Suvestinė redakcija nuo 2009-06-24 iki 2014-06-06
Įsakymas paskelbtas: Žin. 2007, Nr. 100-4103, i. k. 10722LKISAK001K-145
VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIUS
Į S A K Y M A S
DĖL PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. rugsėjo 18 d. Nr. 1K-145
Vilnius
Įgyvendindamas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktą ir vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu Privalomojo sveikatos draudimo informacinės sistemos „SVEIDRA“ (toliau – SVEIDRA) duomenų saugos nuostatus (pridedama).
PATVIRTINTA
Valstybinės ligonių kasos prie Sveikatos
apsaugos ministerijos direktoriaus
2007 m. rugsėjo 18 d.
įsakymu Nr. 1K-145
(2009 m. birželio 16 d.
įsakymo Nr. 1K-96 redakcija)
PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – SVEIDRA) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja SVEIDROS duomenų saugos politiką.
2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos 2008 m. lapkričio 12 d. direktoriaus įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006 vartojamas sąvokas.
3. SVEIDROS duomenų saugos tikslas – užtikrinti SVEIDROS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. SVEIDROS duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.
4. SVEIDROS duomenų saugos užtikrinimo prioritetinės kryptys:
5. SVEIDROS valdytoja yra Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, Kalvarijų g. 147 (toliau – VLK), duomenų tvarkytojai – VLK ir teritorinės ligonių kasos (toliau – TLK).
6. Saugos nuostatai taikomi:
6.1. SVEIDROS tvarkytojui – VLK, kuri:
6.1.1. priima sprendimą dėl SVEIDROS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;
6.1.2. rengia ir tvirtina teisės aktus, susijusius su SVEIDROS duomenų tvarkymu ir duomenų sauga, ir prižiūri, kaip jų laikomasi;
6.1.6. užtikrina nepertraukiamą SVEIDROS veikimą ir duomenų, esančių SVEIDROS duomenų bazėse, saugą;
6.1.7. VLK ir duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia automatiniu būdu SVEIDROS duomenis duomenų gavėjams bei užtikrina teikiamų duomenų saugą;
6.2. TLK: Vilniaus TLK – Ž. Liauksmino g. 6, Vilnius, ir Naujoji g. 48 (III a.), Alytus, Kauno TLK – Aukštaičių g.10, Kaunas, ir P. Kriaučiūno g. 2, Marijampolė, Klaipėdos TLK – Pievų Tako g. 38, Klaipėda, ir Prezidento g. 7, Tauragė, Panevėžio TLK – Respublikos g. 66, Panevėžys, ir Aušros g. 80, 28181 Utena, Šiaulių TLK – Vilniaus g. 273, 76332 Šiauliai, ir Prezidento g. 7, Tauragė, elektroniniu būdu tvarkančioms SVEIDROS duomenis, kurios:
6.2.2. rengia ir tvirtina teisės aktus, susijusius su SVEIDROS duomenų tvarkymu ir duomenų sauga TLK, ir prižiūri, kaip jų laikomasi;
6.3. Lietuvos Respublikos sveikatos apsaugos ministerijai – Vilniaus g. 33, Vilnius, Valstybinei vaistų kontrolės tarnybai prie Sveikatos apsaugos ministerijos – Trakų g. 9/1, Vilnius, Farmacijos departamentui prie Sveikatos apsaugos ministerijos – Vingrių g. 6A, Vilnius, Lietuvos Respublikos odontologų rūmams – K. Sirvydo g. 6, Vilnius, Valstybinei akreditavimo tarnybai prie Sveikatos apsaugos ministerijos – Žalgirio g. 92, Vilnius, bei ortopedijos priemonių tiekimo įmonėms, sudariusioms sutartis su VLK dėl šių priemonių tiekimo, elektroniniu būdu tvarkančioms SVEIDROS duomenis, kurios:
6.3.1. užtikrina SVEIDROS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių duomenų saugą, diegimą ir priežiūrą;
7. Saugos nuostatai apibrėžia SVEIDROS saugumo politiką. SVEIDROS valdytojas privalo parengti ir patvirtinti saugumo politiką įgyvendinamuosius dokumentus: SVEIDROS saugaus elektroninės informacijos tvarkymo taisykles, SVEIDROS asmens duomenų tvarkymo taisykles, SVEIDROS veiklos tęstinumo valdymo planą bei SVEIDROS naudotojų administravimo taisykles.
8. SVEIDROS duomenų saugą organizuoja VLK SVEIDROS saugos įgaliotinis, VLK direktoriaus įsakymu paskirtas atsakingu už duomenų saugą; VLK saugos įgaliotinio funkcijos nustatomos VLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei VLK nuostatais ir kitais VLK darbo tvarką reglamentuojančiais dokumentais.
9. TLK už duomenų saugos priemonių įgyvendinimą atsako TLK direktoriaus įsakymu paskirtas TLK saugos įgaliotinis. TLK saugos įgaliotinio funkcijos nustatomos TLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei TLK nuostatais ir kitais TLK darbo tvarką reglamentuojančiais dokumentais.
10. VLK saugos įgaliotinis organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą ir atlieka kitas funkcijas:
10.3. teikia VLK Informacinių technologijų departamento (toliau – Departamento) direktoriui siūlymus dėl:
10.3.1. saugos nuostatų bei saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;
11. TLK saugos įgaliotiniai organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą TLK ir atlieka kitas funkcijas:
11.1. teikia VLK saugos įgaliotiniui siūlymus dėl:
11.1.1. saugos nuostatų bei saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;
11.1.4. teikia informaciją, susijusią su SVEIDROS duomenų sauga TLK, VLK saugos įgaliotiniui, jam paprašius;
12. SVEIDROS administratorius:
12.1. atsako už SVEIDROS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, SVEIDROS funkcionavimo užtikrinimą, SVEIDROS TLK administratorių ir atsakingų už SVEIDROS duomenų tvarkymą asmenų registravimą ir prisijungimo vardų skyrimą, prieigos prie SVEIDROS infrastruktūros išteklių teisių nustatymą;
12.2. atsako už priskirtų SVEIDROS komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą, SVEIDROS komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir saugos politiką įgyvendinamųjų dokumentų reikalavimams;
12.3. pagal kompetenciją rengia pasiūlymus dėl SVEIDROS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
12.4. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos VLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;
13. SVEIDROS TLK administratorius:
13.1. atsako už SVEIDROS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą TLK, SVEIDROS funkcionavimo užtikrinimą TLK, SVEIDROS TLK atsakingų už SVEIDROS duomenų tvarkymą asmenų registravimą ir prisijungimo vardų skyrimą, prieigos prie SVEIDROS infrastruktūros išteklių teisių nustatymą;
13.2. atsako už priskirtų SVEIDROS komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą TLK, SVEIDROS TLK komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir Saugos politiką įgyvendinančių dokumentų reikalavimams;
13.3. pagal kompetenciją rengia pasiūlymus dėl SVEIDROS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
13.4. registruoja elektroninės informacijos saugos incidentus TLK, informuoja apie juos TLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;
14. Atlikdami SVEIDROS funkcijų pakeitimus, SVEIDROS administratoriai privalo vadovautis VLK direktoriaus įsakymu tvirtinamos SVEIDROS pokyčių valdymo tvarkos aprašu.
15. SVEIDROS naudotojai:
15.1. vadovaudamiesi Saugos nuostatais, VLK direktoriaus tvirtinamomis Saugaus SVEIDROS elektroninės informacijos tvarkymo taisyklėmis, SVEIDROS naudotojų administravimo taisyklėmis ir pareigybių aprašymais, naudojasi SVEIDRA;
15.2. informuoja VLK ir/ar TLK saugos įgaliotinį, SVEIDROS VLK ir/ar TLK administratorius apie elektroninės informacijos saugos incidentus, SVEIDROS darbo sutrikimus;
16. Teisės aktai, kuriais vadovaujantis tvarkomi SVEIDROS duomenys ir užtikrinama jų sauga:
16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
16.2. Lietuvos Respublikos sveikatos draudimo įstatymas (Žin., 1996, Nr. 55-1287; 2002, Nr. 123-5512);
16.4. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių patvirtinimo“, 3.2.1 bei 3.2.7 punktais (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866), SVEIDRA priskirtina antrai informacinių sistemų kategorijai.
18. SVEIDROS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius SVEIDROS duomenų vientisumui, konfidencialumui ir prieinamumui.
19. SVEIDROJE kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami SVEIDROS nuostatuose.
20. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugojimo priemonėms, atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, SVEIDROS duomenys priskiriami trečiam saugumo lygiui.
21. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 4 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka kasmet organizuojamas SVEIDROS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:
21.1. įvertinama saugos dokumentų ir realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;
21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų SVEIDROS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtas programas ir jų sąranką;
III. ORGANIZACINIAI IR TECHNINIAI DUOMENŲ SAUGOS REIKALAVIMAI
23. SVEIDROS duomenų saugos techninės ir programinės priemonės:
23.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;
23.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID – 10), nuotolinis serverių valdymas ir gedimų diagnozavimas, užtikrinama gedimų prevencija (centrinio duomenų bazės serverio), įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, avariniai generatoriai, sudaromos reikiamos eksploatavimo sąlygos, įrengiama nuolat veikianti techninio aptarnavimo telefono linija bei kt.;
23.4. tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su SVEIDROS duomenų tvarkymu, SVEIDROS naudotojų ir pačios įrangos administravimu;
23.5. SVEIDROS naudotojų darbo vietose privalo veikti programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas tris dienas;
23.6. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:
23.6.4. sukurta atsarginė kopija pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai,
23.6.5. kiekvienos savaitės paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitinė kopija,
23.6.6. kiekvieno mėnesio paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra mėnesinė kopija,
23.6.7. kiekvienų metų paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra metinė kopija,
23.6.8. dokumentų atsargines kopijas turi teisę daryti tik VLK Informacinių sistemų eksploatavimo skyriaus specialistas, kurio pareigybės aprašyme numatyta ši funkcija. Jam nesant, jį turi pakeisti kitas šio skyriaus specialistas,
23.6.9. padarius atsargines kopijas, būtina įsitikinti, kad kopija yra kokybiška. Būtina išbandyti kopiją, įrašant duomenis į tam tikslui serveryje sukurtą laikinąjį katalogą. Baigus tikrinimo darbus, laikinąjį katalogą būtina pašalinti iš serverio,
23.6.10. savaitinės atsarginės kopijos magnetinėje laikmenoje saugomos banko seife. Už jų atidavimą saugoti atsako VLK Informacinės sistemos eksploatavimo skyriaus specialistas, vykdantis dokumentų kopijavimo funkciją,
23.6.11. atsarginės metinės kopijos saugomos Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatyta tvarka. Atsarginės mėnesinės kopijos saugojamos 1 metus nuo jų sukūrimo dienos. Savaitinės kopijos saugomos 1 mėnesį nuo jų sukūrimo dienos,
23.6.12. VLK ir TLK SVEIDROS administratoriai atsako už atsarginių SVEIDROS duomenų kopijų darymą ir saugojimą. SVEIDROS duomenų atsarginės kopijos turi būti daromos automatiškai. Prireikus jas atkurti turi teisę tik SVEIDROS VLK ir/ar TLK administratorius;
23.7. SVEIDROS naudotojų identifikavimas:
23.7.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo (BIOS) iki programos paleidimo ir prisijungimo prie duomenų bazės;
23.7.2. nustatomi specialūs reikalavimai slaptažodžių sistemai (periodinis privalomas slaptažodžių keitimas, slaptažodžio ilgio apribojimai, neleidžiama naudoti senų slaptažodžių);
23.8. apsauga nuo galimų tyčinių VLK ir TLK darbuotojų veiksmų:
23.8.1. nustatomi SVEIDROS naudotojų vaidmenys ir darbuotojams priskiriami konkretūs vaidmenys (darbuotojas gali naudotis tik tomis programomis, kurios padeda vykdyti jam priskirtas funkcijas),
23.8.2. pagrindinės duomenų bazės skirstomos į poaibius ir konkretus SVEIDROS naudotojas dirba tik su jam priskirtais poaibiais,
23.8.4. SVEIDROS naudotojo teisės suteikiamos ir sustabdomos pagal įstaigos, kurioje dirba naudotojas, vadovo įsakymą;
23.9. nešiojamieji kompiuteriai, jei juose yra įdiegta SVEIDROS naudotojo darbo vietos programinė įranga, gali būti išnešami iš įstaigos, kuriai priskirta SVEIDROS naudotojo darbo vieta, patalpų, tik vadovaujantis VLK direktoriaus įsakymu tvirtinamu kompiuterių ir programinės įrangos ir informacinių resursų naudojimo darbo vietose tvarkos aprašu. Šiuo atveju SVEIDROS naudotojas asmeniškai Lietuvos Respublikos teisės aktų nustatyta tvarka atsako už kompiuterio duomenų saugojimo laikmenose esančių SVEIDROS duomenų saugą.
24. SVEIDROS duomenų saugos administracinės priemonės:
24.1. veiksmai, užtikrinantys duomenų saugą, nustatomi pareigybių aprašymuose, tvirtinami VLK direktoriaus įsakymais;
24.2. SVEIDROS naudotojai supažindinami su galiojančiais norminiais aktais, reglamentuojančiais duomenų saugą;
24.3. SVEIDROS naudotojų atsakomybę nustato VLK direktoriaus įsakymai, vidaus taisyklės ir darbo sutartys;
25. SVEIDROS duomenų apsaugos programinės priemonės:
25.1. tarnybinėse stotyse bei darbo vietose naudojama tik licencijuota nuolat atnaujinama programinė įranga;
25.3. tarnybinėse stotyse bei darbo vietose naudojama antivirusinė programinė įranga, kuri nuolat atnaujinama;
25.4. darbo vietose, kuriose dirbama su SVEIDRA, neturi būti naudojamos programos ir dokumentai, nesusiję su įstaigos funkcijomis ar SVEIDROS naudotojo funkcijomis;
26. SVEIDROS programiniai kodai privalo būti apsaugoti nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
27. SVEIDROS naudojamos VLK telekomunikacinio tinklo apsaugos priemonės:
27.3. „statefull“ ugniasienė; tinklo išorinis perimetras apsaugotas interneto prieigos maršrutizatoriumi ir ugniasiene. Išoriniam perimetrui apsaugoti naudojamas statinis 7 lygmens pagal OSI modelį paketų ir „statefull“ (sekantis paketų būsenas) filtravimas;
28. Perduodant SVEIDROS duomenis automatiniu būdu naudojamas TCP/IP protokolas realiame laike (jungties režimu (angl. on-line)) arba elektroniniu paštu, arba asinchroniniu režimu pagal SVEIDROS duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.
29. SVEIDROS duomenys, perduodami ne per SVEIDROS valdytojui priklausančias duomenų perdavimo linijas, šifruojami simetriniu algoritmu.
31. SVEIDROS duomenų tvarkymo ir saugumo procedūros turi būti aprašytos VLK saugos įgaliotinio parengtose, vadovaujantis Saugos dokumentų turinio gairėmis, ir VLK direktoriaus patvirtintose detaliose SVEIDROS saugaus elektroninės informacijos tvarkymo taisyklėse bei SVEIDROS asmens duomenų tvarkymo taisyklėse.
32. VLK Saugos įgaliotinis teikia siūlymus Departamento direktoriui dėl SVEIDROS posistemių ar funkcijų administratorių, atsiskaitančių už paskirtų funkcijų vykdymą tiesiogiai VLK saugos įgaliotiniui, skyrimo.
33. SVEIDROS naudotojai, vadovaudamiesi SVEIDROS saugumo politiką reglamentuojančiais teisės aktais, nuolat rūpinasi SVEIDROS duomenų saugumu, o pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, išsiaiškinę, kurios duomenų saugos užtikrinimo priemonės yra neveiksmingos, privalo nedelsdami apie tai pranešti VLK ir/ar TLK saugos įgaliotiniui.
IV. RIZIKOS ĮVERTINIMAS
34. SVEIDROS duomenų saugos incidentų, įvykusių SVEIDROJE, tyrimo tvarka nustatoma VLK direktoriaus įsakymu tvirtinamame SVEIDROS veiklos tęstinumo valdymo plane.
35. Galimi vidiniai ir išoriniai SVEIDROS duomenų pažeidimo rizikos veiksniai yra šie:
netyčiniai subjektyvūs veiksniai:
35.2. tyčiniai subjektyvūs veiksniai – neteisėtas įsibrovimas į sistemą iš išorės, vidaus darbo taisyklių bei kitų teisės aktų nustatytų duomenų tvarkymo pažeidimai, kompiuterių ar duomenų vagystė ir kt.;
36. Galimi vidinio ir išorinio duomenų pažeidimo padariniai:
36.1. netyčinių subjektyvių veiksnių padariniai – netikslūs duomenys, prarandama dalis informacijos, sugadinama operacinė sistema, negalima vykdyti kai kurių veiklos funkcijų ir kt.
36.2. tyčinių subjektyvių veiksnių padariniai – kompiuterinės sistemos darbo sutrikimai nuo funkcionalumo sumažėjimo iki visiško gedimo, duomenys gali patekti neturintiems į juos teisių asmenims ir kt.;
37. Duomenų pažeidimo rizikos veiksniai turi būti valdomi, todėl numatomi šie galimų pažeidimų valdymo procesai:
37.1. duomenų pažeidimo rizikos analizė, rizikos šaltinio nustatymas, galimo rizikos masto apskaičiavimas;
37.3. pasirengimas galimiems duomenų pažeidimams, numatant duomenų apsaugos priemones, kurios sumažintų duomenų pažeidimo tikimybę ir padėtų likviduoti tokių pažeidimų pasekmes;
38. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet iki spalio 1 dienos organizuoja SVEIDROS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.
39. SVEIDROS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
39.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
39.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis SVEIDROS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
V. REIKALAVIMAI PERSONALUI
41. VLK ir TLK SVEIDROS saugos įgaliotiniai privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
42. VLK ir TLK SVEIDROS administratoriai privalo išmanyti duomenų saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis VLK vidaus ir darbo saugos taisyklėmis.
43. SVEIDROS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti SVEIDROS duomenis SVEIDROS nuostatų nustatyta tvarka ir būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.
44. SVEIDROS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VLK SVEIDROS saugos įgaliotiniui ir/arba TLK SVEIDROS įgaliotiniui.
45. SVEIDROS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimamiems darbuotojams ir pan.).
46. SVEIDROS naudotojų mokymus ne rečiau nei kartą į 3 metus vykdo SVEIDROS saugos įgaliotinis, SVEIDROS administratoriai arba mokymų paslaugų teikėjas, su kuriuo VLK pasirašo paslaugų sutartį.
Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, SVEIDROS saugos įgaliotinių, SVEIDROS administratorių, SVEIDROS naudotojų veiksmus reglamentuoja VLK direktoriaus įsakymu tvirtinamas SVEIDROS veiklos tęstinumo valdymo planas.
VI. SVEIDROS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
47. Už SVEIDROS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako SVEIDROS valdytojas, tvarkytojai ir SVEIDROS naudotojai. SVEIDROS naudotojai atsako tik už jiems prieinamų SVEIDROS duomenų saugą.
48. Tvarkyti SVEIDROS duomenis gali tik SVEIDROS naudotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.
VII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA
50. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atlikus SVEIDROS duomenų saugos rizikos įvertinimą.
VIII. BAIGIAMOSIOS NUOSTATOS
52. SVEIDROS naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja SVEIDROS duomenų tvarkymą ir saugą.
53. Duomenys apie SVEIDROS naudotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko SVEIDROS administratoriai, vadovaujantis įstatymais ir kitais teisės aktais.
54. VLK ir TLK privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti SVEIDROS duomenų saugą.
55. Saugos nuostatuose aprašytos VLK ir TLK funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.
56. SVEIDROS naudotojai, administratoriai, saugos įgaliotiniai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2009 m. birželio 11 d. raštu Nr. 1D-4521
„Dėl Privalomojo sveikatos draudimo informacinės
sistemos „Sveidra“ nuostatų derinimo“
Priedo pakeitimai:
Nr. 1K-96, 2009-06-16, Žin., 2009, Nr. 74-3053 (2009-06-23), i. k. 10922LKISAK0001K-96
Pakeitimai:
1.
Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, Įsakymas
Nr. 1K-96, 2009-06-16, Žin., 2009, Nr. 74-3053 (2009-06-23), i. k. 10922LKISAK0001K-96
Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymo Nr. 1K-145 "Dėl Privalomojo sveikatos draudimo informacinės sistemos "Sveidra" duomenų saugos nuostatų patvirtinimo" pakeitimo