LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
dėl LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2011 M. GRUODŽIO 23 D. ĮSAKYMO NR. V-1109 „DĖL asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ PAKEITIMO
2022 m. birželio 16 d. Nr. V-1081
Vilnius
1. Pakeičiu Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 23 d. įsakymą Nr. V-1109 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“:
1.1. Pakeičiu preambulę ir ją išdėstau taip:
„Įgyvendindamas Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimu Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo patvirtinimo“, 5.2.3 papunktį, Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymą Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“ bei vadovaudamasis Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“:“.
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos
ministro 2011 m. gruodžio 23 d. įsakymu
Nr. V-1109
(Lietuvos Respublikos sveikatos apsaugos
ministro 2022 m. birželio 16 d. įsakymo
Nr. V-1081
redakcija)
Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas (toliau – ASPĮ) dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos (toliau – ASIS) duomenų saugos nuostatai (toliau – nuostatai) reglamentuoja ASIS duomenų saugą ir apibrėžia ASIS saugos politiką.
2. ASIS duomenų saugos tikslas – užtikrinti ASIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. ASIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.
3. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas ASIS nuostatuose, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002 vartojamas sąvokas.
4. ASIS informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, registracijos duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas naudojant technines, organizacines ir teisines priemones;
4.2. duomenų konfidencialumas užtikrinamas ribojant fizinį ir loginį priėjimą prie asmens duomenų ir specialių kategorijų asmens duomenų, naudojant technines ir organizacines priemones; priėjimas suteikiamas tik teisėtiems ASIS naudotojams, kurių tapatybė yra nustatyta ir tik prie duomenų, būtinų ASIS naudotojo veiklos funkcijoms vykdyti; išmokant ASIS administratorių ir ASIS naudotojus laikantis konfidencialumo principo tvarkyti asmens duomenis;
4.3. duomenų ar sistemos vientisumas užtikrinamas valdant teisėtą duomenų ar sistemos keitimą, kontroliuojant duomenų įvedimą, stebint ir reaguojant į galimą neteisėtą duomenų ar sistemos keitimą ar sunaikinimą; supažindinant atsakingus už duomenų įvedimą ar keitimą ASIS administratorių ir ASIS naudotojus su klaidų ir vientisumo pažeidimo nustatymo ir koregavimo metodais ir tvarkų aprašais;
4.4. duomenų ar sistemos prieinamumas užtikrinamas, valdant organizacinėmis ir technologinėmis priemonėmis ASIS, jos elementų ar duomenų keitimus, naudojant perteklines ar alternatyvias informacinių sistemų ir duomenų tinklų technologines priemones, ASIS atkūrimo plano bandymus ir veiklos tęstinumo valdymo plano bandymus;
4.5. administracinių saugaus darbo su duomenimis, asmens duomenimis ir specialių kategorijų asmens duomenimis priemonių įgyvendinimas ir kontrolė;
5. Nuostatai taikomi:
5.1. ASIS valdytojui – Lietuvos Respublikos sveikatos apsaugos ministerijai (adresas: Vilniaus g. 33, LT-01506 Vilnius). ASIS valdytojo vadovo funkcijos ir atsakomybė:
5.1.3. priima sprendimą dėl ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
5.2. ASIS tvarkytojui – Higienos institutui (toliau – HI) (adresas: Didžioji g. 22, LT-01128 Vilnius). ASIS tvarkytojo vadovo funkcijos ir atsakomybė:
5.3. ASIS saugos įgaliotiniui – HI direktoriaus įsakymu paskirtam valstybės tarnautojui arba darbuotojui, dirbančiam pagal darbo sutartį, įgyvendinančiam elektroninės informacijos saugą HI informacinėse sistemose. ASIS saugos įgaliotinio funkcijos ir atsakomybė:
5.3.2. teikia ASIS valdytojui siūlymus dėl:
5.3.7. pasirašytinai supažindina ASIS naudotojus su nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą;
5.3.8. kasmet organizuoja ASIS naudotojų mokymus duomenų saugos klausimais, reguliariai jiems primena saugos problemas (elektroniniu paštu, parengia atmintines naujai priimtiems darbuotojams ir pan.);
5.3.9. įgyvendina ASIS elektroninės informacijos saugą ASIS informacinėje sistemoje ir atsako už saugos dokumentų reikalavimų vykdymą;
5.4. ASIS administratoriui – HI direktoriaus įsakymu paskirtam valstybės tarnautojui arba darbuotojui, dirbančiam pagal darbo sutartį, atliekančiam jam priskirtas funkcijas, aprašytas ASIS veiklą reglamentuojančiuose dokumentuose. ASIS administratoriaus funkcijos ir atsakomybė:
5.4.1. užtikrina ASIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;
5.4.2. vertina ASIS naudotojų pasirengimą dirbti su ASIS, registruoja ASIS naudotojus ir suteikia prieigos teisę ASIS naudotojams naudotis ASIS infrastruktūra paskirtoms funkcijoms atlikti;
5.4.3. pagal kompetenciją rengia pasiūlymus dėl ASIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;
5.4.4. atlieka ASIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą bei valdo jų sąranką, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį ASIS saugos politiką įgyvendinančių dokumentų reikalavimams;
6. ASIS naudotojai:
6.1. vadovaudamiesi nuostatais, Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, (toliau – ASIS saugaus elektroninės informacijos tvarkymo taisyklės), Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos naudotojų administravimo taisyklėmis (toliau – ASIS naudotojų administravimo taisyklės), pareigybių aprašymais ir kitais teisės aktais, naudojasi ASIS informacijos tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais;
6.2. vykdo kitas nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su ASIS naudojimu ir ASIS duomenų sauga;
7. Tvarkant ASIS duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:
7.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;
7.7. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
7.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);
7.9. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Informacinių technologijų saugos atitikties vertinimo metodika), patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
7.10. Lietuvos standartais LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
8. Pagal Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas) 8.1, 8.3 ir 8.6 papunkčiuose nurodytus informacijos svarbos kriterijus, ASIS tvarkoma informacija yra priskiriama svarbios informacijos kategorijai.
10. Informacinės sistemos saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių sistemų rizikos vertinimą, kuris atliekamas vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos (toliau – ARSIS) metodika bei reikalavimais ir Lietuvos bei tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais. Prireikus informacinių sistemų saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą. ASIS rizikos veiksnių įvertinimas atliekamas kokybiniu rizikos vertinimo metodu. Atliekant rizikos įvertinimą turi būti vertinamos rizikos, susijusios su:
10.2. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys iš registrų, informacinių sistemų ir klasifikatorių;
10.3. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys toliau esantiems ASIS naudotojams;
11. ASIS rizikos įvertinimas pateikiamas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ASIS informacijos saugai. Svarbiausi rizikos veiksniai yra nustatyti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkte.
12. Svarbiausi rizikos veiksniai yra šie:
12.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);
12.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
12.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
13. Atsižvelgdamas į ASIS rizikos įvertinimo ataskaitą, ASIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
14. Siekdamas užtikrinti nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka ASIS saugos įgaliotinis kasmet organizuoja ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą.
16. Atlikus ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ASIS valdytojo vadovas.
17. Techninės, programinės ir organizacinės informacinių sistemų elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į informacinių sistemų valdytojo turimus išteklius ir vadovaujantis šiais principais:
18. Informacinių sistemų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų saugos įgaliotinis ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo dienos įkelia į ARSIS, vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
19. Programinės įrangos, skirtos apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.), reikalavimai:
19.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti automatiniu būdu vieną kartą per mėnesį atnaujinamos;
19.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;
20. Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
20.1. ASIS veikimui užtikrinti turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą;
21. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus) bent kartą per mėnesį atlieka ASIS administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau kaip 20 proc. interneto ryšio išteklių.
22. Kompiuterių tinklo serveriai bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės ir duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali visiškai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.
23. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja ASIS administratorius, blokuodamas potencialiai pavojingas interneto sritis.
24. ASIS internetinė svetainė turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus.
25. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie ASIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.
26. ASIS atsarginės dokumentų kopijos (toliau – kopijos) daromos automatiniu būdu kiekvieną dieną, esant aktyviai ASIS duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kaupimo saugojimo laikmenas) ir saugomos seife, prieinamame tik ASIS administratoriui, jo nesant – ASIS administratorių pavaduojančiam asmeniui. Jas atkurti turi teisę tik ASIS administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti ASIS duomenis, darymo, saugojimo ir išbandymo tvarka nustatyta ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.
28. Saugios prieigos prie ASIS užtikrinimas:
28.1. kiekvienas ASIS naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;
28.2. ASIS naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo ASIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;
28.3. ASIS naudotojui neatliekant jokių veiksmų, ASIS turi užsirakinti, kad toliau naudotis ASIS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;
28.4. ASIS prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik ASIS administratoriui;
28.5. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir blokuoti prieigą neatpažintiems kompiuteriams, neleidžiantys prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;
28.6. kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;
29. Perkant paslaugas, darbus ar įrangą, susijusius su ASIS, jos projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis ASIS saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
30. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant ASIS tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV skyrius
REIKALAVIMAI PERSONALUI
31. ASIS saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo administracinės nuobaudos paskyrimo praėję mažiau kaip vieni metai.
32. Informacinių sistemų saugos įgaliotinis turi:
32.2. sugebėti vertinti rizikos veiksnius ir galimą žalą, organizuoti ir kontroliuoti pastebėtų trūkumų šalinimą;
33. ASIS administratorius turi:
33.1. išmanyti elektroninės informacijos saugos principus, darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;
33.2. stebėti techninės ir programinės įrangos veikimą, atlikti šios įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą;
34. ASIS naudotojai turi:
35. ASIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ASIS saugos įgaliotiniui.
36. ASIS naudotojams draudžiama:
36.1. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas;
36.2. atskleisti kitiems asmenims prisijungimo prie informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
36.3. naudoti informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
37. ASIS saugos įgaliotinis ASIS administratoriams ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.).
V skyrius
ASIS NAUDOTOJŲ SUPAŽINDINIMAS SU SAUGOS DOKUMENTAIS
38. ASIS naudotojus su informacijos saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina ASIS saugos įgaliotinis.
39. ASIS saugos įgaliotinis, ASIS administratoriai ir naudotojai raštu įsipareigoja laikytis informacijos saugos politiką įgyvendinančių dokumentų reikalavimų.
VI skyrius
ASIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA
41. ASIS saugos įgaliotinis yra atsakingas už ASIS naudotojų supažindinimą su nuostatais, ASIS saugaus elektroninės informacijos tvarkymo taisyklėmis, Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos veiklos tęstinumo valdymo planu, ASIS naudotojų administravimo taisyklėmis ir kitais teisės aktais, įgyvendinančiais elektroninės informacijos apsaugą.
42. ASIS naudotojai su nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių dokumentų reikalavimų nesilaikymą supažindinami pasirašytinai.
44. Mokymų metu ASIS saugos įgaliotinis supažindina ASIS administratorių bei ASIS naudotojus su duomenų apsaugos politiką įgyvendinančiais teisės aktais, saugaus darbo su duomenimis principais.
45. HI sudaro galimybes ASIS naudotojams dalyvauti ASIS saugos įgaliotinio organizuojamuose mokymo renginiuose.
VII skyrius
BAIGIAMOSIOS NUOSTATOS
47. ASIS naudotojai, pažeidę nuostatų, kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.
48. Nuostatai, kiti informacijos saugos valdymo sistemos dokumentai, reglamentuojantys informacinių sistemų saugą, peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.
49. Jeigu daromi esminiai nuostatų pakeitimai, nuostatų projektas nustatyta tvarka turi būti suderintas su Nacionaliniu kibernetinio saugumo centru. Jeigu daromi tik redakcinio pobūdžio pakeitimai, nuostatų projektas su Nacionaliniu kibernetinio saugumo centru nederinamas, Nacionaliniam kibernetinio saugumo centrui teikiama tik nuostatų kopija.