LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

Įsakymas netenka galios 2024-01-22:

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-63, 2024-01-19, paskelbta TAR 2024-01-19, i. k. 2024-00823

Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 23 d. įsakymo Nr. v-1109 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ pripažinimo netekusiu galios

Suvestinė redakcija nuo 2023-10-05 iki 2024-01-21

Įsakymas paskelbtas: Žin. 2011, Nr. 162-7697, i. k. 1112250ISAK00V-1109

LIETUVOS RESPUBLIKOS

SVEIKATOS APSAUGOS MINISTRO

Į S A K Y M A S

dėl asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo

2011 m. gruodžio 23 d. Nr. V-1109

Vilnius

Įgyvendindamas Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimu Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo patvirtinimo“, 5.2.3 papunktį, Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymą Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“ bei vadovaudamasis Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“:

Preambulės pakeitimai:

Nr. V-1081, 2022-06-16, paskelbta TAR 2022-06-16, i. k. 2022-12925

1. T v i r t i n u pridedamus:

1.1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatus;

1.2. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos duomenų saugos nuostatus.

2. P a v e d u:

2.1. Valstybinio psichikos sveikatos centro direktoriui skirti Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos saugos įgaliotinį;

2.2. Valstybiniam psichikos sveikatos centrui per šešis mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti tvirtinti sveikatos apsaugos ministrui:

2.2.1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

2.2.2. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos veiklos tęstinumo valdymo planą;

2.2.3. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos naudotojų administravimo taisykles;

2.3. įsakymo vykdymą kontroliuoti ministerijos kancleriui.

SVEIKATOS APSAUGOS MINISTRAS RAIMONDAS ŠUKYS

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2011-12-06 raštu Nr. 1D-8349(3)

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2011 m. gruodžio 23 d. įsakymu Nr. V-1109

Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatai

I. BENDROSIOS NUOSTATOS

1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas (toliau – ASPĮ) dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos (toliau – ASIS) nuostatai (toliau – nuostatai) reglamentuoja ASIS paskirtį, steigimo pagrindą, tikslus, funkcijas, laukiamus rezultatus, nustato ASIS organizacinę, informacinę ir funkcinę struktūras, kaupiamų duomenų šaltinius, ASIS duomenų tvarkymą ir duomenų saugos reikalavimus, finansavimą, ASIS modernizavimą ir likvidavimą.

2. ASIS paskirtis – rinkti, kaupti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, bei tvarkyti, teikti depersonalizuotus duomenis nuostatuose nurodytiems duomenų gavėjams.

3. ASIS steigimo pagrindas yra:

3.1. Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimas Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių bei narkotinių ir psichotropinių medžiagų ir jų pirmtakų apyvartos stebėsenos tvarkos aprašo patvirtinimo“ (Žin., 2005, Nr. 69-2470; 2009, Nr. 90-3847);

3.2. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymas Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“ (Žin., 2007, Nr. 88-3496);

3.3. 2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1920/2006 „Dėl Europos narkotikų ir narkomanijos stebėsenos centro“ (nauja redakcija) (OL 2006 L 376; p. 1);

3.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymas (Žin., 1996, Nr. 66-1572; 1998, Nr. 109-2995).

4. Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarime Nr. 591, Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), ir kituose teisės aktuose vartojamas sąvokas.

5. ASIS tvarkoma vadovaujantis:

5.1. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis;

5.2. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“;

5.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

5.4. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);

5.5. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12 ) (Žin., 2008, Nr. 135-5298);

5.6. kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, saugojimą ir sunaikinimą.

II. ASIS STEIGIMO TIKSLAI, FUNKCIJOS, LAUKIAMI REZULTATAI

6. ASIS steigimo tikslai:

6.1. sukurti ir įdiegti bendrą ASIS;

6.2. nustatyti narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos bei naudojimosi gydymo paslaugomis (paslaugų poreikio) tendencijas.

7. Pagrindinės ASIS funkcijos:

7.1. rinkti ir kaupti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas;

7.2. analizuoti ASIS sukauptą informaciją, apibendrinti, pateikti apibendrintas išvadas nuostatų 9.3 ir 24 punktuose nurodytiems ASIS duomenų gavėjams;

7.3. teikti oficialią apibendrintą informaciją mokslo institucijoms, fiziniams, juridiniams asmenims, visuomenei;

7.4. užtikrinti ASIS duomenų apsaugą.

8. Laukiami ASIS sukūrimo rezultatai:

8.1. operatyviai ir kokybiškai surinkti duomenys apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas;

8.2. galimybė planuoti ir vertinti paslaugų narkotikų vartotojams poreikį.

III. ASIS ORGANIZACINĖ STRUKTŪRA

9. ASIS organizacinė struktūra:

9.1. ASIS valdytojas – Higienos institutas (Studentų g. 45A, LT-08107 Vilnius) (toliau – valdytojas), ASIS tvarkytojas – Higienos institutas (Studentų g. 45A, LT-08107 Vilnius) (toliau – tvarkytojas);

Punkto pakeitimai:

Nr. V-1054, 2023-10-04, paskelbta TAR 2023-10-04, i. k. 2023-19529

9.2. ASIS duomenų teikėjai – ASPĮ, turinčios teisę teikti psichiatrijos, priklausomybės ligų psichiatrijos, psichoterapijos, vaikų ir paauglių psichiatrijos sveikatos priežiūros paslaugas ir ASPĮ, pavaldžios Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos bei ASPĮ, kurių steigėja yra Vidaus reikalų ministerija, teiksiantys pirminius duomenis ASIS.

9.3. ASIS duomenų gavėjai – ASIS nuolatinis duomenų gavėjas (duomenų teikimo sutarčių pagrindu) yra Narkotikų, tabako ir alkoholio kontrolės departamentas prie Lietuvos Respublikos Vyriausybės. Kiti ASIS duomenų gavėjai, kurie turi teisę gauti duomenis iš ASIS, yra nurodyti nuostatų VII skyriuje.

10. Valdytojas atlieka šias funkcijas:

10.1. teisės aktų nustatyta tvarka priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

10.2. metodiškai vadovauja ASIS tvarkytojui, koordinuoja jo veiklą, susijusią su ASIS tvarkymu;

10.3. sprendžia ASIS duomenų formavimo klausimus;

10.4. analizuoja teisines, technines, technologines, metodologines ir organizacines ASIS tvarkymo problemas ir priima sprendimus ASIS tvarkymui užtikrinti;

10.5. organizuoja ASIS techninės ir programinės įrangos kūrimo, tobulinimo ir diegimo darbus;

10.6. užtikrina ASIS duomenų apsaugą organizacinėmis priemonėmis;

10.7. organizuoja ir koordinuoja ASIS tvarkančių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, kvalifikacijos tobulinimą.

11. Tvarkytojo funkcijos:

11.1. teisės aktų nustatyta tvarka rengia teisės aktų projektus, susijusius su ASIS duomenų tvarkymu ir sauga;

11.2. tvarko ASIS duomenis;

11.3. užtikrina ASIS tvarkomų duomenų patikimumą organizacinėmis priemonėmis;

11.4. teikia pasiūlymus dėl ASIS techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;

11.5. įgyvendina ASIS techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;

11.6. užtikrina, kad ASIS veiktų nepertraukiamai, organizuoja ir koordinuoja arba atlieka ASIS techninių programinių priemonių peržiūros ir tobulinimo darbus;

11.7. rengia ir įgyvendina ASIS plėtros projektus;

11.8. įgyvendina duomenų saugos priemones;

11.9. atlieka duomenų ir kitos informacijos analizę;

11.10. rengia statistines ataskaitų formas;

11.11. pagal teisės aktų nustatytą tvarką teikia apibendrintą informaciją;

11.12. kontroliuoja ir užtikrina, kad ASIS duomenų gavėjai, kuriems perduoti neteisingi, netikslūs, neišsamūs ASIS duomenys, būtų informuoti apie ištaisytus netikslumus;

11.13. kontroliuoja ir užtikrina, kad ASIS būtų tvarkoma, vadovaujantis nuostatais ir kitais teisės aktais;

11.14. siekdamas užtikrinti ASIS duomenų aktualumą ir operatyvų atnaujinimą, organizuoja ir vykdo ASIS duomenų mainus su kitomis informacinėmis sistemomis įstatymų ir kitų teisės aktų nustatyta tvarka;

11.15. metodiškai vadovauja ASIS naudotojams;

11.16. sudaro ASIS duomenų teikimo sutartis.

IV. ASIS INFORMACINĖ STRUKTŪRA

12. ASIS informacinę struktūrą sudaro ASIS duomenų bazėje kaupiami iš duomenų šaltinių pateikti duomenys.

13. ASIS duomenys tvarkomi ir saugomi ASIS duomenų bazėje bei elektroninių dokumentų saugyklose.

14. ASIS tvarkomi ir saugomi duomenys, kurie bus gaunami iš užpildytų statistinių apskaitos formų Nr. 025-6/a (Asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 1 priedo (toliau – Aprašo 1 priedas),kurie bus reikalingi ASIS tikslams pasiekti:

14.1. bendrieji duomenys:

14.1.1. įstaigos kodas;

14.1.2. formos užpildymo data;

14.1.3. unikalus paciento identifikavimo kodas ASIS sistemoje. Jį ASIS sugeneruoja iš paciento asmens kodo;

14.1.4. paciento lytis;

14.1.5. paciento amžius;

14.1.6. paciento kodas (kai paslaugos teikiamos anonimiškai);

14.1.7. asmenų draustumas privalomuoju sveikatos draudimu;

14.1.8. institucijos, siuntusios asmenį gydytis į ASPĮ;

14.1.9. asmens gydymas kada nors gyvenime bet kurioje sveikatos priežiūros įstaigoje dėl narkotinių ir psichotropinių medžiagų vartojimo;

14.2. socialinė demografinė informacija:

14.2.1. faktinė gyvenamoji vieta;

14.2.2. nuolatinė gyvenamoji vieta;

14.2.3. bendros gyvenamosios vietos turėjimas su kitais asmenimis;

14.2.4. užimtumas šiuo metu;

14.2.5. įgytas išsilavinimas;

14.3. duomenys apie psichoaktyviųjų medžiagų vartojimą:

14.3.1. pagrindinė psichoaktyvioji medžiaga, dėl kurios asmuo kreipėsi į ASPĮ;

14.3.2. pagrindinės psichoaktyviosios medžiagos vartojimo būdas šiuo metu;

14.3.3. asmens amžius, kai buvo pirmą kartą pavartota bet kokia narkotinė ar psichotropinė medžiaga;

14.3.4. pagrindinės psichoaktyviosios medžiagos vartojimo dažnumas per pastarąsias 30 dienų;

14.3.5. kitos per pastarąsias 30 dienų vartotos psichoaktyviosios medžiagos;

14.3.6. narkotinių ir psichotropinių medžiagų švirkštimasis kada nors gyvenime;

14.3.7. narkotinių ir psichotropinių medžiagų švirkštimasis per pastarąsias 30 dienų;

14.4. duomenys apie užkrečiamas ligas:

14.4.1. užkrėstumas ŽIV;

14.4.2. siuntimas tirtis dėl ŽIV;

14.4.3. užkrėstumas hepatitu B (HBV);

14.4.4. siuntimas tirtis dėl hepatito B (HBV);

14.4.5. skiepai nuo hepatito B (HBV);

14.4.6. užkrėstumas hepatitu C (HCV);

14.4.7. siuntimas tirtis dėl hepatito C (HCV);

14.5. duomenys apie diagnozę, gydymą, suteiktas paslaugas:

14.5.1. bendra sveikatos būklė;

14.5.2. pagrindinė diagnozė pagal TLK-10-AM;

14.5.3. diagnozės nustatymo data;

14.5.4. pacientui teikiamų asmens sveikatos priežiūros paslaugų tipas;

14.5.5. suteiktos paslaugos;

14.5.6. vaistiniai preparatai, kuriais asmuo gydomas šiuo metu;

14.6. duomenys apie išrašymo iš ASPĮ priežastis, gydymo baigtį.

15. Tvarkytojas ASIS duomenis ASIS duomenų gavėjams perduoda elektroniniu būdu. Duomenų perdavimo formatą nustato tvarkytojas.

V. ASIS KAUPIAMŲ DUOMENŲ ŠALTINIAI

16. ASIS duomenų šaltiniai: ASPĮ, turinčios teisę teikti psichiatrijos, priklausomybės ligų psichiatrijos, psichoterapijos, vaikų ir paauglių psichiatrijos sveikatos priežiūros paslaugas ir ASPĮ, pavaldžios Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos bei ASPĮ, kurių steigėja yra Lietuvos Respublikos vidaus reikalų ministerija, teiksiantys pirminius duomenis ASIS.

17. ASPĮ duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, renka pagal statistinę apskaitos formą Nr. 025-6/a (Aprašo 1 priedas) ir neatlygintinai pateikia elektroninių duomenų teikimo formatu tvarkytojui.

VI. ASIS FUNKCINĖ STRUKTŪRA

18. ASIS funkcinę struktūrą sudaro infrastruktūra ir posistemės.

19. ASIS sudaro šios posistemės:

19.1. Duomenų teikimo ir gavimo posistemė, kurią sudaro:

19.1.1. Identifikavimo modulis, kurio paskirtis ASIS naudotojų identifikavimas ir autentifikavimas.

19.1.2. Informacijos įvedimo modulis, kurio paskirtis:

19.1.2.1. užtikrinti galimybę duomenų šaltiniams įvesti duomenis į ASIS;

19.1.2.2. kontroliuoti į ASIS įvedamus ir perduodamus saugoti duomenis.

19.2. ASIS administravimo posistemė, kurią sudaro:

19.2.1. Sistemos administravimo modulis, kurio paskirtis ASIS naudotojų ir jų prieigos teisių valdymas bei sistemos parametrų valdymas.

19.2.2. Sistemos klaidų apdorojimo modulis, kurio paskirtis ASIS įvykusių klaidų valdymas, automatiškas visų įvykusių klaidų registravimas, klaidų sąrašo administravimas.

19.3. Duomenų mainų posistemė, kurią sudaro:

19.3.1. Integracijos modulis, kurio paskirtis:

19.3.1.1. duomenų priėmimas, apdorojimas ir išsaugojimas ASIS;

19.3.1.2. aktualių duomenų perdavimas duomenų gavėjams;

19.3.1.3. standartizuotų medicinos duomenų mainų tarp E. sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir ASIS vykdymas.

19.4. Analitinės informacijos posistemė, kurią sudaro:

19.4.1. Analizės modulis, kurio paskirtis užtikrinti sukauptų duomenų analizę įvairiais pjūviais;

19.4.2. Ataskaitų modulis, kurio paskirtis:

19.4.2.1. ataskaitų šablonų sudarymas;

19.4.2.2. ataskaitų kūrimas pagal tvarkytojo reikalavimus.

20. ASIS duomenų gavėjams ASIS duomenys teikiami elektroniniu būdu.

21. ASIS naudotojui, atsižvelgiant į jo funkcijas, atskiru susitarimu su tvarkytoju nustatoma prieiga prie ASIS.

VII. ASIS DUOMENŲ TVARKYMAS IR SAUGA

22. ASIS duomenys teikiami ir gaunami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų teikimą ar gavimą.

23. ASIS asmens duomenys yra tvarkomi:

23.1. Sveikatos apsaugos tikslais: nustatant narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos bei naudojimosi gydymo paslaugomis ir gydymo paslaugų poreikio tendencijas;

23.2. statistikos tikslais: visuomenės sveikatos būklės epidemiologiniams tyrimams, reikalingiems prevencinės (profilaktinės) medicinos, socialinės raidos, mokslo, sveikatos apsaugos sistemos valdymo sprendimams priimti.

24. ASIS depersonalizuoti duomenys, kurie yra nurodyti nuostatų 14 punkte, pagal poreikį teikiami šiems duomenų gavėjams:

24.1. ASPĮ;

24.2. ASPĮ, pavaldžioms Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos;

24.3. ASPĮ, kurių steigėja yra Lietuvos Respublikos vidaus reikalų ministerija;

24.4. kitoms valstybės institucijoms ir įstaigoms teisės aktų nustatytoms funkcijoms vykdyti;

24.5. tvarkytojo nustatyta tvarka juridiniams ir fiziniams asmenims, pateikusiems prašymus, kuriuose turi būti nurodytas duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis;

24.6. ASIS duomenų gavėjams, esantiems užsienio valstybėse.

25. ASIS duomenų teikimo būdai ir formos nustatomi kiekvienu konkrečiu atveju atskiru susitarimu su tvarkytoju.

26. Ypatingi asmens duomenys gali būti teikiami tik įstatymų nustatyta tvarka.

27. Duomenys ASIS duomenų bazėje saugomi ne ilgiau, nei to reikia duomenų tvarkymo tikslams pasiekti. Pasiekus iškeltus tikslus, jie perkeliami į ASIS duomenų bazės archyvą. ASIS duomenų saugojimo terminai ir jų naikinimo tvarka nustatoma ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.

28. ASIS archyvo duomenys sunaikinami arba perduodami Lietuvos Respublikos dokumentų archyvui ar kitai informacinei sistemai ASIS valdytojo tam tikslui sudarytos komisijos sprendimu, kai šie duomenys tampa nereikalingi ASIS tikslams pasiekti arba Lietuvos Respublikos teisės aktų nustatytais atvejais. ASIS duomenų bazių archyvai sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

29. ASIS duomenys turi būti tikslūs ir nuolat atnaujinami. Neteisingi, netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.

30. Steigiant ir tvarkant ASIS, turi būti įgyvendintos duomenų apsaugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ASIS duomenų konfidencialumui, prieinamumui teisėtiems naudotojams, vientisumui ir apsaugai nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo užtikrinti. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų informacinės sistemos duomenų pobūdį.

31. Už ASIS duomenų tvarkymo teisėtumą ir duomenų saugą atsako valdytojas, o už ASIS duomenų teikimo teisėtumą ir duomenų patikimumą atsako tvarkytojas.

32. Už duomenų tvarkymo metu įvedamų duomenų apsaugą atsako ASIS naudotojai.

33. Tvarkytojas, tvarkydamas ASIS duomenis, privalo juos saugoti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių saugų duomenų tvarkymą ir teikimą, nustatyta tvarka.

34. ASIS duomenų sauga užtikrinama vadovaujantis:

34.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

34.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais;

34.3. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

34.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

34.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

34.6. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12);

34.7. Lietuvos standartais LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ bei kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

34.8. nuostatais, taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą ir duomenų saugos valdymą, ASIS valdytojo tvirtinamais ASIS duomenų saugos nuostatais ir ASIS veiklos tęstinumo valdymo planu.

35. ASIS duomenų naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga išlieka perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

36. Asmuo (sveikatos priežiūros paslaugų gavėjas), kurio asmens duomenys teikiami statistinei apskaitos formai Nr. 025-6/a užpildyti, turi teisę susipažinti su savo asmens duomenimis, žinoti (būti informuotas) apie savo asmens duomenų tvarkymą.

37. ASIS duomenys prieinami tik asmenims, kuriems suteikta prieigos teisė.

VIII. ASIS FINANSAVIMAS

38. ASIS steigiama ir finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų lėšų, gautų teisės aktų nustatyta tvarka.

ix. ASIS MODERNIZAVIMAS IR LIKVIDAVIMAS

39. ASIS modernizuojama ir likviduojama Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

40. Likviduojant ASIS, jos duomenys perduodami kitai informacinei sistemai, valstybės archyvams arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

_________________

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos

ministro 2011 m. gruodžio 23 d. įsakymu

Nr. V-1109

(Lietuvos Respublikos sveikatos apsaugos

ministro 2022 m. birželio 16 d. įsakymo

Nr. V-1081

redakcija)

I SKYRIUS

BENDROSIOS NUOSTATOS

2. ASIS duomenų saugos tikslas – užtikrinti ASIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. ASIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

3. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas ASIS nuostatuose, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002 vartojamas sąvokas.

4. ASIS informacijos saugos užtikrinimo prioritetinės kryptys:

4.1. asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, registracijos duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas naudojant technines, organizacines ir teisines priemones;

4.2. duomenų konfidencialumas užtikrinamas ribojant fizinį ir loginį priėjimą prie asmens duomenų ir specialių kategorijų asmens duomenų, naudojant technines ir organizacines priemones; priėjimas suteikiamas tik teisėtiems ASIS naudotojams, kurių tapatybė yra nustatyta ir tik prie duomenų, būtinų ASIS naudotojo veiklos funkcijoms vykdyti; išmokant ASIS administratorių ir ASIS naudotojus laikantis konfidencialumo principo tvarkyti asmens duomenis;

4.3. duomenų ar sistemos vientisumas užtikrinamas valdant teisėtą duomenų ar sistemos keitimą, kontroliuojant duomenų įvedimą, stebint ir reaguojant į galimą neteisėtą duomenų ar sistemos keitimą ar sunaikinimą; supažindinant atsakingus už duomenų įvedimą ar keitimą ASIS administratorių ir ASIS naudotojus su klaidų ir vientisumo pažeidimo nustatymo ir koregavimo metodais ir tvarkų aprašais;

4.4. duomenų ar sistemos prieinamumas užtikrinamas, valdant organizacinėmis ir technologinėmis priemonėmis ASIS, jos elementų ar duomenų keitimus, naudojant perteklines ar alternatyvias informacinių sistemų ir duomenų tinklų technologines priemones, ASIS atkūrimo plano bandymus ir veiklos tęstinumo valdymo plano bandymus;

4.5. administracinių saugaus darbo su duomenimis, asmens duomenimis ir specialių kategorijų asmens duomenimis priemonių įgyvendinimas ir kontrolė;

4.6. technologinė elektroninės informacijos apdorojimo priemonių apsauga.

5. Nuostatai taikomi:

5.1. ASIS valdytojui – Higienos institutui (Studentų g. 45A, LT-08107 Vilnius). ASIS valdytojo vadovo funkcijos ir atsakomybė:

Papunkčio pakeitimai:

Nr. V-1054, 2023-10-04, paskelbta TAR 2023-10-04, i. k. 2023-19529

5.1.1. organizuoja ir vadovauja ASIS veiklai;

5.1.2. priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

5.1.3. priima sprendimą dėl ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

5.1.4. atsako už informacijos tvarkymo ASIS teisėtumą ir informacijos saugą;

5.2. ASIS tvarkytojui – Higienos institutui (toliau – HI) (adresas: Didžioji g. 22, LT-01128 Vilnius). ASIS tvarkytojo vadovo funkcijos ir atsakomybė:

5.2.1. skiria ASIS administratorių;

5.2.2. atlieka ASIS duomenų bazių priežiūrą;

5.2.3. užtikrina ASIS sąveiką su kitomis informacinėmis sistemomis ir registrais;

5.2.4. užtikrina nepertraukiamą ASIS veikimą ir duomenų, esančių ASIS duomenų bazėse, saugą;

5.2.5. atlieka kitas ASIS nuostatų, saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas;

5.3. ASIS saugos įgaliotiniui – HI direktoriaus įsakymu paskirtam valstybės tarnautojui arba darbuotojui, dirbančiam pagal darbo sutartį, įgyvendinančiam elektroninės informacijos saugą HI informacinėse sistemose. ASIS saugos įgaliotinio funkcijos ir atsakomybė:

5.3.1. organizuoja ir kontroliuoja nuostatų įgyvendinimą;

5.3.2. teikia ASIS valdytojui siūlymus dėl:

5.3.2.1. saugos dokumentų priėmimo, keitimo ar panaikinimo;

5.3.2.2. ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

5.3.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

5.3.4. teikia ASIS tvarkytojo vadovui pasiūlymus dėl ASIS administratoriaus skyrimo;

5.3.5. teikia ASIS administratoriui privalomus vykdyti nurodymus ir pavedimus;

5.3.6. organizuoja rizikos vertinimą;

5.3.7. pasirašytinai supažindina ASIS naudotojus su nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą;

5.3.8. kasmet organizuoja ASIS naudotojų mokymus duomenų saugos klausimais, reguliariai jiems primena saugos problemas (elektroniniu paštu, parengia atmintines naujai priimtiems darbuotojams ir pan.);

5.3.9. įgyvendina ASIS elektroninės informacijos saugą ASIS informacinėje sistemoje ir atsako už saugos dokumentų reikalavimų vykdymą;

5.3.10. atlieka kitas ASIS valdytojo vadovo pavestas ir bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas;

5.4. ASIS administratoriui – HI direktoriaus įsakymu paskirtam valstybės tarnautojui arba darbuotojui, dirbančiam pagal darbo sutartį, atliekančiam jam priskirtas funkcijas, aprašytas ASIS veiklą reglamentuojančiuose dokumentuose. ASIS administratoriaus funkcijos ir atsakomybė:

5.4.1. užtikrina ASIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

5.4.2. vertina ASIS naudotojų pasirengimą dirbti su ASIS, registruoja ASIS naudotojus ir suteikia prieigos teisę ASIS naudotojams naudotis ASIS infrastruktūra paskirtoms funkcijoms atlikti;

5.4.3. pagal kompetenciją rengia pasiūlymus dėl ASIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

5.4.4. atlieka ASIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą bei valdo jų sąranką, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį ASIS saugos politiką įgyvendinančių dokumentų reikalavimams;

5.5. ASIS naudotojams, kurių funkcijos ir atsakomybė yra nurodytos nuostatų 6 punkte.

6. ASIS naudotojai:

6.1. vadovaudamiesi nuostatais, Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, (toliau – ASIS saugaus elektroninės informacijos tvarkymo taisyklės), Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos naudotojų administravimo taisyklėmis (toliau – ASIS naudotojų administravimo taisyklės), pareigybių aprašymais ir kitais teisės aktais, naudojasi ASIS informacijos tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais;

6.2. vykdo kitas nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su ASIS naudojimu ir ASIS duomenų sauga;

6.3. atsako už tvarkomų duomenų saugą teisės aktų nustatyta tvarka.

7. Tvarkant ASIS duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

7.1. Lietuvos Respublikos sveikatos sistemos įstatymu;

7.2. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

7.3. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu;

7.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

7.5. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

7.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

7.7. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

7.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);

7.9. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Informacinių technologijų saugos atitikties vertinimo metodika), patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

7.10. Lietuvos standartais LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

7.11. nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, ASIS tvarkytojo veiklą bei duomenų saugos valdymą.

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

8. Pagal Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas) 8.1, 8.3 ir 8.6 papunkčiuose nurodytus informacijos svarbos kriterijus, ASIS tvarkoma informacija yra priskiriama svarbios informacijos kategorijai.

9. Pagal Saugos reikalavimų aprašo 12.2 papunktį ASIS yra antros kategorijos informacinė sistema.

10. Informacinės sistemos saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių sistemų rizikos vertinimą, kuris atliekamas vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos (toliau – ARSIS) metodika bei reikalavimais ir Lietuvos bei tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais. Prireikus informacinių sistemų saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą. ASIS rizikos veiksnių įvertinimas atliekamas kokybiniu rizikos vertinimo metodu. Atliekant rizikos įvertinimą turi būti vertinamos rizikos, susijusios su:

10.1. ASIS tarnybinėmis stotimis ir jų valdymu;

10.2. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys iš registrų, informacinių sistemų ir klasifikatorių;

10.3. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys toliau esantiems ASIS naudotojams;

10.4. ASIS naudotojų darbo vietomis.

11. ASIS rizikos įvertinimas pateikiamas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ASIS informacijos saugai. Svarbiausi rizikos veiksniai yra nustatyti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkte.

12. Svarbiausi rizikos veiksniai yra šie:

12.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

12.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);

12.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

13. Atsižvelgdamas į ASIS rizikos įvertinimo ataskaitą, ASIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

14. Siekdamas užtikrinti nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka ASIS saugos įgaliotinis kasmet organizuoja ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

15. ASIS saugos atitikties vertinimą gali vykdyti trečiosios šalys.

16. Atlikus ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ASIS valdytojo vadovas.

17. Techninės, programinės ir organizacinės informacinių sistemų elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į informacinių sistemų valdytojo turimus išteklius ir vadovaujantis šiais principais:

17.1. saugos sistema turi būti valdoma centralizuotai;

17.2. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

17.3. pagal galimybes turi būti įdiegtos prevencinės informacijos saugos priemonės.

18. Informacinių sistemų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų saugos įgaliotinis ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo dienos įkelia į ARSIS, vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

19. Programinės įrangos, skirtos apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.), reikalavimai:

19.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti automatiniu būdu vieną kartą per mėnesį atnaujinamos;

19.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;

19.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

20. Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

20.1. ASIS veikimui užtikrinti turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą;

20.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;

20.3. ASIS naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri ASIS administratorius.

21. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus) bent kartą per mėnesį atlieka ASIS administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau kaip 20 proc. interneto ryšio išteklių.

22. Kompiuterių tinklo serveriai bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės ir duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali visiškai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

23. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja ASIS administratorius, blokuodamas potencialiai pavojingas interneto sritis.

24. ASIS internetinė svetainė turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus.

25. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie ASIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

26. ASIS atsarginės dokumentų kopijos (toliau – kopijos) daromos automatiniu būdu kiekvieną dieną, esant aktyviai ASIS duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kaupimo saugojimo laikmenas) ir saugomos seife, prieinamame tik ASIS administratoriui, jo nesant – ASIS administratorių pavaduojančiam asmeniui. Jas atkurti turi teisę tik ASIS administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti ASIS duomenis, darymo, saugojimo ir išbandymo tvarka nustatyta ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.

27. ASIS naudotojai prie ASIS prisijungia nuotoliniu būdu naudodami interneto naršyklę.

28. Saugios prieigos prie ASIS užtikrinimas:

28.1. kiekvienas ASIS naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

28.2. ASIS naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo ASIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;

28.3. ASIS naudotojui neatliekant jokių veiksmų, ASIS turi užsirakinti, kad toliau naudotis ASIS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

28.4. ASIS prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik ASIS administratoriui;

28.5. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir blokuoti prieigą neatpažintiems kompiuteriams, neleidžiantys prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;

28.6. kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;

28.7. prisijungimo prie ASIS laikas bei trukmė nėra ribojami.

29. Perkant paslaugas, darbus ar įrangą, susijusius su ASIS, jos projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis ASIS saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.

30. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant ASIS tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

IV skyrius

REIKALAVIMAI PERSONALUI

31. ASIS saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo administracinės nuobaudos paskyrimo praėję mažiau kaip vieni metai.

32. Informacinių sistemų saugos įgaliotinis turi:

32.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

32.2. sugebėti vertinti rizikos veiksnius ir galimą žalą, organizuoti ir kontroliuoti pastebėtų trūkumų šalinimą;

32.3. savo darbe vadovautis informacinių sistemų saugos politiką įgyvendinančiais dokumentais, standartais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

33. ASIS administratorius turi:

33.1. išmanyti elektroninės informacijos saugos principus, darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

33.2. stebėti techninės ir programinės įrangos veikimą, atlikti šios įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą;

33.3. mokėti administruoti ir prižiūrėti duomenų bazę;

33.4. būti susipažinęs su nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

34. ASIS naudotojai turi:

34.1. turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti duomenis;

34.2. pasirašyti pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinti su nuostatais bei kitais informacinių sistemų saugos politiką įgyvendinančiais dokumentais.

35. ASIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ASIS saugos įgaliotiniui.

36. ASIS naudotojams draudžiama:

36.1. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas;

36.2. atskleisti kitiems asmenims prisijungimo prie informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

36.3. naudoti informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;

36.4. savavališkai prijungti prie informacinių sistemų kompiuterizuotų darbo vietų išorines duomenų laikmenas ar įrenginius.

37. ASIS saugos įgaliotinis ASIS administratoriams ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.).

V skyrius

ASIS NAUDOTOJŲ SUPAŽINDINIMAS SU SAUGOS DOKUMENTAIS

38. ASIS naudotojus su informacijos saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina ASIS saugos įgaliotinis.

39. ASIS saugos įgaliotinis, ASIS administratoriai ir naudotojai raštu įsipareigoja laikytis informacijos saugos politiką įgyvendinančių dokumentų reikalavimų.

40. Pakartotinai su informacijos saugos politiką įgyvendinančiais dokumentais, šiems pasikeitus, informacinių sistemų naudotojai supažindinami elektroninėmis priemonėmis.

VI skyrius

ASIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA

41. ASIS saugos įgaliotinis yra atsakingas už ASIS naudotojų supažindinimą su nuostatais, ASIS saugaus elektroninės informacijos tvarkymo taisyklėmis, Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos veiklos tęstinumo valdymo planu, ASIS naudotojų administravimo taisyklėmis ir kitais teisės aktais, įgyvendinančiais elektroninės informacijos apsaugą.

42. ASIS naudotojai su nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių dokumentų reikalavimų nesilaikymą supažindinami pasirašytinai.

43. ASIS saugos įgaliotinis vieną kartą per metus organizuoja mokymus duomenų apsaugos klausimais.

44. Mokymų metu ASIS saugos įgaliotinis supažindina ASIS administratorių bei ASIS naudotojus su duomenų apsaugos politiką įgyvendinančiais teisės aktais, saugaus darbo su duomenimis principais.

45. HI sudaro galimybes ASIS naudotojams dalyvauti ASIS saugos įgaliotinio organizuojamuose mokymo renginiuose.

46. ASIS saugos įgaliotinis informuoja ASIS naudotojus elektroniniu paštu ar kitu būdu apie priimtus naujus teisės aktus ir teisės aktų pakeitimus, apie ASIS naudotojams organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, siunčia atmintines naujiems ASIS naudotojams.

VII skyrius

BAIGIAMOSIOS NUOSTATOS

47. ASIS naudotojai, pažeidę nuostatų, kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

48. Nuostatai, kiti informacijos saugos valdymo sistemos dokumentai, reglamentuojantys informacinių sistemų saugą, peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

49. Jeigu daromi esminiai nuostatų pakeitimai, nuostatų projektas nustatyta tvarka turi būti suderintas su Nacionaliniu kibernetinio saugumo centru. Jeigu daromi tik redakcinio pobūdžio pakeitimai, nuostatų projektas su Nacionaliniu kibernetinio saugumo centru nederinamas, Nacionaliniam kibernetinio saugumo centrui teikiama tik nuostatų kopija.

___________________

Priedo pakeitimai:

Nr. V-1081, 2022-06-16, paskelbta TAR 2022-06-16, i. k. 2022-12925

Pakeitimai:

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-1081, 2022-06-16, paskelbta TAR 2022-06-16, i. k. 2022-12925

Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 23 d. įsakymo Nr. V-1109 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ pakeitimo

Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas

Nr. V-1054, 2023-10-04, paskelbta TAR 2023-10-04, i. k. 2023-19529