Suvestinė redakcija nuo 2016-09-13 iki 2024-09-18

 

Įsakymas paskelbtas: Žin. 2008, Nr. 45-1715, i. k. 10822LKISAK0001K-50

 

Nauja redakcija nuo 2016-09-13:

Nr. 1K-262, 2016-09-12, paskelbta TAR 2016-09-12, i. k. 2016-23513

 

VALSTYBINĖS LIGONIŲ KASOS

PRIE SVEIKATOS APSAUGOS MINISTERIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. balandžio 1 d. Nr. 1K-50

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1Tvirtinu Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatus (pridedama).

2Skiriu Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Informacinių technologijų departamento Draudžiamųjų privalomuoju sveikatos draudimu registro skyriaus vedėją Nataliją Jelenskienę Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro saugos įgaliotine.

3Pavedu Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro saugos įgaliotiniui per 6 mėnesius nuo šio įsakymo įsigaliojimo teisės aktų nustatyta tvarka parengti Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisykles ir Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro veiklos tęstinumo valdymo planą.

 

 

 

DIREKTORIUS                                                                                     ALGIS SASNAUSKAS

 


 

PATVIRTINTA

Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. balandžio 1 d. įsakymu Nr. 1K-50

(Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2016 m. rugsėjo 12  d. įsakymo Nr. 1K-262 redakcija)

 

LIETUVOS RESPUBLIKOS DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

Bendrosios nuostatos

 

1.    Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatai (toliau Saugos nuostatai) reglamentuoja Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – Draudžiamųjų registras) duomenų saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų šio registro duomenų tvarkymą.

2.    Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, ir kituose teisės aktuose vartojamas sąvokas.

3.    Draudžiamųjų registro elektroninės informacijos saugos tikslas – užtikrinti Draudžiamųjų registro duomenų konfidencialumą, prieinamumą bei vientisumą ir sudaryti sąlygas saugiai automatiniu būdu tvarkyti šio registro duomenis.

4.    Draudžiamųjų registro elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1.    organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Draudžiamųjų registro duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2.    duomenų, kaupiamų Draudžiamųjų registre, konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3.    duomenų, kaupiamų Draudžiamųjų registre, integralumo su valstybės registrais ir informacinėmis sistemomis užtikrinimas;

4.4.    Draudžiamųjų registro veiklos tęstinumo užtikrinimas;

4.5.    asmens duomenų, kaupiamų Draudžiamųjų registre, apsauga.

5.    Saugos nuostatų reikalavimai taikomi Draudžiamųjų registro valdytojui, Draudžiamųjų registro tvarkytojams, šio registro saugos įgaliotiniui, administratoriams ir naudotojams.

6.    Draudžiamųjų registro valdytojas yra Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (toliau – VLK), buveinės adresas ‒ Europos aikštė 1, LT-03505 Vilnius.

7.    Draudžiamųjų registro tvarkytojai yra VLK ir teritorinės ligonių kasos (toliau – TLK):

7.1.    Vilniaus TLK, buveinės adresas ‒ Ž. Liauksmino g. 6, LT-01101 Vilnius;

7.2.    Kauno TLK, buveinės adresas ‒ Aukštaičių g. 10, LT-44147 Kaunas;

7.3.    Klaipėdos TLK, buveinės adresas ‒ Pievų Tako g. 38, LT-92236 Klaipėda;

7.4.    Šiaulių TLK, buveinės adresas ‒ Vilniaus g. 273, LT-76332 Šiauliai;

7.5.    Panevėžio TLK, buveinės adresas ‒ Respublikos g. 66, LT-35158 Panevėžys.

8.    Draudžiamųjų registro valdytojas pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą ir Draudžiamųjų registro elektroninės informacijos tvarkymo teisėtumą.

9.    VLK, kaip Draudžiamųjų registro valdytojas:

9.1.    rengia ir tvirtina Draudžiamųjų registro duomenų saugos politiką įgyvendinančius teisės aktus;

9.2.    skiria Draudžiamųjų registro saugos įgaliotinį ir Draudžiamųjų registro administratorius;

9.3.    kontroliuoja, kaip laikomasi Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą;

9.4.    koordinuoja Draudžiamųjų registro tvarkytojų funkcijų vykdymą ir metodiškai vadovauja Draudžiamųjų registro tvarkytojų veiklai, užtikrindamas šio registro veikimą, tobulinimą ir elektroninės informacijos saugą;

9.5.    prižiūri, kaip laikomasi Draudžiamųjų registro duomenų ir elektroninės informacijos saugos reikalavimų;

9.6.    nagrinėja Draudžiamųjų registro tvarkytojų pasiūlymus dėl šio registro veiklos ir elektroninės informacijos saugos užtikrinimo, juos apibendrina ir priima sprendimus dėl Draudžiamųjų registro tobulinimo;

9.7.    priima sprendimus dėl Draudžiamųjų registro techninių ir programinių priemonių, būtinų šio registro duomenų saugai užtikrinti, įsigijimo, įdiegimo ir vystymo;

9.8.    priima sprendimus dėl Draudžiamųjų registro rizikos vertinimo rezultatų;

9.9.    vykdo kitas Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

10.     Draudžiamųjų registro tvarkytojai atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

11.     VLK, kaip Draudžiamųjų registro tvarkytojas:

11.1.    užtikrina Draudžiamųjų registro prieinamumą ir nepertraukiamą veikimą;

11.2.    užtikrina saugią Draudžiamųjų registro sąveiką su kitais registrais ir informacinėmis sistemomis;

11.3.    užtikrina Draudžiamųjų registro duomenų atsarginių kopijų darymą;

11.4.    užtikrina saugų Draudžiamųjų registro funkcijų pokyčių įgyvendinimą.

12.     TLK, kaip Draudžiamųjų registro tvarkytojai:

12.1.    užtikrina tinkamą Draudžiamųjų registro valdytojo priimtų teisės aktų ir rekomendacijų įgyvendinimą;

12.2.    užtikrina, kad Draudžiamųjų registras būtų tvarkomas vadovaujantis Draudžiamųjų registro nuostatais, Saugos nuostatais ir kitais Draudžiamųjų registro duomenų saugos politiką įgyvendinančiais dokumentais;

12.3.    teikia pasiūlymus Draudžiamųjų registro valdytojui dėl Draudžiamųjų registro veiklos ir elektroninės informacijos saugos užtikrinimo;

12.4.    atlieka kitas Draudžiamųjų registro valdytojo pavestas, Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

13.     Draudžiamųjų registro saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą Draudžiamųjų registre, atlieka šias funkcijas:

13.1.    rengia Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų projektus;

13.2.    teikia Draudžiamųjų registro valdytojo vadovui pasiūlymus dėl:

13.2.1.   Draudžiamųjų registro administratorių paskyrimo ir reikalavimų jiems nustatymo;

13.2.2.   Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

13.2.3.   informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

13.3.    koordinuoja Draudžiamųjų registro elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

13.4.    teikia Draudžiamųjų registro administratoriams ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su šio registro saugos politikos įgyvendinimu;

13.5.    organizuoja rizikos įvertinimą;

13.6.    vykdo kitas Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

14.     Draudžiamųjų registro saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems Draudžiamųjų registro valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

15.     Draudžiamųjų registro saugos įgaliotinis negali vykdyti administratoriaus funkcijų.

16.     Draudžiamųjų registro administratoriaus funkcijas pagal kompetenciją vykdo Draudžiamųjų registro sisteminis administratorius ir Draudžiamųjų registro duomenų administratorius.

17.     Draudžiamųjų registro sisteminis administratorius atlieka šias funkcijas:

17.1.    užtikrina Draudžiamųjų registro techninės ir programinės įrangos funkcionavimą, prižiūri programinę įrangą, reikalingą Draudžiamųjų registro naudotojų funkcijoms vykdyti;

17.2.    administruoja ir tvarko Draudžiamųjų registro duomenų bazę, užtikrina šioje duomenų bazėje naudojamų klasifikatorių atnaujinimą automatiniu būdu;

17.3.    prižiūri Draudžiamųjų registro duomenų mainų integracines sąsajas ir užtikrina apsikeitimą duomenimis su Draudžiamųjų registro duomenų teikėjais, kai duomenys perduodami sąveikos būdu elektroninių ryšių tinklais arba elektroninių ryšių priemonėmis;

17.4.    užtikrina, kad Draudžiamųjų registro elektroninė informacija, gauta iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinama ir atitiktų susijusiuose registruose ir informacinėse sistemose esančią elektroninę informaciją;

17.5.    registruoja Draudžiamųjų registro naudotojus, suteikia jiems prisijungimo vardus ir nustato prieigos teises naudotis elektronine informacija, kurios reikia naudotojų funkcijoms atlikti;

17.6.    pagal kompetenciją prižiūri Draudžiamųjų registro komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) veikimą ir nustato šio registro pažeidžiamas vietas;

17.7.    informuoja Draudžiamųjų registro saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl šių incidentų pašalinimo;

17.8.    vykdo Draudžiamųjų registro saugos įgaliotinio nurodymus ar pavedimus, susijusius su Draudžiamųjų registro duomenų saugos užtikrinimu; 

17.9.      atlieka kitas Draudžiamųjų registro valdytojo vadovo ir Draudžiamųjų registro saugos įgaliotinio pavestas, Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

18.     Draudžiamųjų registro duomenų administratorius atlieka šias funkcijas:

18.1.    vykdo Draudžiamųjų registro duomenų administravimą, tvarko Draudžiamųjų registro duomenų bazę;

18.2.    tvarko Draudžiamųjų registro klasifikatorius ir užtikrina jų atnaujinimą pusiau automatiniu būdu;

18.3.    prižiūri ir užtikrina Draudžiamųjų registro apsikeitimą duomenimis su Draudžiamųjų registro duomenų teikėjais, kai duomenys perduodami automatiniu būdu elektroninių ryšių tinklais (per FTP serverį) arba elektroninių ryšių priemonėmis;

18.4.    prižiūri, kad Draudžiamųjų registro duomenys atitiktų Draudžiamųjų registro duomenų teikėjų pateiktus duomenis, organizuoja neteisingų, netikslių, neišsamių duomenų atnaujinimą;

18.5.    informuoja Draudžiamųjų registro saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl šių incidentų pašalinimo;

18.6.    pagal kompetenciją teikia Draudžiamųjų registro tvarkytojo vadovui siūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

18.7.    pagal kompetenciją vykdo saugumo reikalavimų įgyvendinimo stebėseną;

18.8.    vykdo Draudžiamųjų registro saugos įgaliotinio nurodymus ar pavedimus, susijusius su Draudžiamųjų registro duomenų saugos užtikrinimu; 

18.9.    atlieka kitas Draudžiamųjų registro valdytojo vadovo ir Draudžiamųjų registro saugos įgaliotinio pavestas, Draudžiamųjų registro duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose Draudžiamųjų registro duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

19.     Draudžiamųjų registro duomenų sauga užtikrinama vadovaujantis:

19.1.    Lietuvos Respublikos sveikatos draudimo įstatymu;

19.2.    Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

19.3.    Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

19.4.    Lietuvos Respublikos kibernetinio saugumo įstatymu;

19.5.    Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

19.6.    Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

19.7.    Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);

19.8.    Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai);

19.9.    Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

19.10.    Lietuvos standartais LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

19.11.    kitais teisės aktais, reglamentuojančiais Draudžiamųjų registro duomenų tvarkymo teisėtumą ir šio registro elektroninės informacijos saugos valdymą.

 

 

 

 

II SKYRIUS

Elektroninės informacijos saugos valdymas

 

20.     Draudžiamųjų registre tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.1 ir 4.2.4 papunkčiuose nurodytais elektroninės informacijos svarbos kriterijais.

21.     Draudžiamųjų registras priskirtinas antrajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčio nuostatomis ir atsižvelgiant į apdorojamos elektroninės informacijos svarbą.

22.     Draudžiamųjų registro asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų 11.2 papunkčio nuostatomis.

23.     Draudžiamųjų registro saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja Draudžiamųjų registro rizikos įvertinimą, o prireikus – ir neeilinį šios rizikos įvertinimą. Draudžiamųjų registro valdytojo rašytiniu pavedimu Draudžiamųjų registro rizikos įvertinimą gali atlikti pats Draudžiamųjų registro saugos įgaliotinis.

24.     Draudžiamųjų registro rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama Draudžiamųjų registro valdytojo vadovui. Ši ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

24.1.    subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

24.2.    subjektyvūs tyčiniai (nesankcionuotas naudojimasis Draudžiamųjų registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

24.3.    veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

25.     Atsižvelgdamas į rizikos įvertinimo ataskaitą, Draudžiamųjų registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

26.     Draudžiamųjų registro valdytojas ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:

26.1.    įvertinama, ar Draudžiamųjų registro duomenų saugos politiką įgyvendinantys dokumentai atitinka realią informacijos saugos situaciją;

26.2.    inventorizuojama Draudžiamųjų registro techninė ir programinė įranga;

26.3.    patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Draudžiamųjų registro naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka (konfigūracija);

26.4.    patikrinama (įvertinama) Draudžiamųjų registro naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

26.5.    įvertinamas pasirengimas užtikrinti Draudžiamųjų registro veiklos tęstinumą, pasiruošimas atkurti šio registro veiklą įvykus elektroninės informacijos saugos incidentui.

27.     Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Draudžiamųjų registro valdytojo vadovui.

28.     Remiantis informacinių technologijų saugos atitikties vertinimo ataskaita, prireikus rengiamas informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Draudžiamųjų registro valdytojo vadovas.

29.     Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas Draudžiamųjų registro valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Draudžiamųjų registro valdytojo vadovui Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

30.     Techninės, programinės ir organizacinės Draudžiamųjų registro elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į Draudžiamųjų registro valdytojo galimybes ir turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:

30.1.    liekamoji rizika turi būti sumažinta iki priimtino lygio;

30.2.    saugos sistema turi būti valdoma centralizuotai;

30.3.    saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

30.4.    pagal galimybes turi būti įdiegtos prevencinės informacijos saugos priemonės.

31.     Patvirtintų Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas Draudžiamųjų registro valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo pateikia Draudžiamųjų registro valdytojo vadovui Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

 

III SKYRIUS

Organizaciniai ir techniniai duomenų saugos reikalavimai

 

32.     Programinės įrangos, skirtos apsaugoti Draudžiamųjų registrą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

32.1.    visuose kompiuterinėse darbo vietose, kuriose naudojamasi Draudžiamųjų registru, privalo būti įdiegta programinė įranga, skirta apsaugoti šį registrą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);

32.2.    elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų (angl. spam) ir nepageidaujamo turinio elektroninių laiškų;

32.3.    duomenų apsaugai naudojama programinė įranga turi būti centralizuotai valdoma ir atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos;

32.4.    duomenų apsaugai naudojamos programinės įrangos nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas;

32.5.    duomenų apsaugai naudojamos programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

33.     Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

33.1.    Draudžiamųjų registro veiklai užtikrinti turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga;

33.2.    programinę įrangą, reikalingą Draudžiamųjų registro naudotojo funkcijoms atlikti, diegia, atnaujina, kontroliuoja ir prižiūri Draudžiamųjų registro sisteminis administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik prižiūrint minėtam administratoriui;

33.3.    Draudžiamųjų registro programinė įranga prižiūrima ir atnaujinama laikantis gamintojo reikalavimų;

33.4.    Draudžiamųjų registro naudotojams draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus.

34.     Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

34.1.    kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, turi būti įdiegta įranga, skirta atakų prevencijai, taip pat įsilaužimų aptikimo įranga;

34.2.    visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

34.3.    turi būti naudojamos turinio filtravimo sistemos.

35.     Metodai, kuriais leidžiama užtikrinti saugų Draudžiamųjų registro elektroninės informacijos teikimą ir (ar) gavimą:

35.1.    užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš Draudžiamųjų registro duomenų teikėjų ir susijusių registrų, naudojami saugūs ryšio kanalai. Elektronine informacija keičiamasi naudojantis žiniatinklio paslaugomis XML formatu (šiuo atveju naudojamas saugusis HTTP protokolas ‒ HTTPS) arba duomenų bazių užklausomis. Informacijai perduoti gali būti naudojamas ribotas virtualus privatus tinklas ir Saugus valstybės duomenų perdavimo tinklas;

35.2.    elektroninė informacija automatiniu būdu gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką, kurie atitinka teisės aktuose nustatytus reikalavimus;

35.3.    prieigos prie Draudžiamųjų registro elektroninės informacijos teises gali suteikti tik Draudžiamųjų registro sisteminis administratorius. Draudžiamųjų registro naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

35.4.    prieiga prie Draudžiamųjų registro elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Draudžiamųjų registro elektroninės informacijos valdymas apibrėžtas Draudžiamųjų registro naudotojų administravimo taisyklėse.

 

36.     Nešiojamieji ir stacionarūs kompiuteriai, kuriuose saugomi su Draudžiamųjų registru susiję duomenys, turi būti apsaugoti prisijungimo vardu ir slaptažodžiu. Iš nešiojamųjų ir stacionarių kompiuterių, kurie perduodami remontuoti ar techniniam aptarnavimui atlikti, turi būti pašalinta visa saugoma Draudžiamųjų registro elektroninė informacija.

37.     Nešiojamiesiems kompiuteriams, turintiems prieigą prie Draudžiamųjų registro ir naudojamiems nustatytoms funkcijoms vykdyti, išnešamiems iš Draudžiamųjų registro tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas).

38.     Už nešiojamojo kompiuterio ir jame tvarkomų ar saugomų Draudžiamųjų registro duomenų saugą Lietuvos Respublikos teisės aktų nustatyta tvarka atsako darbuotojas, kuriam šis kompiuteris yra skirtas.

39.     Atsarginės duomenų kopijos daromos Elektroninių duomenų kopijų darymo tvarkos aprašo, patvirtinto VLK direktoriaus 2016 m. kovo 1 d. įsakymu Nr. 1K-68, nustatyta tvarka.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

40.     Draudžiamųjų registro saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

41.     Draudžiamųjų registro saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Draudžiamųjų registro saugos politiką įgyvendinančiais dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

42.     Draudžiamųjų registro administratoriai privalo mokėti administruoti registrų ir informacinių sistemų duomenų bazes, žinoti pagrindinius elektroninės informacijos saugos principus, išmanyti darbo su duomenų perdavimo tinklais principus, gebėti prižiūrėti techninės ir programinės įrangos veikimą, atlikti sutrikimų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Oracle) administravimo ir priežiūros patirties.

43.     Draudžiamųjų registro naudotojai privalo:

43.1.    turėti pagrindinius darbo su kompiuteriu įgūdžius;

43.2.    pasirašyti pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinti su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Saugos nuostatais ir kitais Draudžiamųjų registro duomenų saugos politiką įgyvendinančiais dokumentais;

43.3.    mokėti tvarkyti Draudžiamųjų registro duomenis Draudžiamųjų registro nuostatų nustatyta tvarka.

44.     Draudžiamųjų registro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Draudžiamųjų registro saugos įgaliotiniui.

45.     Draudžiamųjų registro saugos įgaliotinis Draudžiamųjų registro administratoriams ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.).

 

V SKYRIUS

DRAUDŽIAMŲJŲ REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

46.     Draudžiamųjų registro naudotojus su Saugos nuostatais, Draudžiamųjų registro duomenų saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Draudžiamųjų registro saugos įgaliotinis.

47.     Draudžiamųjų registro saugos įgaliotinis, šio registro administratoriai ir naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų.

48.     Pakartotinis supažindinimas su Saugos nuostatais ir Draudžiamųjų registro duomenų saugos politiką įgyvendinančiais dokumentais yra vykdomas elektroniniu paštu šiems dokumentams pasikeitus.

49.     Draudžiamųjų registro naudotojų supažindinimo su saugos dokumentais tvarka reglamentuota Draudžiamųjų registro naudotojų administravimo taisyklėse.

 

VI SKYRIUS

Baigiamosios nuostatos

 

50.     Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

51.     Draudžiamųjų registro saugos įgaliotinis, šio registro administratoriai ir naudotojai, pažeidę Saugos nuostatų, Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų ir saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________

Priedo pakeitimai:

Nr. 1K-262, 2016-09-12, paskelbta TAR 2016-09-12, i. k. 2016-23513

 

 

 

Pakeitimai:

 

1.

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, Įsakymas

Nr. 1K-262, 2016-09-12, paskelbta TAR 2016-09-12, i. k. 2016-23513

Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. balandžio 1 d. įsakymo Nr. 1K-50 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatų patvirtinimo“ pakeitimo