VALSTYBĖS TARNYBOS DEPARTAMENTO

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL viSUOMENĖS SVEIKATOS Priežiūros SPECIALISTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2016 m. kovo 22 d. Nr. V-372

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 19 punktais:

1. T v i r t i n u Visuomenės sveikatos priežiūros specialistų registro duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Higienos institutui per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos:

2.1.1. paskirti visuomenės sveikatos priežiūros specialistų registro duomenų valdymo įgaliotinį, saugos įgaliotinį ir administratorių;

2.1.2. pateikti Lietuvos Respublikos sveikatos apsaugos ministrui tvirtinti:

2.1.2.1. Visuomenės sveikatos priežiūros specialistų registro naudotojų administravimo taisyklių projektą;

2.1.2.2. Visuomenės sveikatos priežiūros specialistų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.1.2.3. Visuomenės sveikatos priežiūros specialistų registro veiklos tęstinumo valdymo plano projektą;

2.2. šio įsakymo vykdymo kontrolę viceministrui pagal veiklos sritį.

Sveikatos apsaugos ministras Juras Požela

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016 m. vasario 26 d. raštu Nr. 1D-1200

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2016 m. kovo 22 d. įsakymu Nr. V-372

VISUOMENĖS SVEIKATOS PRIEŽIŪROS SPECIALISTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

Bendrosios nuostatos

1. Visuomenės sveikatos priežiūros specialistų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Registro saugos politiką. Saugos politika įgyvendinama taip pat vadovaujantis Visuomenės sveikatos priežiūros specialistų registro saugaus elektroninės informacijos tvarkymo taisyklėmis (toliau – Tvarkymo taisyklės), Visuomenės sveikatos priežiūros specialistų registro veiklos tęstinumo valdymo planu (toliau – Valdymo planas), Visuomenės sveikatos priežiūros specialistų registro naudotojų administravimo taisyklėmis (toliau – Administravimo taisyklės).

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka teisės aktuose, nurodytuose šių Saugos nuostatų 14 punkte, vartojamas sąvokas.

3. Šiais Saugos nuostatais turi vadovautis Registro valdytojas, Registro tvarkytojai, Registro duomenų valdymo įgaliotinis, Registro saugos įgaliotinis (toliau ‒ Saugos įgaliotinis), Registro administratorius (toliau ‒ Administratorius) ir Registro naudotojai (toliau ‒ Naudotojai).

4. Registro duomenų saugos tikslas ‒ sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Registro duomenis, užtikrinant duomenų konfidencialumą, vientisumą ir prieinamumą.

5. Registro duomenų saugos užtikrinimo prioritetinės kryptys:

5.1. Registro duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.2. administracinių saugaus darbo su duomenimis priemonių įgyvendinimas ir kontrolė;

5.3. Registro duomenims tvarkyti naudojamos techninės ir programinės įrangos kontrolė.

6. Registro valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija (toliau – Ministerija), buveinės adresas: Vilniaus g. 33, LT-01506 Vilnius.

7. Registro tvarkytojai yra Higienos institutas (toliau – Institutas) ir Lietuvos nacionalinės sveikatos sistemos visuomenės sveikatos priežiūros įstaigos (toliau – Įstaigos), pavaldžios Registro valdytojui. Instituto buveines adresas: Didžioji g. 22, LT-01128 Vilnius. Įstaigų pavadinimai, jų buveinių adresai nurodyti Ministerijos tinklalapyje www.sam.lt. Registro tvarkytojai yra ir asmens duomenų tvarkytojai.

8. Registro valdytojas atlieka šias funkcijas:

8.1. tvirtina registro saugos politiką įgyvendinančius dokumentus (toliau – Saugos dokumentai): Tvarkymo taisykles, Valdymo planą, Administravimo taisykles;

8.2. organizuoja Registro veiklą ir jai vadovauja;

8.3. paveda Registro tvarkytojui Institutui skirti Registro duomenų valdymo įgaliotinį, Saugos įgaliotinį ir Administratorių;

8.4. prižiūri saugos reikalavimų įgyvendinimą;

8.5. priima sprendimus dėl Registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

8.6. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, Saugos nuostatais ir kitais teisės aktais.

9. Registro tvarkytojo Instituto funkcijos:

9.1. Registro valdytojui pavedus skiria Saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos reikalavimų įgyvendinimą;

9.2. Registro valdytojo pavedimu skiria Administratorių ir paveda prižiūrėti Registrą ir jo infrastruktūrą, užtikrinant jo veikimą ir elektroninės informacijos saugą;

9.3. atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veiklą;

9.4. įgyvendina tinkamas organizacines ir technines priemones, skirtas duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

9.5. užtikrina, kad Naudotojai, turintys teisę naudotis Registro duomenimis numatytoms funkcijoms atlikti, laikytųsi reikalavimų, nustatytų Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose;

9.6. organizuoja techninių, programinių priemonių, skirtų Registrui eksploatuoti, prižiūrėti ir plėtoti, įsigijimą, jų įdiegimą ir modernizavimą, registro techninės, programinės įrangos priežiūrą ir tobulinimą;

9.7. pagal kompetenciją atsako už Registro duomenų tvarkymo teisėtumą ir duomenų saugumą bei Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems Saugos nuostatams;

9.8. organizuoja saugos dokumentų peržiūrėjimą ne rečiau kaip kartą per metus, esant poreikiui juos keičia.

10. Registro tvarkytojos Įstaigos įgyvendina Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

11. Saugos įgaliotinio funkcijos:

11.1. teikia Registro valdytojui ar tvarkytojui Institutui siūlymus dėl Administratoriaus skyrimo, saugos dokumentų priėmimo, keitimo ar panaikinimo, saugos reikalavimų atitikties vertinimo atlikimo;

11.2. teikia Administratoriui privalomus vykdyti nurodymus ir pavedimus;

11.3. konsultuoja Naudotojus saugaus duomenų tvarkymo klausimais;

11.4. inicijuoja Administratoriaus ir Naudotojų mokymą duomenų saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

11.5. organizuoja kasmetinį Registro rizikos vertinimą;

11.6. atsako už duomenų saugumo politikos įgyvendinimą ir saugos dokumentų reikalavimų vykdymą;

11.7. atlieka kitas saugos dokumentuose nurodytas ir Saugos nuostatuose jam priskirtas funkcijas.

12. Administratoriaus funkcijos:

12.1. suteikia Naudotojams prieigos teisę naudotis Registro duomenimis, reikalingais jiems priskirtoms funkcijoms atlikti; registruoja kitų Registro tvarkytojų – Įstaigų – Naudotojus, gavęs Įstaigos vadovo raštišką prašymą;

12.2. registruoja elektroninės informacijos saugos incidentus ir koordinuoja jų tyrimą;

12.3. informuoja Saugos įgaliotinį apie elektroninės informacijos saugos incidentus;

12.4. teikia siūlymus dėl duomenų saugos organizavimo;

12.5. atsako, kad tvarkant Registrą nebūtų pažeisti Saugos nuostatų reikalavimai;

12.6. organizuoja Registro kompiuterinės ir programinės įrangos administravimą ir priežiūrą, siekdamas užtikrinti kokybišką ir patikimą jos veikimą;

12.7. atsako už Registro duomenų bazės duomenų atsarginių kopijų darymą ir saugojimą.

13. Naudotojų funkcijos:

13.1. informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojasi ir tvarko elektroninę informaciją;

13.2. informuoja Saugos įgaliotinį apie elektroninės informacijos saugos incidentus, o Administratorių – apie Registro darbo sutrikimus;

13.3. vykdo kitas Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su Registro naudojimu ir duomenų sauga;

13.4. atsako už tvarkomų duomenų saugą teisės aktų nustatyta tvarka.

14. Registro sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos kibernetinio saugumo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ ir Bendraisiais reikalavimais organizacinėms techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms techninėms duomenų saugumo priemonėms) ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugos politiką ir Registro duomenų tvarkymo teisėtumą bei duomenų saugumo valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.3.1 ir 4.3.2 papunkčiais, Registre tvarkomi duomenys pagal svarbą priskiriami žinybinės svarbos elektroninės informacijos kategorijai.

16. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu, Registras priskiriamas trečiai informacinių sistemų kategorijai.

17. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, Registro duomenų tvarkymas automatiniu būdu priskiriamas antram saugumo lygiui.

18. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui, konfidencialumui ir prieinamumui.

19. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Minėtą rizikos įvertinimą gali atlikti ir pats Saugos įgaliotinis. Prireikus Saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Registro rizikos veiksniams vertinti taikoma kokybinė rizikos vertinimo metodika.

20. Registro rizikos įvertinimas pateikiamas rizikos įvertinimo ataskaitoje, kuri pateikiama Registro valdytojo ar tvarkytojo, jeigu jis paskyrė Saugos įgaliotinį, vadovui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Šioje ataskaitoje išdėstomos pagrindinės Registro rizikos valdymo priemonės.

21. Pagrindiniai rizikos veiksniai, galintys turėti įtakos Registro duomenų saugumui, yra šie:

21.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22. Saugos užtikrinimo priemonės parenkamos siekiant užtikrinti Registro veiklos tęstinumą patiriant kuo mažiau išlaidų ir užtikrinant saugų Registro darbą.

23. Registro tvarkytojas, atsižvelgdamas į Registro rizikos įvertinimo ataskaitą, prireikus tvirtina Saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

24. Saugos įgaliotinis, siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka ne rečiau kaip kartą per dvejus metus organizuoja Registro informacinių technologijų saugos reikalavimų atitikties vertinimą.

25. Remdamasis atlikto Registro informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatais, Registro tvarkytojas Institutas parengia ir valdytojui pateikia tvirtinti pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. Registro tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su Registro duomenų tvarkymu, Registro naudotojų ir pačios įrangos administravimu.

27. Registro tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta informacinei sistemai nuo kenksmingos programinės įrangos apsaugoti. Ši programinė įranga turi būti atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos.

28. Registro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

29. Naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Administratoriaus posistemėje Registro tvarkytojo Instituto nustatyta tvarka.

30. Tiesioginė prieiga prie Registro duomenų suteikiama automatiniu būdu ištisą parą darbo ir poilsio dienomis, įgyvendinus Naudotojų autentifikavimo priemones.

31. Registro duomenys perduodami automatiniu būdu naudojant saugų duomenų perdavimo protokolą realiuoju laiku arba asinchroniniu režimu pagal Registro duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.

32. Naudotojai, savo tarnybinėms funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius, Registro duomenis perduodami kompiuterių tinklais ne savo darbo vietoje turi naudoti kompiuterio įjungimo slaptažodį, papildomą Naudotojo tapatybės patvirtinimą ir registro duomenų šifravimą.

33. Kompiuterių tinklo tarnybinės stotys bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės bei duomenų srautus į išorę. Turi būti draudžiama naudoti interneto ryšį visoms programoms, kurios gali visiškai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

34. Administratorius atsako už atsarginių Registro duomenų kopijų darymą ir saugojimą automatiniu būdu. Prireikus jas atkurti turi teisę tik Administratorius. Turi būti periodiškai atliekama kopijų tinkamumo ir saugojimo kontrolė.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

35. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

36. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbą su kompiuterių tinklais, turėti darbo su operacinėmis sistemomis, taikomosiomis programomis patirties. Savo darbe turi vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

37. Administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix) administravimo bei priežiūros patirties.

38. Naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Registro duomenis Registro nuostatų nustatyta tvarka ir būti susipažinę su šiais Saugos nuostatais ir saugos politiką reglamentuojančiais dokumentais.

39. Naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Saugos įgaliotiniui ir (arba) Administratoriui.

40. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas.

V SKYRIUS

REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. Tvarkyti Registro duomenis gali tik įgalioti Naudotojai, kurie yra susipažinę su Saugos dokumentais ir pasirašytinai sutikę laikytis juose nustatytų reikalavimų.

42. Administratorių ir Naudotojų supažindinimą su šiais saugos nuostatais bei kitais saugos politiką reglamentuojančiais dokumentais vykdo Saugos įgaliotinis.

43. Saugos įgaliotinis informuoja Administratorių ir Naudotojus apie Saugos nuostatų, Registro saugos dokumentų ar kitų saugos politikos įgyvendinamųjų teisės aktų pakeitimus. Informacija apie minėtų teisės aktų pakeitimus siunčiama elektroniniu būdu. Pakartotinai su šiais Saugos nuostatais, Saugos dokumentais Administratorius ir Naudotojai pasirašytinai supažindinami tik iš esmės jiems pasikeitus.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

44. Saugos įgaliotinis, Administratorius ir Naudotojai, pažeidę šių Saugos nuostatų reikalavimus, atsako įstatymų nustatyta tvarka.

__________________