1.1. Visuomenės sveikatos saugos informacinės sistemos nuostatus;

1.2. Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatus.

3.1. Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotiniui iki š. m. lapkričio 1 d.:

3.2. Įsakymo vykdymo kontrolę direktoriaus pavaduotojui pagal administravimo sritį.

1. Visuomenės sveikatos saugos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) paskirtį ir pagrindines funkcijas, jos valdytoją, tvarkytojus, jų teises ir pareigas, VSSIS informacinę ir funkcinę struktūras, VSSIS duomenų tvarkymą ir naudojimą, VSSIS duomenų saugos reikalavimus bei VSSIS reorganizavimą ir likvidavimą.

2. VSSIS – tai Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) ir VVSPT pavaldžių teritorinių visuomenės sveikatos priežiūros įstaigų (toliau – VVSPT pavaldžios įstaigos) teisės aktų nustatytoms visuomenės sveikatos saugos funkcijoms atlikti reikalingos informacijos apdorojimo procesus (duomenų ir dokumentų tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir kt.) atliekanti sistema, kurios pagalba vykdomi mainai tarp VVSPT ir VVSPT pavaldžių įstaigų.

3. VSSIS steigimo pagrindas – Lietuvos nacionalinė visuomenės sveikatos priežiūros 2006–2013 metų strategija ir jos įgyvendinimo priemonių 2006–2008 metų planas, patvirtintas Lietuvos Respublikos Vyriausybės 2001 m. liepos 1 d. nutarimu Nr. 941 (Žin., 2001, Nr. 66-2418; 2006, Nr. 70-2574).

4. Teisės aktai, reglamentuojantys VSSIS veiklos sritį ir kuriais vadovaujantis tvarkoma VSSIS:

5. VSSIS steigėjas yra VVSPT.

6. VSSIS tikslai – aprūpinti VVSPT ir VVSPT pavaldžias įstaigas informacija, reikalinga laiku ir kokybiškai vykdyti teisės aktais pavestas visuomenės sveikatos saugos funkcijas.

7. VSSIS pagrindinės funkcijos – kaupti, sisteminti, analizuoti ir saugoti šių Nuostatų 15 punkte nurodytus duomenis; sukurti specializuotus elektroninius duomenų mainus tarp VVSPT ir VVSPT pavaldžių įstaigų.

8. VSSIS veikimo laukiamas rezultatas – įgyvendinti šių Nuostatų 6 punkte keliamus tikslus.

9. VSSIS asmens duomenų tvarkymo tikslas – identifikuoti asmenį, kurio duomenys tvarkomi VSSIS, kad VVSPT ir VVSPT pavaldžios įstaigos galėtų tinkamai įgyvendinti šių Nuostatų 4 punkte minimų teisės aktų reikalavimus, susijusius su leidimų išdavimu, administracinių poveikio priemonių taikymu ir ne daugiau nei to reikalauja minėtų teisės aktų nuostatos.

10. VSSIS organizacinė struktūra:

11. VSSIS valdytojo funkcijos:

12. VSSIS tvarkytojų funkcijos:

13. VSSIS naudotojai gali susipažinti su duomenimis ir jais naudotis pagal jiems suteiktą prieigos teisių lygmenį.

14. VSSIS duomenų gavėjas yra apskrities viršininko administracija, teisės aktų nustatyta tvarka naudojanti Nuostatų 15.1.2, 15.1.4, 15.1.5 punktuose numatytus duomenis.

Punkto pakeitimai:

Nr. V-91, 2008-11-06, Žin., 2008, Nr. 133-5173 (2008-11-20), i. k. 108225TISAK0000V-91

15. VSSIS duomenų bazes sudaro:

16. VSSIS duomenys teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atveju) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju).

17. VSSIS sudaro tokios posistemės:

18. VSSIS duomenų šaltiniai yra juridiniai ir fiziniai asmenys:

19. VSSIS naudotojui, atsižvelgiant į jo funkcijas, nustatomas VSSIS prieigos teisių lygmuo, nustatantis naudojimosi duomenimis apimtį.

20. VSSIS prieigos teisių lygmenys:

21. VSSIS administratorių funkcijos:

22. VSSIS duomenys teikiami neatlygintinai.

23. Duomenys VSSIS duomenų bazėse saugomi tiek, kiek reikalauja duomenų tvarkymo tikslai, tačiau ne ilgiau nei:

24. Pasibaigus duomenų saugojimo duomenų bazėse terminui, VSSIS duomenys yra siunčiami į VSSIS duomenų bazės archyvą, kur saugomi ne ilgiau nei 1 metus. Pasibaigus duomenų saugojimo archyve terminui duomenys yra sunaikinami. VSSIS duomenų naikinimo tvarka nustatoma VSSIS valdytojo tvirtinamose Saugaus darbo su VSSIS duomenimis taisyklėse, detaliose instrukcijose bei procedūrų aprašymuose.

25. Duomenų subjektas, kreipdamasis į VSSIS valdytoją ar tvarkytojus ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu tvarkomi bei kam teikiami. Duomenų subjektas taip pat turi kitas teises, numatytas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme. VVSPT Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka ir terminais privalo pateikti atsakymą duomenų subjektui ir esant pagrindui imtis atitinkamų duomenų subjekto prašomų veiksmų.

26. Už VSSIS duomenų saugą atsako VSSIS valdytojas ir tvarkytojai.

27. VSSIS duomenų saugą reglamentuoja Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Lietuvos standartai LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinės sistemos duomenų tvarkymą, VSSIS valdytojo tvirtinami VSSIS duomenų saugos nuostatai, kurie kartu su VSSIS valdytojo tvirtinamais VSSIS veiklos tęstinumo valdymo planu, Saugaus elektroninės informacijos tvarkymo taisyklėmis, Rizikos ataskaita, detaliomis instrukcijomis ir procedūrų aprašymais bei su VSSIS naudotojų administravimo taisyklėmis apibrėžia VSSIS saugos politiką.

28. VSSIS naudotojai privalo saugoti asmens duomenis. Šie asmenys privalo pasirašyti pasižadėjimus, kad saugos asmens duomenis ir nepažeis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo. Pasižadėjimų originalus VSSIS tvarkytojai perduoda VSSIS valdytojui.

29. VSSIS finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų teisės aktais nustatytų finansavimo šaltinių.

30. VSSIS reorganizuojama ir likviduojama įstatymų ir kitų teisės aktų nustatyta tvarka. Sprendimą dėl VSSIS reorganizavimo ar likvidavimo priima VVSPT.

31. Likviduojant VSSIS, jos duomenys perduodami kitai informacinei sistemai, kuri steigiama vietoj likviduojamos, arba sunaikinami ar perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka ir sąlygomis.

1. Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotai tvarkyti VSSIS duomenis, išsaugant informacijos konfidencialumą, vientisumą ir prieinamumą.

2. VSSIS duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas į VSSIS, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.

3. Saugos nuostatose vartojamos sąvokos:

4. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Nuostatais ir kitais teisės aktais, reglamentuojančiais VSSIS duomenų tvarkymo teisėtumą, VSSIS tvarkytojų veiklą ir VSSIS duomenų saugos valdymą.

5. Saugos nuostatai apibrėžia VSSIS saugos politiką (toliau – saugos politika), kurią įgyvendina valdytojo tvirtinami VSSIS veiklos tęstinumo valdymo planas, Saugaus elektroninės informacijos tvarkymo taisyklės, VSSIS naudotojų administravimo taisyklės, Rizikos ataskaita, detalios instrukcijos ir procedūrų aprašymai.

6. Saugų VSSIS duomenų tvarkymą reglamentuoja:

7. Už VSSIS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo pagal kompetenciją atsako VSSIS valdytojas ir VSSIS naudotojai. VSSIS naudotojas atsako tik už duomenų, kurie jam prieinami naudojant VSSIS, tvarkymo teisėtumą ir duomenų saugą.

8. Tvarkyti VSSIS duomenis gali tik VSSIS naudotojai, susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

9. Už saugos politikos įgyvendinimą ir kontrolę atsako Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) direktoriaus skiriamas saugos įgaliotinis.

10. Saugos įgaliotinis:

11. Administratorius atlieka funkcijas, susijusias su VSSIS naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, VSSIS sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimo aptikimo sistemomis, duomenų perdavimo tinklais), VSSIS sudarančių komponentų sąranka, VSSIS pažeidžiamų vietų nustatymu, atitikties saugumo reikalavimams nustatymu.

12. Pagrindinės VSSIS rizikos mažinimo priemonės išdėstomos Rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus ir kitus, galinčius turėti įtakos informacijos saugai, rizikos veiksnius. Rizikos ataskaitą tvirtina VVSPT direktorius.

13. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, VSSIS priskiriama trečiajai informacinės sistemos kategorijai.

14. VSSIS rizikos veiksnių vertinimas vykdomas ir rizikos ataskaita peržiūrima:

15. Už rizikos vertinimą atsakingas saugos įgaliotinis.

16. VSSIS darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine veikla ir funkcijomis, taip pat draudžiamas rinkmenų apsikeitimo programų naudojimas.

17. Prieigai prie VSSIS duomenų bazės suteikiami naudotojų ir VSSIS administratoriaus registracijos vardai ir slaptažodžiai.

18. VSSIS veiklos tęstinumo ir funkcionalumo užtikrinimui elektroninė informacija yra periodiškai kopijuojama kas 12 valandų ir saugoma taip, kad avarijos atveju veiklą iš atsarginių kopijų galima būtų atstatyti per 24 valandas. Elektroninių bylų mėnesinės kopijos papildomai turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje.

19. Visuose VSSIS tvarkančiuose kompiuteriuose bei serveriuose privalo būti įdiegta antivirusinė sistema ir apsauga nuo nepageidaujamos programinės įrangos.

20. Konkrečios VSSIS duomenų tvarkymo ir saugumo procedūros išdėstomos saugos įgaliotinio parengtose ir VSSIS valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse:

21. VSSIS naudotojai, vadovaudamiesi saugos politiką įgyvendinančiais teisės aktais, nuolat rūpinasi VSSIS saugumu, o pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamos funkcijos administratoriui, o jo nesant – saugos įgaliotiniui.

22. VSSIS naudotojų veiksmus esant nenumatytai situacijai reglamentuoja VSSIS veiklos tęstinumo valdymo planas, kurį VSSIS valdytojui teikia tvirtinti saugos įgaliotinis.

23. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą VSSIS tvarkymo įstaigose, kurio metu:

24. Atlikęs VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VSSIS valdytojas.

25. Saugos įgaliotinis privalo išmanyti informacijos saugos principus ir sugebėti prižiūrėti saugos politikos įgyvendinimą.

26. Administratorius turi išmanyti darbą su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą; taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.

27. VSSIS naudotojai turi būti supažindinti su duomenų tvarkymą įgyvendinančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.

28. VSSIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

29. Duomenų saugos mokymus ir priminimus apie saugumo problematiką vykdo saugos įgaliotinis, taip pat administratorius.

30. VSSIS naudotojai tvarkyti informacinės sistemos duomenis gali tik susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, ir raštu sutikę laikytis jų reikalavimų (pasirašę konfidencialumo sutartį).

31. VSSIS naudotojai, prieš suteikiant jiems prieigą prie informacijos, turi išklausyti įvadinį mokymą, skirtą supažindinti su saugos politika, saugumo reikalavimais ir teisine atsakomybe.

32. VSSIS naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

33. VSSIS naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

34. Saugos įgaliotinis, siekdamas užtikrinti VSSIS ir joje tvarkomų duomenų saugumą, teikia siūlymus VSSIS valdytojui dėl Saugos nuostatų keitimo ar kitų saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo.

35. Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą.