priemones.

14. Atsarginių elektroninės informacijos kopijų darymas, saugojimas, elektroninės informacijos atkūrimo iš atsarginių elektroninės informacijos kopijų išbandymas vykdomas vadovaujantis informacinių sistemų tvarkytojų tvirtinamais atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių elektroninės informacijos kopijų tvarkos aprašais, kuriuose nurodomi atsakingi už duomenų kopijų darymą, apsaugą, saugojimo kontrolę ir duomenų atkūrimą iš atsarginių duomenų kopijų asmenys.

15. Elektroninė informacija perkeliama ir teikiama susijusiems registrams ir (ar) kitoms informacinėms sistemoms ir iš jų gaunama vadovaujantis informacinių sistemų nuostatuose nustatyta tvarka ir sąlygomis.

16. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo, perdavimo ar kitokios neteisėtos veiklos (toliau – neteisėta veikla) nustatymo tvarka:

16.1. siekiant nustatyti, ar su informacinių sistemų elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per savaitę;

16.2. informacinių sistemų naudotojai, pastebėję Taisyklėse, informacinių sistemų duomenų saugos nuostatuose, informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse, informacinių sistemų veiklos tęstinumo valdymo plane nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami pranešti apie tai administratoriui, informacinių sistemų tvarkytojų saugos įgaliotiniui arba, jeigu informacinių sistemų tvarkytojo organizacijoje įsteigta informacinių technologijų pagalbos tarnyba, šiai tarnybai;

16.3. informacinių sistemų tvarkytojo saugos įgaliotinis, įtaręs, kad su elektronine informacija, tvarkoma informacinėse sistemose, vykdoma neteisėta veikla, inicijuoja elektroninės informacijos saugos ir kibernetinių incidentų valdymo procedūras.

17. Informacinių sistemų programinės ir techninės įrangos keitimo, informacinių sistemų pokyčių valdymo tvarka nustatyta Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų pokyčių valdymo tvarkos apraše.

18. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau kartu – mobilieji įrenginiai) naudojimo tvarka:

18.1. jeigu prie informacinių sistemų jungiamasi per informacinių sistemų infrastruktūroje esančius tarpinius įrenginius, šie įrenginiai turi atitikti taisyklių 15 punkte nustatytus reikalavimus;

18.2. jeigu prie informacinių sistemų iš mobiliųjų įrenginių jungiamasi tiesiogiai, turi būti įgyvendinti šie reikalavimai:

18.2.1. mobiliesiems įrenginiams, naudojamiems informacinių sistemų valdytojo ar informacinių sistemų tvarkytojų patalpose, esantiems vidiniame informacinių sistemų tvarkytojų kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams;

18.2.2. turi būti įgyvendinti informacinių sistemų saugos dokumentuose nustatyti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinėmis sistemomis saugumo ir kontrolės reikalavimai;

18.2.3. leidžiama naudoti tik informacinių sistemų saugos dokumentuose nustatytus reikalavimus atitinkančius mobiliuosius įrenginius;

18.2.4. informacinių sistemų valdytojas turi turėti teises valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą;

18.2.5. turi būti tikrinami informacinėse sistemose naudojami mobilieji įrenginiai informacinių sistemų tvarkytojų saugos įgaliotiniui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius;

18.2.6. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius ar informacinių sistemų tvarkytojo saugos įgaliotinį informuotų apie neleistinos mobiliosios įrangos prijungimą prie informacinių sistemų;

18.2.7. mobiliuosiuose įrenginiuose privalo būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, užkardymo ir stebėjimo priemonės;

18.2.8. turi būti įdiegiamos operacinės sistemos ir kiti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

18.2.9. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, apribojančios neleistino vykdomojo kodo naudojimą ar informuojančios saugos administratorių apie neleistino vykdomojo kodo naudojimą;

18.2.10. turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdai su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir, nustačius naujų pažeidžiamumų ar atakų, iškart atnaujinami;

18.2.11. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

18.2.12. mobilieji įrenginiai, kuriais naršoma internete, turi būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių;

18.2.13. prie mobiliųjų įrenginių draudžiama prijungti jiems nepriklausančius įrenginius;

18.2.14. informacinių sistemų valdytojo sprendimu prie mobiliųjų įrenginių gali būti jungiami kiti įrenginiai. Saugos administratoriaus parengtą, su informacinių sistemų tvarkytojų saugos įgaliotiniu suderintą leistinų jungti įrenginių sąrašą tvirtina informacinių sistemų valdytojas;

18.2.15. duomenys, perduodami tarp mobiliojo įrenginio ir informacinių sistemų, turi būti šifruojami taikant virtualaus privataus tinklo (angl. VPN) technologiją;

18.2.16. jungiantis prie informacinių sistemų turi būti patvirtinamas tapatumas; mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta išsaugoti slaptažodį;

18.2.17. mobiliuosiuose įrenginiuose privalo būti įdiegtos priemonės, leisiančios nuotoliniu būdu neatkuriamai ištrinti duomenis;

18.2.18. turi būti užtikrinta kompiuterinių laikmenų apsauga;

18.2.19. turi būti šifruojami duomenys ir mobiliųjų įrenginių laikmenose, ir išorinėse kompiuterinėse laikmenose;

18.2.20. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros. Mobilusis įrenginys, kuriuo nesinaudojama 15 min., turi automatiškai užsirakinti.

19. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

19.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninės informacijos teikimui ir (ar) gavimui gali būti naudojamas Saugus valstybinis duomenų perdavimo tinklas;

19.2. nuotolinis prisijungimas prie informacinių sistemų galimas:

19.2.1. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius abipusį tapatumo nustatymą tarp informacinių sistemų naudotojo ir serverio, kad būtų užtikrintas šifruotas ryšys. Saugiam elektroninės informacijos perdavimui tarp serverio ir interneto naršyklės naudojamas TLS, patvirtinantis elektroninės informacijos šaltinio tapatumą, kuris šifruoja tarp informacinių sistemų naudotojo ir serverio siunčiamą elektroninę informaciją. Informacinių sistemų interneto svetainėse TLS šifruota HTTP protokolo elektroninė informacija perduodama saugiu HTTPS (angl. HyperText Transfer Protocol Secure) protokolu;

19.2.2. naudojant virtualų privatų tinklą. Virtualiame tinkle turi būti naudojamas IPsec (angl. Internet Protocol Security) protokolų rinkinys;

19.2.3. naudojant saugaus apvalkalo protokolą (angl. Secure Shell) ir nuotolinio darbalaukio protokolą (angl. Remote Desktop Protocol). Šia galimybe gali būti pasinaudota tik informacinių sistemų administravimo tikslais;

19.3. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai bei kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus, Techninius saugos reikalavimus;

19.4. naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. Informacinėms sistemos funkcionuoti reikalingų paslaugų, darbų ir (ar) įrangos tiekėjas (toliau – tiekėjas) turi atitikti informacinių sistemų veiklą reglamentuojančių teisės aktų, standartų, Taisyklių reikalavimus ir paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose iš anksto nustatomus tiekėjo kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamos įrangos reikalavimus.

21. Perkant paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, nustatytiems reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su informacinėmis sistemomis, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant informacinių sistemų elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.

22. Tiekėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas informacinėms sistemoms ir jose tvarkomai elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

23. Tiekėjui prieiga prie informacinių sistemų gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos tiekėjo teisės, pareigos, prieigos prie informacinių sistemų lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. Informacinių sistemų saugos administratorius turi supažindinti tiekėją su suteiktos prieigos informacinių sistemų saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Informacinių sistemų saugos administratorius yra atsakingas už prieigos prie informacinių sistemų tiekėjui suteikimą ir panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie informacinių sistemų panaikinimo atvejais.

24. Tiekėjui suteikiamas tik toks prieigos prie informacinių sistemų lygmuo, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai turi pasirašyti konfidencialumo pasižadėjimus.

25. Iškilus poreikiui, siekiant įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, informacinių sistemų tvarkytojas turi teisę atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.

26. Tiekėjas privalo nedelsdamas informuoti informacinių sistemų tvarkytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ir (ar) kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamumus, kitus svarbius saugai įvykius.

27. Informacinių sistemų tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo informacinių sistemų elektroninių paslaugų trikdymo taikymo (angl. denial of service), reagavimo į elektroninės informacijos saugos ir kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 (dvidešimt keturias) valandas per parą, 7 (septynias) dienas per savaitę.

_________________________

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2020 m. balandžio 17 d. įsakymu Nr. V-893

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ

IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ

ELEKTRONINĖS SVEIKATOS SISTEMOS INFORMACINIŲ SISTEMŲ

Veiklos tęstinumo valdymo planas

I SKYRIUS

Bendrosios nuostatos

1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (toliau kartu – informacinės sistemos) veiklos tęstinumo užtikrinimą.

2. Plane vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

3. Planas parengtas pagrindinio informacinių sistemų tvarkytojo – Registrų centro patalpoms, esančioms V. Kudirkos g. 18, Vilniuje, kuriose yra pagrindinė informacinių sistemų informacinių technologijų infrastruktūra, reikalinga informacinių sistemų veiklai. Informacinių sistemų komponentų, kurie yra kitų informacinių sistemų tvarkytojų organizacijose, veiklos tęstinumo valdymą ir veiklos atkūrimą reglamentuoja informacinių sistemų tvarkytojų – sveikatinimo įstaigų – veiklos tęstinumo valdymą reglamentuojantys dokumentai.

4. Planas įsigalioja įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, dėl kurio informacinių sistemų tvarkytojai negali teikti informacinių sistemų elektroninių paslaugų daliai arba visiems informacinių sistemų naudotojams ir būtina atkurti įprastą informacinių sistemų veiklą informacinių sistemų tvarkytojų patalpose arba atsarginėse patalpose. Plano vykdymą atitinkamai inicijuoja Registrų centro paslaugų valdymo direktorius ir informacinių sistemų tvarkytojų paskirti atsakingi asmenys. Plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremalių situacijų, kai būtina atkurti įprastą informacinių sistemų veiklą.

5. Įvykus kibernetiniam incidentui vadovaujamasi Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

6. Kibernetinių ir elektroninės informacijos saugos incidentų tyrimas atliekamas vadovaujantis informacinių sistemų tvarkytojų patvirtintais teisės aktais, reglamentuojančiais kibernetinių ir elektroninės informacijos saugos incidentų valdymo veiksmus informacinių sistemų tvarkytojų įstaigose.

7. Atsakingų asmenų įgaliojimai įvykus kibernetiniam ar elektroninės informacijos saugos incidentui:

7.1. informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai turi:

7.1.1. bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, kibernetinius ir (ar) elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su kibernetiniais ir (ar) elektroninės informacijos saugos incidentais informacinių sistemų tvarkytojų organizacijose ir (arba) informacinių sistemų komponentuose, už kurių tvarkymą jie yra atsakingi savo organizacijose, išskyrus tuos atvejus, kai šią funkciją atlieka informacinių sistemų tvarkytojų sudarytos elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;

7.1.2. duoti privalomus vykdyti nurodymus ir pavedimus informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų darbuotojams, jeigu tai būtina elektroninės informacijos saugos ir kibernetinio saugumo politikai įgyvendinti;

7.1.3. koordinuoti kibernetinių ir elektroninės informacijos saugos incidentų tyrimą savo organizacijose;

7.2. informacinių sistemų administratorius (toliau – administratorius) turi:

7.2.1. dalyvauti atliekant Plano 14 punkte nurodytas funkcijas;

7.2.2. vykdyti kitus Plane ir Plano priede nurodytus veiksmus ir informacinių sistemų veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) ir informacinių sistemų veiklos atkūrimo grupės (toliau – Veiklos atkūrimo grupė) pavestas užduotis;

7.3. informacinių sistemų naudotojai vykdo Veiklos tęstinumo valdymo grupės nurodymus.

8. Planas privalomas informacinių sistemų valdytojui, informacinių sistemų tvarkytojams, saugos įgaliotiniams, informacinių sistemų duomenų valdymo įgaliotiniams, administratoriams, informacinių sistemų naudotojams, informacinių sistemų techninės ir programinės įrangos priežiūros funkcijas teikiantiems paslaugų teikėjams, jei tokios funkcijos paslaugų teikėjams perduotos Valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.

9. Įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, dėl kurio informacinių sistemų tvarkytojai negali teikti informacinių sistemų elektroninių paslaugų daliai arba visiems informacinių sistemų naudotojams ir būtina atkurti įprastą informacinių sistemų veiklą informacinių sistemų tvarkytojų patalpose arba atsarginėse patalpose, veiklai atkurti naudojami informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų finansiniai ir kitokie ištekliai.

10. Informacinių sistemų veiklos kriterijai, pagal kuriuos nustatoma, ar informacinių sistemų veikla atkurta:

10.1. informacinės sistemos priima elektroninę informaciją iš registrų ir informacinių sistemų, elektroninės informacijos teikėjų;

10.2. informacinių sistemų elektroninė informacija nuolat atnaujinama ir išsaugoma;

10.3. užtikrintas informacinių sistemų elektroninės informacijos vientisumas ir konfidencialumas;

10.4. informacinių sistemų elektroninė informacija nuolat teikiama informacinių sistemų naudotojams, registrams ir informacinėms sistemoms;

10.5. užtikrintas informacinių sistemų prieinamumas – ne mažiau kaip 99 proc. laiko visą parą (kiekvienos informacinės sistemos neprieinamumo bendra trukmė per metus valandomis – iki 87,6 val.).

II SKYRIUS

Organizacinės nuostatos

11. Informacinių sistemų veiklos tęstinumui užtikrinti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui sudaromos Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė. Veiklos tęstinumo valdymo grupės vadovas ir Veiklos atkūrimo grupės vadovai turi teisę į šių grupių veiklą pasitelkti ir kitus informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų darbuotojus ar trečiosios šalies kompetentingus specialistus, jeigu tai būtina informacinių sistemų veiklai atkurti ir (ar) informacinių sistemų veiklos tęstinumui užtikrinti.

12. Veiklos tęstinumo valdymo grupės sudėtis:

12.1. Veiklos tęstinumo valdymo grupės vadovas – Registrų centro Paslaugų valdymo direktorius;

12.2. Veiklos tęstinumo valdymo grupės vadovo pavaduotojas – Registrų centro Informacinių technologijų centro direktorius;

12.3. Veiklos tęstinumo valdymo grupės nariai:

12.3.1. Registrų centro Bendrųjų IS departamento vadovas;

12.3.2. Registrų centro Prevencijos departamento vadovas;

12.3.3. Registrų centro finansų ir administravimo direktorius;

12.3.4. Registrų centro Komunikacijos skyriaus vadovas;

12.3.5. Registrų centro saugos įgaliotinis;

12.3.6. Registrų centro duomenų apsaugos pareigūnas;

12.3.7. Lietuvos Respublikos sveikatos apsaugos ministerijos saugos pareigūnas.

13. Veiklos tęstinumo valdymo grupės funkcijos:

13.1. situacijos analizė ir sprendimų informacinių sistemų veiklos tęstinumo valdymo klausimais priėmimas;

13.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

13.3. bendravimas su kitų registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitomis interesų grupėmis;

13.5. finansinių ir kitų išteklių, reikalingų informacinių sistemų veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, naudojimo kontrolė;

13.6. elektroninės informacijos fizinės saugos organizavimas įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui;

13.7. logistika (asmenų, daiktų, įrangos gabenimo organizavimas).

14. Veiklos atkūrimo grupės sudėtis:

14.1. Veiklos atkūrimo grupės vadovas – Registrų centro IT infrastruktūros departamento vadovas;

14.2. Veiklos atkūrimo grupės vadovo pavaduotojai:

14.2.1. Registrų centro IS valdymo departamento vadovas;

14.2.2. Registrų centro IT infrastruktūros departamento IS aplikacijų priežiūros skyriaus vadovas;

14.3. Veiklos atkūrimo grupės nariai:

14.3.1. Registrų centro IT infrastruktūros departamento Tarnybinių stočių skyriaus vadovas;

14.3.2. Registrų centro IT infrastruktūros departamento Kompiuterių tinklų priežiūros skyriaus vadovas;

14.3.3. Registrų centro Aptarnavimo departamento vadovas;

14.3.4. Registrų centro Kibernetinės saugos skyriaus vadovas;

14.3.5. Registrų centro Turto valdymo skyriaus vadovas;

14.3.6. informacinių sistemų priežiūros paslaugų teikėjų atstovai, jei informacinių sistemų techninės ir programinės įrangos priežiūros funkcijos perduotos informacinių sistemų priežiūros paslaugų teikėjams Valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.

15. Veiklos atkūrimo grupės funkcijos:

15.1. tarnybinių stočių veikimo atkūrimo organizavimas;

15.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

15.3. informacinių sistemų elektroninės informacijos atkūrimo organizavimas;

15.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

15.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas.

16. Personalinę Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės sudėtį tvirtina pagrindinio informacinių sistemų tvarkytojo vadovas.

17. Veiklos tęstinumo valdymo grupės, Veiklos atkūrimo grupės veiklą organizuoja ir koordinuoja šių grupių vadovai.

18. Veiksmai, reikalingi informacinių sistemų veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai nurodyti Plano priede nustatytame Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos atkūrimo detaliajame plane.

19. Atsarginėms patalpoms, naudojamoms informacinių sistemų veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, keliami šie reikalavimai:

19.1. patalpos turi atitikti priešgaisrinės saugos reikalavimus;

19.2. patalpos turi atitikti informacinių sistemų techninės įrangos gamintojų nustatytus reikalavimus įrangos darbo aplinkai (pavyzdžiui, tinkama oro temperatūra, oro drėgmė ir kita);

19.3. patalpose turi būti įrengtos langų, durų, informacinių sistemų techninės įrangos, kabelių fizinės apsaugos priemonės;

19.4. patalpose turi būti įrengta patalpų apsaugos signalizacija, kurios signalai turi būti persiunčiami patalpas saugančiai saugos tarnybai;

19.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

19.6. patalpose turi būti interneto ryšio prieiga;

19.7. patalpose turi būti įrengti nenutrūkstamą elektros tiekimą užtikrinantys maitinimo šaltiniai;

19.8. turi būti užtikrintas elektroninių ryšių tinklais perduodamos elektroninės informacijos vientisumas ir konfidencialumas;

19.9. turi būti įdiegtos kitos priemonės, atitinkančios pagrindinėms patalpoms keliamus reikalavimus.

20. Atsarginės patalpos, pritaikytos informacinių sistemų veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, yra Registrų centro patalpos, esančios Tilto g. 17, Vilniuje. Į atsargines patalpas vykstama informacinių sistemų valdytojo, pagrindinio informacinių sistemų tvarkytojo transportu arba logistikos paslaugų teikėjo transportu.

21. Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė organizuoja bendrą susirinkimą, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, nenumatytoms situacijoms arba įvykus esminiams organizaciniams informacinių sistemų ar jų komponentų pokyčiams.

22. Veiklos tęstinumo valdymo grupė, atlikusi situacijos analizę, informuoja Veiklos atkūrimo grupę apie priimtus sprendimus informacinių sistemų veiklos tęstinumo valdymo klausimais. Veiklos atkūrimo grupė, atsižvelgdama į priimtus sprendimus, organizuoja informacinių sistemų veiklos atkūrimą.

23. Veiklos tęstinumo valdymo ir Veiklos atkūrimo grupės tarpusavyje bendrauja žodžiu, telefonu ir elektroniniu paštu.

III SKYRIUS

Aprašomosios nuostatos

24. Informacinių sistemų veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:

24.1. informacinių sistemų dokumentacija, kurioje nurodyta informacinių sistemų informacinių technologijų įranga ir jos parametrai, už ją atsakingi asmenys;

24.2. kiekvieno pastato, kuriame yra informacinių sistemų įranga, aukštų patalpų brėžiniai ir juose pažymėta:

24.2.1. tarnybinės stotys;

24.2.2. kompiuterių tinklo ir telefonų tinklo mazgai;

24.2.3. kompiuterių tinklo ir telefonų tinklo tiesimo tarp pastato aukštų vietos;

24.2.4. elektros įvedimo pastate vietos;

24.3. informacinių sistemų kompiuterių tinklo fizinio ir loginio sujungimo schemos;

24.4. kompiuterinės, techninės ir programinės įrangos sutarčių sąrašas;

24.5. Elektroninės informacijos atsarginių kopijų darymo ir išbandymo tvarkos aprašas, kuriame turi būti nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

24.6. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, kuriais šiuos asmenis galima pasiekti bet kuriuo paros metu;

24.7. minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos informacinių sistemų valdytojo ir tvarkytojų poreikius atitinkančiai informacinių sistemų veiklai užtikrinti, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui ar nenumatytai situacijai, specifikacija; už šios įrangos priežiūrą atsakingų administratorių sąrašas ir minimalūs reikiamos kompetencijos ar žinių lygio reikalavimai informacinių sistemų veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą;

24.8. elektroninės informacijos teikimo sutarčių sąrašas.

25. Už plano 24.1–24.7 papunkčiuose nurodytų dokumentų parengimo organizavimą, saugojimą, nuolatinį atnaujinimą ir kompiuterinės, techninės ir programinės įrangos sutarčių vykdymo priežiūrą atsakingas Registrų centro IT infrastruktūros departamento vadovo paskirtas administratorius. Šiame punkte nurodyti dokumentai saugomi išspausdinti Registrų centro IT infrastruktūros departamente ir atsarginėse patalpose. Jeigu naudojama informacinių sistemų įranga (pagal nuomos, panaudos ar kitas sutartis) priklauso trečiajai šaliai ir yra jos patalpose, sutarties su trečiąja šalimi kopija turi būti saugoma kartu su šiame punkte nurodytais dokumentais.

26. Už plano 24.8 papunktyje nurodyto dokumento parengimą, saugojimą, nuolatinį atnaujinimą ir elektroninės informacijos teikimo sutarčių vykdymo priežiūrą pagal kompetenciją atsakingas Registrų centro Sutarčių kontrolės ir administravimo skyriaus vadovas. Elektroninės informacijos teikimo sutarčių sąrašas saugomas išspausdintas Registrų centro Sutarčių kontrolės ir administravimo skyriuje ir atsarginėse patalpose.

IV SKYRIUS

Plano veiksmingumo išbandymo nuostatos

27. Plano veiksmingumas išbandomas ne rečiau kaip kartą per metus teorinių ir (ar) praktinių mokymų metu, modeliuojant kibernetinį ar elektroninės informacijos saugos incidentą. Plano veiksmingumo išbandymas gali būti planinis arba neplaninis. Plano veiksmingumo išbandymą organizuoja saugos įgaliotiniai.

28. Plano veiksmingumo išbandymo rezultatai turi būti naudojami Planui atnaujinti. Nustačius Plano veiksmingumo trūkumų, rengiama pastebėtų Plano veiksmingumo trūkumų šalinimo ataskaita. Už Plano veiksmingumo trūkumų šalinimo ataskaitos parengimą ir pateikimą informacinių sistemų valdytojui atsakingi saugos įgaliotiniai.

29. Plano veiksmingumo išbandymo metu pastebėti Plano veiksmingumo trūkumai šalinami remiantis efektyvumo, ekonomiškumo, rezultatyvumo ir operatyvumo principais.

30. Veiklos tęstinumo valdymo procesams tobulinti turi būti nustatomi ir vertinami šie rodikliai:

30.1. informacinių sistemų neprieinamumas valandomis per metus;

30.2. informacinių sistemų veiklos atkūrimo, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, trukmė.

_____________________

Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos tęstinumo valdymo plano

priedas

Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos ATKŪRIMO DETALUSIS PLANAS

1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos tęstinumo valdymo planas (toliau – Detalusis planas) nurodomi veiksmai, reikalingi Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (toliau kartu – informacinės sistemos) veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai.

2. Įsigaliojus Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų veiklos tęstinumo valdymo planui, informacinių sistemų veiklos tęstinumo valdymo grupė (toliau – Veiklos tęstinumo valdymo grupė) informuoja informacinių sistemų naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie informacinių sistemų veikimo sutrikimus. Informacija teikiama pagrindinio informacinių sistemų tvarkytojo interneto svetainėje, informacinių sistemų taikomosiose programose, kitomis priemonėmis (pavyzdžiui, raštu, elektroniniu paštu ir panašiai).

3. Informacinių sistemų veiklos atkūrimo grupė (toliau – Veiklos atkūrimo grupė) informacinių sistemų veiklą atkuria pagal šiuos informacinių sistemų funkcijų prioritetus:

3.1. tarnybinių stočių veikimo atkūrimas:

3.1.1. duomenų bazės veikimo atkūrimas;

3.1.2. taikomųjų programų veikimo atkūrimas;

3.2. kompiuterių tinklo veikimo atkūrimas;

3.3. elektroninės informacijos atkūrimas;

3.4. taikomųjų programų veikimo atkūrimas;

3.5. interneto ryšio atkūrimas;

3.6. pagrindinio informacinių sistemų tvarkytojo kompiuterinių darbo vietų veikimo atkūrimas;

3.7. kitų informacinių sistemų tvarkytojų kompiuterinių darbo vietų veikimo atkūrimas.

4. Informacinių sistemų veiklos atkūrimo veiksmai, atsižvelgiant į kibernetinio ar elektroninės informacijos saugos incidento tipą ir mastą, veiklos atkūrimo veiksmų pobūdį, turi būti atlikti per kuo trumpesnį terminą, kuris neturi būti ilgesnis kaip 8 valandos. Informacinių sistemų veiklos atkūrimo veiksmai nurodyti lentelėje.

Lentelė

Situacija	Pirminiai veiksmai	Veiklos atkūrimo veiksmai	Atsakingi vykdytojai
1. Manipuliacija elektronine informacija (pavyzdžiui, elektroninės informacijos, įskaitant informacinių sistemų programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas).	1.1. Incidento analizė.	1.1.1. Nustatomas atakos šaltinis, kibernetinio ar elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija. 1.1.2. Stabdomas pažeistos elektroninės informacijos teikimas. 1.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys. 1.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys.	Veiklos atkūrimo grupės vadovas
	1.2. Veiksmų plano sudarymas.	1.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, informacinių sistemų veiklai atkurti ir informacinėms sistemoms apsaugoti.	Veiklos tęstinumo valdymo grupės vadovas, Veiklos atkūrimo grupės vadovas
	1.3. Padarinių likvidavimas ir veiklos atkūrimas.	1.3.1. Imamasi veiksmų neteisėtai veikai sustabdyti. 1.3.2. Likviduojami kibernetinio ar elektroninės informacijos saugos incidento padariniai, atkuriamas informacinių sistemų veikimas, diegiamos informacinių sistemų apsaugos priemonės. 1.3.3. Jeigu informacinių sistemų veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga. 1.3.4. Jeigu nėra galimybės elektroninės informacijos tinkamai atkurti iš atsarginių kopijų, informacinių sistemų duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo. 1.3.5. Atkuriamas elektroninės informacijos paslaugų teikimas. 1.3.6. Prireikus veikla atkuriama atsarginėse patalpose.	Veiklos atkūrimo grupės vadovas
2. Ryšio sutrikimas.	2.1. Ryšio sutrikimo priežasties nustatymas.	2.1.1. Aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl ryšio sutrikimo pašalinimo.	Veiklos atkūrimo grupės vadovas
	2.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės.	2.2.1. Priemonių nustatymas sutrikimams pašalinti.	Veiklos atkūrimo grupės vadovas
	2.3. Ryšio sutrikimo pašalinimas.	2.3.1. Priemonių įgyvendinimas.	Veiklos atkūrimo grupės vadovas
3. Kritinis pagrindinio informacinių sistemų tvarkytojo techninės įrangos gedimas, praradimas (pavyzdžiui, techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavimo įrangos gedimas, šios įrangos vagystė arba sugadinimas).	3.1. Incidento analizė.	3.1.1. Nustatomas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga.	Veiklos atkūrimo grupės vadovas
	3.1. Incidento analizė.	3.1.2. Nustatomi ir įvertinami įvykio padariniai, žala.	Veiklos tęstinumo valdymo grupės vadovas
	3.2. Veiksmų plano sudarymas.	3.2.1. Sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai: 3.2.1.1. naudoti kitos turimos techninės įrangos išteklius; 3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją; 3.2.1.3. užsakyti reikalingą techninę įrangą pagal įrangos tiekimo sutartis; 3.2.1.4. vykdyti viešąjį techninės įrangos pirkimą; 3.2.1.5. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą). 3.2.2. Prireikus numatomas finansinių ir kitokių išteklių poreikis informacinių sistemų veiklai atkurti.	Veiklos tęstinumo valdymo grupės vadovas
	3.3. Padarinių likvidavimas ir veiklos atkūrimas.	3.3.1. Informacinių sistemų veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų.	Veiklos atkūrimo grupės vadovas
4. Stichinė nelaimė, avarija, pagrindinio informacinių sistemų tvarkytojo patalpų praradimas, pažeidimas (pavyzdžiui, žemės drebėjimas, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio kiekio pavojingų medžiagų išsiveržimas į aplinką).	4.1. Standartinių veiksmų vykdymas.	4.1.1. Veiksmų, nustatytų pagrindinio informacinių sistemų tvarkytojo darbuotojų saugos ir sveikatos įvadinėse instrukcijose ir kituose teisės aktuose, vykdymas.	Darbuotojai, kiti asmenys
5. Pagrindinio informacinių sistemų tvarkytojo patalpų užgrobimas.	5.1. Teisėsaugos institucijų informavimas.	5.1.1. Apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos. 5.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas.	Veiklos tęstinumo valdymo grupės vadovas
	5.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija.	5.2.1. Draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymai. 5.2.2. Darbuotojų informavimas apie evakavimą.	Veiklos tęstinumo valdymo grupės vadovas
	5.3. Patalpų užrakinimas, jei yra galimybė.	5.3.1. Teisėsaugos institucijų nurodymų vykdymas.	Veiklos tęstinumo valdymo grupės vadovas
	5.3. Patalpų užrakinimas, jei yra galimybė.
	5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija.	5.4.1. Darbuotojų informavimas apie nurodymų vykdymą.	Veiklos atkūrimo grupės vadovas
	5.5. Veiksmai atlaisvinus užgrobtas patalpas.	5.5.1. Padarytos žalos įvertinimas. 5.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas.	Veiklos tęstinumo valdymo grupės vadovas, Veiklos atkūrimo grupės vadovas
6. Komunalinių paslaugų teikimo pagrindinio informacinių sistemų tvarkytojo patalpose sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas).	6.1. Incidento analizė.	6.1.1. Pagal kompetenciją nustatomos galimos komunalinių paslaugų tiekimo sutrikimo priežastys. 6.1.2. Informuojami komunalinių paslaugų teikėjai.	Registrų centro Turto valdymo skyriaus vadovas
	6.2. Veiksmų plano sudarymas.	6.2.1. Sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti.	Veiklos tęstinumo valdymo grupės vadovas
	6.3. Padarinių likvidavimas ir veiklos atkūrimas.	6.3.1. Organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas.	Veiklos atkūrimo grupės vadovas
7. Pagrindinio informacinių sistemų tvarkytojo darbuotojų praradimas (pavyzdžiui, nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus).	7.1. Incidento analizė.	7.1.1. Nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti. 7.1.2. Nustatoma, kokia darbuotojų kompetencija reikalinga svarbiems procesas vykdyti.	Registrų centro Žmogiškųjų išteklių valdymo departamento vadovas
	7.2. Veiklos atkūrimas.	7.2.1. Trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus apmokomi esami darbuotojai. 7.2.2. Vykdoma naujų darbuotojų paieška ir atliekamos įdarbinimo procedūros.	Žmogiškųjų išteklių valdymo departamento vadovas

______________________

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2020 m. balandžio 17 d. įsakymu Nr. V-893

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ ELEKTRONINĖS SVEIKATOS SISTEMOS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

Bendrosios nuostatos

1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomų elektroninės sveikatos sistemos informacinių sistemų naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (toliau kartu – informacinės sistemos) naudotojų ir informacinių sistemų administratorių įgaliojimus, teises, pareigas, prieigos prie elektroninės informacijos principus, saugaus elektroninės informacijos teikimo informacinių sistemų naudotojams kontrolės tvarką.

2. Taisyklėse vartojamos sąvokos:

2.1. Išorinis informacinių sistemų naudotojas – su informacinių sistemų valdytoju arba informacinių sistemų tvarkytojais tarnybos ar darbo santykiais nesusijęs asmuo, kuris informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją.

2.2. Vidinis informacinių sistemų naudotojas – informacinių sistemų naudotojas, tarnybos ar darbo santykiais susijęs su informacinių sistemų valdytoju arba informacinių sistemų tvarkytoju.

2.3. Kitos Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

3. Taisyklės taikomos visiems informacinių sistemų naudotojams, informacinių sistemų administratoriams ir informacinių sistemų tvarkytojų saugos įgaliotiniams.

4. Prieigos prie elektroninės informacijos principai:

4.1. informacinių sistemų naudotojų ir informacinių sistemų administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad informacinių sistemų naudotojams ir informacinių sistemų administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie informacinių sistemų naudotojai ir informacinių sistemų administratoriai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir panašiai);

4.2. informacinių sistemų naudotojų ir informacinių sistemų administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios informacinių sistemų naudotojų ir informacinių sistemų administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir panašiai);

4.3. pareigų atskyrimo principas. Šis principas reiškia, kad informacinių sistemų naudotojui, informacinių sistemų administratoriui ar jų grupei negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar informacinių sistemų priežiūros funkcijų, informacinių sistemų naudotojams negali būti suteikiamos informacinių sistemų administratoriaus teisės, informacinių sistemų priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą informacinių sistemų administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių informacinių sistemų naudotojo funkcijų, informacinių sistemų kūrimo, modernizavimo funkcijos turi būti atskirtos nuo informacinių sistemų priežiūros funkcijų ir panašiai;

4.4. pareigų rotacijos principas. Šis principas reiškia, kad informacinių sistemų administratoriui negali būti pavesta nuolat atlikti tas pačias informacinių sistemų administratoriaus funkcijas. Siekiant išvengti subjektyviai tyčinių ir (arba) subjektyviai netyčinių rizikos veiksnių, informacinių sistemų tvarkytojai pagal galimybes turi užtikrinti informacinių sistemų administratorių rotaciją.

II SKYRIUS

informacinių sistemų naudotojų IR informacinių sistemų administratorių įgaliojimai, teisės ir pareigos

5. Informacinių sistemų naudotojų (išskyrus pacientus) ir informacinių sistemų administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi pagal informacinių sistemų valdytojo tvirtinamus informacinių sistemų nuostatus, elektroninės informacijos teikimo sutartis, vidinių informacinių sistemų naudotojų ir informacinių sistemų administratorių pareiginius nuostatus bei kitus teisės aktus, reglamentuojančius informacinių sistemų veiklą ir informacinių sistemų elektroninės informacijos tvarkymą.

6. Informacinių sistemų naudotojų – pacientų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi informacinių sistemų naudojimo licencijose (susipažinimo formose).

7. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai privalo rūpintis informacinių sistemų ir jose tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi informacinių sistemų veiklą reglamentuojančiais teisės aktais ir elektroninės informacijos teikimo sutartyse ar informacinių sistemų naudojimo licencijose arba susipažinimo formose nustatytais reikalavimais ir sąlygomis, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.

8. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai turi teises naudotis tik tais informacinių sistemų ištekliais, kurios jiems buvo suteiktos Taisyklių III skyriuje nustatyta tvarka.

9. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai, pastebėję Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 3 d. įsakymu Nr. V-777 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų duomenų saugos nuostatų ir Duomenų subjektų teisių įgyvendinimo Išankstinės pacientų registracijos informacinėje sistemoje tvarkos aprašo patvirtinimo“, Taisyklėse ir kituose Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami kreiptis į savo organizacijos informacinių technologijų pagalbos tarnybą ar kitą kompetentingą padalinį arba asmenį, atliekantį informacinių technologijų pagalbos tarnybos funkcijas.

10. Jeigu informacinių sistemų tvarkytojo saugos įgaliotinis nebuvo informuotas apie Taisyklių 9 punkte nurodytus pažeidimus, apie tai informuojamas kitas kompetentingas padalinys arba asmuo, atliekantis informacinių technologijų pagalbos tarnybos funkcijas. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinių sistemų saugą ir (ar) kibernetinį saugumą, informacinių sistemų tvarkytojo saugos įgaliotinis apie tai turi pranešti koordinuojančiam saugos įgaliotiniui, informacinių sistemų valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ar kibernetiniais incidentais.

11. Informacinių sistemų administratorių prieigos prie informacinių sistemų lygiai ir juose taikomi saugos reikalavimai:

11.1. informacinių sistemų administratoriai informacinių sistemų ir jų komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo arba nuotoline prieiga. Informacinių sistemų administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, barjerai ir kita) ir loginius (užkardos, domeno valdikliai ir kita) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose informacinių sistemų sandaros sluoksniuose (kompiuterinis tinklas, platformos ar operacinės sistemos, duomenų bazės ir taikomųjų programų sistemos);

11.2. informacinių sistemų administratoriams prieiga prie informacinių sistemų komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, informacinių sistemų naudotojų informacijos, prieigos teisių redagavimas ir pan.) suteikiama pagal informacinių sistemų duomenų saugos nuostatuose nustatytas informacinių sistemų administratorių grupes, remiantis Taisyklių 4 punkte nustatytais prieigos prie elektroninės informacijos principais;

11.3. koordinuojančiam administratoriui pagal kompetenciją gali būti suteikta prieiga prie visų informacinių sistemų komponentų ir jų sąrankos;

11.4. informacinių sistemų naudotojų administratoriams suteikiama prieiga prie informacinių sistemų naudotojų prieigos teisių valdymo sistemų;

11.5. informacinių sistemų komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos bei jų sąrankos;

11.6. informacinių sistemų saugos administratoriams suteikiama prieiga prie informacinių sistemų pažeidžiamumų skenavimo, informacinių sistemų stebėsenos ir saugos atitikties nustatymo ir įvertinimo, saugos informacijos ir įvykių stebėjimo, apsaugos nuo elektroninės informacijos nutekinimo priemonių, kitos saugos užtikrinimo įrangos ir kitų priemonių, kuriomis atliekamas informacinių sistemų pažeidžiamų vietų nustatymas, saugumo reikalavimų atitikties nustatymas ir stebėsena. Saugos administratoriai turi teisę gauti prieigą ir prie kitų informacinių sistemų komponentų, jeigu tai būtina jų funkcijoms, susijusioms su saugumo reikalavimų atitikties nustatymu ir stebėsena, atlikti.

III skyrius

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINIŲ SISTEMŲ NAUDOTOJAMS KONTROLĖS TVARKA

12. Už informacinių sistemų naudotojų ir informacinių sistemų administratorių registravimą ir išregistravimą atsakingi informacinių sistemų naudotojų administratoriai. Už Taisyklių 15 punkte nurodytos informacijos, reikalingos informacinių sistemų naudotojų ir informacinių sistemų administratorių registravimo ir išregistravimo veiksmams atlikti, pateikimą informacinių sistemų naudotojų administratoriams atsakingi informacinių sistemų naudotojų ir informacinių sistemų administratorių tiesioginiai vadovai.

13. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai registruojami arba išregistruojami informacinių sistemų posistemiuose ir komponentuose atitinkamai suteikiant jiems prieigos prie informacinių sistemų teises arba jas panaikinant.

14. Vidinio informacinių sistemų naudotojo tapatybė gali būti nustatoma naudojantis Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP), Registrų centro teikiamų elektroninio asmenų autentifikavimo platformos iPasas teikiamomis paslaugomis.

15. Vidinių informacinių sistemų naudotojų ir informacinių sistemų administratorių registravimo ir išregistravimo tvarka:

15.1. informacinių sistemų naudotojų administratorius prieigos teises suteikia arba pakeičia gavęs vidinio informacinių sistemų naudotojo ar informacinių sistemų administratoriaus tiesioginio vadovo rašytinį prašymą, suderintą su savo organizacijoje paskirtais informacinių sistemų ir (arba) elektroninės informacijos savininkais (angl. System Owner/Data Owner);

15.2. teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad vidinis informacinių sistemų naudotojas arba informacinių sistemų administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų;

15.3. informacinių sistemų naudotojų administratorius prieigos teises sustabdo nedelsdamas, gavęs už žmogiškųjų išteklių valdymą atsakingo informacinių sistemų valdytojo, informacinių sistemų tvarkytojo padalinio arba kito kompetentingo padalinio arba kompetentingo darbuotojo pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais vidinis informacinių sistemų naudotojas ar informacinių sistemų administratorius nušalinamas nuo darbo (pareigų), neatitinka teisės aktuose nustatytų informacinių sistemų naudotojo ar informacinių sistemų administratoriaus kvalifikacinių reikalavimų, praranda patikimumą, yra nėštumo ir gimdymo (motinystės) ar vaiko priežiūros atostogose;

15.4. administratorius prieigos teises panaikina gavęs už žmogiškųjų išteklių valdymą atsakingo informacinių sistemų valdytojo, informacinių sistemų tvarkytojo padalinio arba kito kompetentingo padalinio arba darbuotojo pateiktą informaciją apie vidinio informacinių sistemų naudotojo ar informacinių sistemų administratoriaus darbo (tarnybos) santykių pasibaigimą. Informacinių sistemų naudotojų administratorius prieigos teises turi panaikinti paskutinę informacinių sistemų naudotojo ar informacinių sistemų administratoriaus tarnybos (darbo) dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad informacinių sistemų naudotojas ar informacinių sistemų administratorius gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informacijos perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti informacinių sistemų saugumą, įvykdyti vagystę ir kita), prieigos teisės turi būti panaikintos nedelsiant;

15.5. tiesioginiai vidinių informacinių sistemų naudotojų ir informacinių sistemų administratorių vadovai kartu su savo organizacijoje paskirtais informacinių sistemų ir (arba) elektroninės informacijos savininkais ne rečiau kaip kartą per metus arba keičiantis vidinio informacinių sistemų naudotojo ar informacinių sistemų administratoriaus pareigoms ar funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti jų atitiktį vykdomoms funkcijoms. Tiesioginiai vidinių informacinių sistemų naudotojų ir informacinių sistemų administratorių vadovai turi parengti rašytinį prašymą dėl prieigos teisių vidiniam informacinių sistemų naudotojui ar informacinių sistemų administratoriui pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.

16. Išoriniai informacinių sistemų naudotojai prie informacinių sistemų jungiasi naudodamiesi VIISP arba Registrų centro teikiamų elektroninio asmenų autentifikavimo platformos iPasas teikiamomis paslaugomis. Išoriniai informacinių sistemų naudotojai gali naudotis tik išorinio informacinių sistemų naudotojo paskyromis.

17. Informacinių sistemų naudotojų ir informacinių sistemų administratorių paskyrų kontrolės priemonės:

17.1. paskyrų galiojimas turi būti laikinai sustabdomas, kai vidinis informacinių sistemų naudotojas nesinaudoja informacinėmis sistemomis ilgiau kaip 90 dienų (informacinių sistemų administratorius – 60 dienų);

17.2. informacinių sistemų tvarkytojai turi patvirtinti asmenų, kuriems suteiktos informacinių sistemų naudotojo ir informacinių sistemų administratoriaus teisės prisijungti prie informacinių sistemų, sąrašai periodiškai (ne rečiau kaip kartą per pusmetį) peržiūrimi informacinių sistemų tvarkytojų saugos įgaliotinių savo organizacijose. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais informacinių sistemų administratorius nušalinamas nuo darbo (pareigų);

17.3. turi būti naudojamos informacinių sistemų naudotojų paskyrų kontrolės priemonės ir administratorių paskyrų kontrolės priemonės, kurios atliktų paskyrų patikrinimą ir apie nepatvirtintas informacinių sistemų naudotojų ir administratorių paskyras praneštų informacinių sistemų tvarkytojo saugos įgaliotiniui. Apie nepatvirtintas administratorių paskyras turi būti pranešama nedelsiant;

17.4. nereikalingos ar nenaudojamos informacinių sistemų naudotojų ir informacinių sistemų administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų saugojimo terminui, nustatytam Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

18. Kiekvienas informacinių sistemų naudotojas ir informacinių sistemų administratorius turi būti informacinių sistemų unikaliai atpažįstamas. Informacinių sistemų naudotojo ir informacinių sistemų administratoriaus identifikacija turi būti pagrįsta naudotojo vardu, naudotojo kodu arba kita identifikacijos priemone, vienareikšmiškai apibrėžiančia informacinių sistemų naudotoją ar informacinių sistemų administratorių. Asmens kodas, numatytasis prisijungimo vardas (pavyzdžiui, user, administrator, admin ir panašiai) negali būti naudojami kaip informacinių sistemų naudotojo ar informacinių sistemų administratoriaus identifikatoriai.

19. Sudarant informacinių sistemų naudotojo ar informacinių sistemų administratoriaus identifikatorių didžiosios ir mažosios raidės neturi būti skiriamos.

20. Informacinių sistemų naudotojas ir informacinių sistemų administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone. Informacinių sistemų administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu informacinių sistemų komponentai palaiko tokį funkcionalumą.

21. Informacinių sistemų naudotojų ir informacinių sistemų administratorių slaptažodžių, jų sudarymo, galiojimo trukmės ir keitimo bendrieji reikalavimai:

21.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

21.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, vardas, pavardė, gimimo data, šeimos narių vardai, prisijungimo vardas, gyvenamosios vietos adresas ar jo sudedamosios dalys, telefono numeris ir kita);

21.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

21.4. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;

21.5. informacinių sistemų dalys, atliekančios nuotolinio prisijungimo tapatybės nustatymą, turi neleisti išsaugoti slaptažodžių;

21.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Viršijus leistiną mėginimų įvesti teisingą slaptažodį skaičių, paskyra turi užsirakinti ir neleisti identifikuotis ne trumpiau nei 15 minučių. Apie informacinių sistemų naudotojų paskyrų užsirakinimą automatiškai turi būti informuojamas informacinių sistemų naudotojų administratorius;

21.7. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

21.8. informacinių sistemų tvarkytojo saugos įgaliotinio sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo naudotojo vardo ar identifikavimo kodo, jei informacinių sistemų naudotojas ar informacinių sistemų administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių informacinių sistemų naudotojui ar informacinių sistemų administratoriui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

22. Specialieji reikalavimai informacinių sistemų naudotojų slaptažodžiams:

22.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

22.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

22.3. keičiant slaptažodį informacinės sistemos neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

22.4. pirmojo prisijungimo prie informacinių sistemų metu informacinės sistemos turi automatiškai inicijuoti laikino slaptažodžio pakeitimą.

23. Specialieji informacinių sistemų administratorių slaptažodžių reikalavimai:

23.1. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

23.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

23.3. keičiant slaptažodį informacinės sistemos neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;

23.4. draudžiama informacinių sistemų techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti nedelsiant pakeisti ir atitikti informacinių sistemų administratorių slaptažodžiams taikomus reikalavimus.

24. Nuotolinis informacinių sistemų naudotojų prisijungimas prie informacinių sistemų turi būti vykdomas naudojant patikimus elektroninės informacijos šifravimo protokolus.

___________________________

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2020 m. balandžio 17 d. įsakymu Nr. V-893

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ

IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ

ELEKTRONINĖS SVEIKATOS SISTEMOS INFORMACINIŲ SISTEMŲ POKYČIŲ VALDYMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų pokyčių valdymo tvarkos aprašas (toliau – Aprašas) nustato standartizuotą funkcinių, techninių, programinių, organizacinių ir administracinių Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (toliau kartu – informacinės sistemos) pokyčių (toliau – pokyčiai) valdymą ir kontrolę, siekiant sumažinti neigiamo pokyčių poveikio informacinių sistemų veikimui riziką, užtikrinant saugų ir kokybišką reikalingų pokyčių įvykdymą.

2. Apraše nustatyti standartizuoti pokyčių valdymo planavimo procesai, apimantys pokyčių identifikavimą, inicijavimą ir suskirstymą į kategorijas pagal pokyčio tipą, įtakos vertinimą, pokyčių prioritetų nustatymą, pokyčių atlikimą, dokumentavimą, pokyčių valdymo efektyvumo vertinimą.

II SKYRIUS

POKYČIŲ IDENTIFIKAVIMAS

3. Pokyčiai identifikuojami analizuojant vidinę ir išorinę informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (informacinių sistemų sąranka, pažeidžiamumai, atitiktis teisės aktų ir standartų reikalavimams ir panašiai).

4. Vidinė ir išorinė informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo veiklos aplinkos analizė atliekama informacinių sistemų rizikos vertinimo, informacinių technologijų saugos atitikties vertinimo, informacinių technologijų audito, informacinių sistemų būklės, veiklos efektyvumo ir pajėgumo, elektroninių paslaugų kokybės, atitikties teisės aktų ir standartų reikalavimams ir kitų vertinimų, atliekamų Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 7 d. nutarimu Nr. 1057 „Dėl Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų patvirtinimo“, Išankstinės pacientų registracijos informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. gruodžio 6 d. įsakymu Nr. V-1406 „Dėl Išankstinės pacientų registracijos informacinės sistemos nuostatų patvirtinimo“, Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 3 d. įsakymu Nr. V-777 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir Valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų duomenų saugos nuostatų ir Duomenų subjektų teisių įgyvendinimo Išankstinės pacientų registracijos informacinėje sistemoje tvarkos aprašo patvirtinimo“ ir kitų informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų veiklą reglamentuojančių teisės aktų nustatyta tvarka, metu.

5. Planuojami pokyčiai turi atitikti Lietuvos Respublikos Seimo ir Lietuvos Respublikos Vyriausybės patvirtintus planavimo dokumentus, Lietuvos Respublikos Vyriausybės nustatytas taikomų informacinių ir ryšių technologijų tobulinimo ir plėtros kryptis ir rekomenduojamus taikyti techninius reikalavimus (standartus), informacinių sistemų valdytojo strateginius veiklos planus, informacinių technologijų strategiją ir kitus planavimo dokumentus.

III SKYRIUS

POKYČIŲ INICIJAVIMAS IR SKIRSTYMAS Į KATEGORIJAS

6. Pokyčius turi teisę inicijuoti informacinių sistemų valdytojas, informacinių sistemų tvarkytojai, informacinių sistemų duomenų valdymo įgaliotinis, koordinuojantis informacinių sistemų saugos įgaliotinis ir informacinių sistemų administratoriai (toliau – administratoriai). Funkciniai, techniniai ir programiniai informacinių sistemų pokyčiai turi būti aprašomi ir registruojami specializuotoje Valstybės įmonės Registrų centro (toliau – pagrindinis informacinių sistemų tvarkytojas) projektų valdymo sistemoje JIRA. Organizaciniai ir administraciniai informacinių sistemų pokyčiai aprašomi laisva forma ir saugomi už personalo ir dokumentų valdymą atsakinguose informacinių sistemų valdytojo ar informacinių sistemų tvarkytojų struktūriniuose padaliniuose.

7. Registruojant pokyčius, atsižvelgiant į jų svarbą, aktualumą ir poreikį, pokyčiai skirstomi į šias kategorijas pagal pokyčio tipą (administracinis, organizacinis, funkcinis, programinis ar techninis):

7.1. standartiniai pokyčiai, kurie nekelia rizikos siekiant užtikrinti kokybišką elektroninių paslaugų teikimą arba visos informacinių technologijų infrastruktūros veikimą (pavyzdžiui, naujos kompiuterinės darbo vietos parengimas vidiniam informacinių sistemų naudotojui ar jos komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar pašalinimas, saugumo spragų pataisymų įdiegimas vidinio informacinių sistemų naudotojo kompiuterinėje darbo vietoje ir panašiai). Standartiniai pokyčiai atliekami apraše ir kituose informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų priimtuose teisės aktuose nustatyta tvarka;

7.2. skubūs pokyčiai, skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalaujantys ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pavyzdžiui, veiklos atkūrimas likviduojant elektroninės informacijos saugos arba kibernetinio incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius). Avarinių pokyčių atveju gali būti praleisti pokyčių įtakos vertinimo ir dokumentavimo etapai, tačiau jie turi būti atlikti pašalinus aukščiausio prioriteto sutrikimus arba problemas;

7.3. plėtros (vystymo) pokyčiai, kurių metu kuriamos arba modernizuojamos informacinių technologijų paslaugos, ir su tuo susiję jų atlikimo veiksmai nėra visiškai aiškūs, o pokyčių atlikimas susijęs su tam tikra rizika siekiant užtikrinti elektroninių paslaugų teikimą arba visos informacinių technologijų infrastruktūros veikimą.

8. Prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) pokyčiams. Pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu.

IV SKYRIUS

POKYČIŲ ĮTAKOS VERTINIMAS

9. Funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina pagrindinio informacinių sistemų tvarkytojo paslaugų valdymo direktoriaus pavaldume esantys struktūriniai padaliniai, taip pat pokyčių valdymo komitetas, sudarytas iš pagrindinio informacinių sistemų tvarkytojo informacinių technologijų direktoriaus pavaldume esančių struktūrinių padalinių vadovų. Sudėtingų pokyčių įtakai įvertinti gali būti sudaroma darbo grupė. Ši darbo grupė gali būti sudaroma iš informacinių sistemų valdytojo ir pagrindinio informacinių sistemų tvarkytojo kompetentingų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau visi kartu – darbuotojai), prireikus – nepriklausomų ekspertų.

10. Pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda ir pagrįstumas, pokyčių įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat informacinių sistemų veiklos sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.

11. Galimybių studija turi būti rengiama, kai pokyčių įtakos vertinimo metu nustatoma, kad informacinėms sistemoms kurti ar modernizuoti planuojama viršyti Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos patvirtintą lėšų dydį.

V SKYRIUS

POKYČIŲ ATLIKIMAS

12. Funkcinius, techninius, programinius informacinių sistemų pokyčius vykdo administratoriai arba paslaugų teikėjas, atrinktas Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka. Organizacinius ir administracinius informacinių sistemų pokyčius vykdo už žmogiškųjų išteklių valdymą ir dokumentų valdymą atsakingi informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų struktūriniai padaliniai.

13. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinių sistemų darbą, turi būti suderinti su informacinių sistemų duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo rašytinį pritarimą.

14. Pokyčiai, galintys sutrikdyti ar sustabdyti informacinių sistemų veiklą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo informacinių sistemų eksploatuojamos aplinkos. Pokyčiai informacinių sistemų eksploatuojamoje aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pavyzdžiui, veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti bandomojoje aplinkoje.

15. Nustačius, kad pokyčių rezultatas bandomojoje aplinkoje atitinka laukiamus rezultatus, pokyčiai gali būti atliekami informacinių sistemų eksploatuojamoje aplinkoje.

16. Pagrindinio informacinių sistemų tvarkytojo nustatytu darbo laiku gali būti vykdomi tik skubūs ir standartiniai pokyčiai. Plėtros (vystymo) pokyčiai turi būti atliekami po darbo valandų arba savaitgaliais.

17. Administratoriai turi informuoti informacinių sistemų naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie pokyčius, kurių įgyvendinimo metu galimi informacinių sistemų veiklos sutrikimai. Apie pokyčius informuojama pagrindinio informacinių sistemų informacinių sistemų tvarkytojo interneto svetainėje, informacinių sistemų taikomosiose programose, kitomis priemonėmis (pavyzdžiui, raštu, elektroniniu paštu ir panašiai) ne vėliau kaip prieš 1 (vieną) darbo dieną iki planuojamų pokyčių įgyvendinimo pradžios. Šio punkto gali būti nesilaikoma, jeigu įgyvendinami skubūs pokyčiai.

VI SKYRIUS

POKYČIŲ DOKUMENTAVIMAS

18. Informacinių sistemų sąrankos aprašai, rengiami dokumentuojant pokyčius, turi rodyti esamą informacinių sistemų sąrankos būklę. Informacinių sistemų sąranka ir būsenos rodikliai turi būti tikrinami (peržiūrimi) reguliariai, tačiau ne rečiau kaip kartą per ketvirtį. Visi įgyvendinti pokyčiai turi būti dokumentuojami ir registruojami specializuotoje pagrindinio informacinių sistemų tvarkytojo projektų valdymo sistemoje JIRA.

19. Įgyvendinus pokyčius informacinių sistemų eksploatuojamoje aplinkoje, administratoriai turi patikrinti (peržiūrėti) informacinių sistemų sąranką ir būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokyčiai atitinka planuojamus rezultatus. Sudėtingų ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti darbuotojai ar trečiosios šalies kompetentingi specialistai.

20. Pokyčius koordinuojančiam administratoriui patvirtinus, kad pokyčiai atitinka planuotus rezultatus, administratoriai turi atnaujinti informacinių sistemų sąrankos aprašus ir prireikus inicijuoti kitų, su pokyčiais susijusių dokumentų, atnaujinimą ir pateikimą suinteresuotiems asmenims.

21. Pokyčiai, susiję su informacinių sistemų kūrimu ar modernizavimu, turi būti dokumentuojami techniniame aprašyme (specifikacijoje), kuris rengiamas, derinamas ir tvirtinamas Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

VII SKYRIUS

POKYČIŲ VALDYMO EFEKTYVUMO VERTINIMAS

22. Siekiant efektyvaus pokyčių valdymo, turi būti analizuojami ir vertinami šie rodikliai:

22.1. informacinių sistemų veiklos sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios pokyčių specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;

22.2. informacinių sistemų taikomųjų programų ar informacinių technologijų infrastruktūros pataisymai, kilę dėl netinkamos pokyčių specifikacijos;

22.3. pokyčių, kurie vyksta pagal Aprašą, procentas.

23. Pokyčių valdymo efektyvumo vertinimą atlieka informacinių sistemų tvarkytojo paslaugų valdymo direktoriaus pavaldume esantys struktūriniai padaliniai.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

24. Pokyčių valdymo veiklai detalizuoti rengiamas pokyčių valdymo proceso aprašas, kurį tvirtina pagrindinis informacinių sistemų tvarkytojas.

25. Pokyčių valdymo proceso aprašas rengiamas vadovaujantis Aprašu, Informacinių technologijų paslaugų valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. birželio 19 d. įsakymu Nr. T-83 „Dėl Informacinių technologijų paslaugų valdymo metodikos patvirtinimo“, ir atsižvelgiant į informacinių technologijų paslaugų valdymo standarto LST ISO/IEC 20000-1:2019 reikalavimus.

___________________________