LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

Į S A K Y M A S

DĖL ŽMOGAUS AUDINIŲ, LĄSTELIŲ IR ORGANŲ DONORŲ BEI RECIPIENTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2012 m. rugsėjo 28 d. Nr. V-920

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 24 straipsnio 2 dalies 1 punktu, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 ir 15 punktais, Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2000 m. rugpjūčio 23 d. nutarimu Nr. 961 (Žin., 2000, Nr. 72-2230; 2007, Nr. 112-4572), 13.1 punktu ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. T v i r t i n u Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro duomenų saugos nuostatus (pridedama).

2. P a v e d u Nacionalinio transplantacijos biuro prie Sveikatos apsaugos ministerijos direktoriui:

2.1. paskirti Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro saugos įgaliotinį, duomenų valdymo įgaliotinį ir administratorių;

2.2. per du mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir Sveikatos apsaugos ministerijai pateikti tvirtinti:

2.2.1. Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.2.2. Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro veiklos tęstinumo valdymo plano projektą;

2.2.3. Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro naudotojų administravimo taisyklių projektą.

SVEIKATOS APSAUGOS MINISTRAS RAIMONDAS ŠUKYS

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. rugsėjo 28 d.

įsakymu Nr. V-920

ŽMOGAUS AUDINIŲ, LĄSTELIŲ IR ORGANŲ DONORŲ BEI RECIPIENTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro duomenų naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739), Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. rugpjūčio 23 d. nutarimu Nr. 961 (Žin., 2000, Nr. 72-2230; 2007, Nr. 112-4572), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070) (toliau – Saugos dokumentų turinio gairės), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 vartojamas sąvokas.

3. Registro duomenų saugos tikslas – užtikrinti saugų Registro duomenų tvarkymą ir apdorojimą automatiniu būdu, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804), Saugos reikalavimais, Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006, kitais teisės aktais ir standartais, reglamentuojančiais saugų duomenų tvarkymą.

4. Registro duomenų saugumo užtikrinimo prioritetinės kryptys:

4.1. bendra fizinė informacijos apdorojimo priemonių (patalpų, kompiuterinės technikos ir vietinio tinklo, programinės įrangos naudotojų duomenų) apsauga;

4.2. organizacinių saugaus darbo su informacija priemonių įgyvendinimas ir kontrolė.

5. Saugos nuostatais turi vadovautis:

5.1. Lietuvos Respublikos sveikatos apsaugos ministerija – Registro valdytojas;

5.2. Nacionalinis transplantacijos biuras prie Sveikatos apsaugos ministerijos – Registro tvarkytojas;

5.3. Registro saugos įgaliotinis (toliau – Saugos įgaliotinis);

5.4. Registro administratorius;

5.5. Duomenų valdymo įgaliotinis;

5.6. Registro duomenų naudotojai (toliau – Registro naudotojai).

6. Registro valdytojas vykdo šias funkcijas:

6.1. organizuoja Registro veiklą ir jai vadovauja, skiria arba paveda Registro tvarkytojui skirti Saugos įgaliotinį ir duomenų valdymo įgaliotinį;

6.2. rengia ir tvirtina teisės aktus, susijusius su Registro tvarkymu ir duomenų sauga, bei prižiūri, kaip jų laikomasi;

6.3. priima sprendimą dėl Registro informacinių technologijų atitikties Saugos reikalavimams vertinimo atlikimo;

6.4. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, šiais Saugos nuostatais ir kitais teisės aktais.

7. Registro tvarkytojas vykdo šias funkcijas:

7.1. Registro valdytojo pavedimu skiria Saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos dokumentų įgyvendinimą;

7.2. Registro valdytojo pavedimu skiria Registro administratorių ir paveda jam užtikrinti Registro serverio ir Registro naudotojų kompiuterizuotų darbo vietų saugų funkcionavimą, administruoti Registro duomenų bazę saugos dokumentų ir kitų teisės aktų nustatyta tvarka;

7.3. Registro valdytojo pavedimu skiria duomenų valdymo įgaliotinį;

7.4. atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veiklą;

7.5. įgyvendina tinkamas organizacines ir technines priemones, skirtas duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.6. užtikrina, kad Registro naudotojai, turintys teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti, laikytųsi reikalavimų, nustatytų Saugos nuostatuose bei kituose saugos politiką įgyvendinančiuose teisės aktuose;

7.7. teikia siūlymus Registro tvarkytojui dėl techninių, programinių priemonių Registrui eksploatuoti, prižiūrėti ir plėtoti įsigijimo, organizuoja jų įdiegimą ir modernizavimą, pagal kompetenciją atlieka Registro techninės, programinės įrangos priežiūros ir tobulinimo darbus;

7.8. atsako už Registro duomenų tvarkymo teisėtumą ir duomenų saugą bei Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems Saugos nuostatams.

8. Saugos įgaliotinis, įgyvendindamas Registro elektroninės informacijos saugą, atlieka šias funkcijas:

8.1. teikia Registro tvarkytojui pasiūlymus dėl:

8.1.1. Registro administratoriaus skyrimo;

8.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

8.1.3. saugos reikalavimų atitikties vertinimo atlikimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą;

8.3. teikia Registro administratoriui privalomus vykdyti nurodymus bei pavedimus;

8.4. konsultuoja Registro naudotojus saugaus duomenų tvarkymo klausimais;

8.5. inicijuoja Registro naudotojų mokymą duomenų saugos klausimais, informuoja juos apie informacijos saugos problemas;

8.6. kasmet organizuoja Registro rizikos įvertinimą;

8.7. atsako už duomenų saugumo politikos įgyvendinimą ir saugos dokumentų reikalavimų vykdymą;

8.8. atlieka kitas saugos dokumentuose nurodytas ir šiais Saugos nuostatais jam priskirtas funkcijas.

9. Duomenų valdymo įgaliotinis:

9.1. įgyvendina Registro plėtrą;

9.2. tiesiogiai prižiūri, kaip kuriamas ir tvarkomas Registras, diegiama programinė įranga, panaudojamos investicijos;

9.3. rengia Registro biudžetų projektus;

9.4. teikia Registro tvarkytojui pasiūlymus dėl darbuotojų, kuriems pavesta tvarkyti duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų;

9.5. tiesiogiai prižiūri, kad informacija, duomenys, dokumentai ir (arba) jų kopijos būtų teikiami, skelbiami ir (arba) perduodami pagal teisės aktuose nustatytus reikalavimus;

9.6. atlieka kitas teisės aktuose nustatytas funkcijas.

10. Registro administratorius:

10.1. diegia ir prižiūri programinę įrangą, reikalingą Registro naudotojų funkcijoms vykdyti;

10.2. Registro naudotojams suteikia teisę naudotis duomenimis, reikalingais jiems priskirtoms funkcijoms atlikti;

10.3. administruoja Registro įrangą (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, duomenų perdavimo tinklus), nustato pažeidžiamas vietas ir saugos reikalavimų atitiktį;

10.4. įvertina, ar Registro naudotojai yra pasirengę darbui;

10.5. atsako už kompiuterių tinklo funkcionavimą;

10.6. daro Registro duomenų bazės duomenų atsargines kopijas;

10.7. informuoja Saugos įgaliotinį apie elektroninės informacijos saugos incidentus;

10.8. teikia pasiūlymus dėl duomenų saugos organizavimo;

10.9. atsako už tai, kad tvarkant Registrą nebūtų pažeisti Saugos nuostatų reikalavimai.

11. Registro administratorius turi teisę patikrinti (peržiūrėti) Registro sąranką ir Registro būsenos rodiklius.

12. Tvarkant Registro duomenis ir užtikrinant jų saugą, vadovaujamasi šiais teisės aktais:

12.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

12.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

12.3. Saugos reikalavimais;

12.4. Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro nuostatais;

12.5. Saugos dokumentų turinio gairėmis;

12.6. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);

12.7. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

12.8. Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“ (toliau – Rizikos analizės vadovas), Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo technika“ standartais, reglamentuojančiais saugų duomenų tvarkymą;

12.9. Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugumo politiką ir Registro duomenų tvarkymo teisėtumą bei duomenų saugos valdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. Registras pagal jame tvarkomos elektroninės informacijos svarbą, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.1 punktu, yra priskiriamas antrajai kategorijai.

14. Registro informacijos sauga šiuose Saugos nuostatuose suprantama kaip administracinių, techninių ir programinių priemonių, skirtų duomenų konfidencialumui (kad su Registre tvarkoma informacija galėtų susipažinti tik tam įgalioti asmenys), vientisumui (kad duomenys nebūtų atsitiktinai ar neteisėtai pakeisti ar sunaikinti) ir prieinamumui (kad duomenys galėtų būti tvarkomi reikiamu metu) užtikrinti, visuma.

15. Saugos įgaliotinis, atsižvelgdamas į Rizikos analizės vadovą, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

16. Saugos įgaliotinis, įvertinęs galinčius turėti įtakos registro duomenų saugai rizikos veiksnius, išvardytus Saugos reikalavimų 31 punkte, rengia rizikos įvertinimo ataskaitą, kurioje išdėsto pagrindines Registro rizikos mažinimo priemones. Svarbiausieji rizikos veiksniai, galintys pažeisti Registro duomenų ir parengtos pagal juos informacijos saugą, yra:

16.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų bei duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

16.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita).

17. Lietuvos Respublikos sveikatos apsaugos ministras, atsižvelgdamas į Registro rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Rizikos veiksnių tikimybės Registro duomenų bazės duomenų konfidencialumo, vientisumo, prieinamumo pažeidimo žalos vertinimo klasifikacija yra:

18.1. labai maža žala – 1 balas;

18.2. maža žala – 2 balai;

18.3. vidutinė žala – 3 balai;

18.4. didelė žala – 4 balai;

18.5. labai didelė žala – 5 balai.

19. Parenkamos tokios saugos priemonės, kad būtų užtikrintas Registro veiklos tęstinumas, patiriant kuo mažiau išlaidų ir užtikrinant saugų Registro darbą.

20. Saugos įgaliotinis, siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimą ir saugumo politikos laikymosi kontrolę, kasmet iki gruodžio 1 d. organizuoja Registro informacinių technologijų saugos reikalavimų atitikties vertinimą.

21. Registro informacinių technologijų saugos reikalavimų atitikties vertinimo metu:

21.1. įvertinama, ar reali duomenų saugos situacija atitinka Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimus;

21.2. inventorizuojama Registro techninė ir programinė įranga;

21.3. tikrinamos Registro tvarkymo kompiuterizuotos darbo vietos ir registre įdiegtos programos bei jų sąranka (konfigūracija);

21.4. patikrinama Registro naudotojams suteiktų teisių tvarkyti Registrą ir jų vykdomų funkcijų atitiktis;

21.5. įvertinama, kaip pasirengta užtikrinti Registro veiklos tęstinumą elektroninės informacijos saugos incidento atveju.

22. Atlikus Registro informacinių technologijų saugos reikalavimų atitikties vertinimą, Saugos įgaliotinis parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Lietuvos Respublikos sveikatos apsaugos ministras.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Registro elektroninės informacijos saugos priemonės parenkamos vadovaujantis konfidencialumo, vientisumo ir prieinamumo principais.

24. Prieigos prie Registro užtikrinimo metodai ir priemonės:

24.1. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam Registro naudotojui arba Registro naudotojų grupei;

24.2. nutrūkus tarnybiniams santykiams ar pasibaigus darbo sutarčiai, Registro naudotojo teisė naudotis Registru turi būti panaikinta. Registro naudotojo teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba perkeliamas į kitas pareigas ir keičiasi pareigybės aprašyme nurodytos ar atliekamos funkcijos;

24.3. Registro naudotojas turi imtis priemonių, kad su Registro duomenimis negalėtų susipažinti pašaliniai asmenys;

24.4. prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, Registro informacinė sistema pasiekiama visą parą;

24.5. prisijungimo ryšiai koduojami SSL kodavimo priemonėmis ar kitomis lygiavertėmis kodavimo priemonėmis;

24.6. duomenys turi būti šifruojami patikimu SSL („VeriSign“ arba lygiaverčiu) sertifikatu, patikrinamu PGP raktu ar kitomis lygiavertėmis šifravimo priemonėmis.

25. Reikalavimai programinei įrangai, skirtai Registrui apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės šnipinėjimo įrangos, nepageidaujamo elektroninio pašto ir pan.):

25.1. kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;

25.2. šios priemonės turi nuolat ieškoti ir blokuoti kenksmingąsias programas, veikiančias sisteminiuose kataloguose esančiose rinkmenose (įskaitant suspaustas rinkmenas) serveryje ir visuose kompiuterių tinklo kompiuteriuose;

25.3. turi turėti apsaugos mechanizmus, blokuojančius kenksmingųjų programų bandymus panaikinti apsaugas nuo kenkimo programų.

26. Reikalavimai programinės įrangos, ribojančios programinės įrangos, nesusijusios su Registro veikla ar Registro naudotojų funkcijomis, naudojimui:

26.1. Registro naudotojams leidžiama naudoti tik legalią programinę įrangą;

26.2. periodiškai, ne rečiau kaip kartą per 3 mėnesius, turi būti tikrinama, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;

26.3. draudžiama naudoti programinę įrangą, nesusijusią su įstaigos veikla;

26.4. turi būti naudojama Registro administravimo programinės įrangos ugniasienė;

26.5. turi būti įdiegta galimybė nustatyti asmenis, kurie naudojosi prieiga prie Registro duomenų, fiksuoti jų atliktus veiksmus ir juos kaupti;

26.6. turi būti sudaryta galimybė visas užklausas Registro duomenų bazei fiksuoti programiniu būdu;

26.7. Registro naudotojų prieiga prie Registro duomenų leidžiama tik per registravimosi ir slaptažodžių sistemą. Registro administratorius savo tapatybę turi patvirtinti slaptažodžiu, kuriam keliami aukštesni reikalavimai negu Registro naudotojų slaptažodžiams;

26.8. Registro naudotojų prieigos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse;

26.9. programinės įrangos naudotojo instrukcijos (vadovai), duomenų tvarkymo taisyklės ir duomenų saugos reikalavimai naudotojams visuomet prieinami.

27. Kompiuterių naudojimas:

27.1. kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti atsarginį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių;

27.2. nešiojamieji kompiuteriai prie Registro kompiuterių tinklo gali būti prijungiami ir iš Registro tvarkymo patalpų išnešami tik Saugos įgaliotiniui leidus;

27.3. kiekvienas stacionarus kompiuteris priskiriamas atsakingam Registro naudotojui;

27.4. stacionarų kompiuterį įjungti į (išjungti iš) Registro kompiuterių tinklo gali tik Registro administratorius;

27.5. stacionarūs kompiuteriai gali būti išnešami ir įnešami tik Registro administratoriui leidus.

28. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant Saugų valstybinį duomenų perdavimo tinklą.

29. Registro duomenys iš susijusių registrų gaunami automatiniu būdu pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

30. Registro fizinę saugą užtikrina šios saugos priemonės: gaisro ir įsilaužimo jutikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų, kontroliuojamas patekimas į darbo vietas ir kita.

31. Registrui administruoti naudojamas operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik Registro administratorius.

32. Registro programinę įrangą diegti ar atnaujinti turi tik Registro administratorius ar įgalioti asmenys.

33. Registro programinė įranga turi būti testuojama naudojant atskirą tam skirtą testavimo aplinką.

34. Prarasti, iškraipyti, sunaikinti Registro duomenys atkuriami iš Registro atsarginių duomenų kopijų. Registro atsarginių duomenų kopijos daromos automatiniu būdu kiekvieną darbo dieną esant aktyviai Registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus ar magnetines juostas) ir saugomos seife, prieinamame tik Registro administratoriui, jo nesant – Registro administratorių pavaduojančiam asmeniui. Jas atkurti turi teisę tik Registro administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti registro duomenis, darymo ir saugojimo tvarka išsamiai aprašyta Žmogaus audinių, ląstelių ir organų donorų bei recipientų registro saugaus elektroninės informacijos tvarkymo taisyklėse.

IV. REIKALAVIMAI PERSONALUI

35. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

36. Registro administratoriumi gali būti skiriamas darbuotojas, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Registro administratorius turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

37. Duomenų valdymo įgaliotinis yra Registro tvarkytojo vadovas arba jo paskirtas darbuotojas, atsakingas už Registro tvarkytojo teisės aktuose nustatytų funkcijų atlikimą.

38. Registro naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su saugos dokumentais.

39. Registro naudotojai, pastebėję, kad yra saugos dokumentų pažeidimų, nusikalstamos veikos požymių, kad neveikia arba netinkamai veikia duomenų saugos užtikrinimo priemonės, privalo nedelsdami apie tai pranešti Registro administratoriui arba Saugos įgaliotiniui.

40. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie informacijos saugos problemas.

41. Įvykus elektroninės informacijos saugos incidentui, Saugos įgaliotinio, Registro administratoriaus ir Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

42. Tvarkyti Registro duomenis gali tik įgalioti Registro naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų.

43. Registro naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą pasirašytinai organizuoja Saugos įgaliotinis. Saugos įgaliotinis raštu informuoja Registro naudotojus apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios.

VI. BAIGIAMOSIOS NUOSTATOS

44. Saugos įgaliotinis organizuoja saugos dokumentų svarstymą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti svarstomi atlikus rizikos analizę ar informacinių technologijų saugos atitikties įvertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams institucijoje.

45. Saugos įgaliotinis, Registro administratorius ir Registro naudotojai, pažeidę šių Saugos nuostatų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

_________________