VALSTYBINĖS LIGONIŲ KASOS
PRIE SVEIKATOS APSAUGOS MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS 2008 M. BALANDŽIO 1 D. ĮSAKYMO NR. 1K-50 „DĖL LIETUVOS RESPUBLIKOS DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2024 m. rugsėjo 18 d. Nr. 1K-274
Vilnius
1. Pakeičiu Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatus, patvirtintus Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. balandžio 1 d. įsakymu Nr. 1K-50 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatų patvirtinimo“:
1.1. Pakeičiu 2 punktą ir jį išdėstau taip:
„2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrieji elektroninės informacijos saugos reikalavimai), bei kituose teisės aktuose vartojamas sąvokas.“
1.2. Pakeičiu 5 punktą ir jį išdėstau taip:
„5. Saugos nuostatų reikalavimai taikomi Draudžiamųjų registro valdytojui, Draudžiamųjų registro tvarkytojams, asmeniui, atsakingam už kibernetinio saugumo Valstybinėje ligonių kasoje prie Sveikatos apsaugos ministerijos (toliau – VLK) organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas), Draudžiamųjų registro saugos įgaliotiniui, administratoriams ir naudotojams.“
1.3. Pakeičiu 6 punktą ir jį išdėstau taip:
1.4. Pakeičiu 14 punktą ir jį išdėstau taip:
„14. Draudžiamųjų registro saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems Draudžiamųjų registro valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti. Draudžiamųjų registro saugos įgaliotinis negali vykdyti administratoriaus funkcijų.“
1.5. Pakeičiu 15 punktą ir jį išdėstau taip:
„15. Kibernetinio saugumo vadovas vykdo šias funkcijas:
15.1. koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;
1.6. Pakeičiu 19 punktą ir jį išdėstau taip:
„19. Draudžiamųjų registro duomenų sauga užtikrinama vadovaujantis:
19.7. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
19.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
19.9. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
19.10. Valstybinės ligonių kasos ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, patvirtintu VLK direktoriaus 2017 m. kovo 9 d. įsakymu Nr. 1K-52 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo patvirtinimo“;
19.11. Lietuvos standartais LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
1.7. Pakeičiu 20 punktą ir jį išdėstau taip:
1.8. Pakeičiu 21 punktą ir jį išdėstau taip:
1.10. Pakeičiu 23 punktą ir jį išdėstau taip:
„23. Draudžiamųjų registro valdytojas kasmet atlieka VLK valdomų informacinių išteklių, taip pat ir Draudžiamųjų registro, saugos rizikos vertinimą, kuris organizuojamas Informacijos saugos rizikos valdymo ir vertinimo tvarkos aprašo, patvirtinto VLK direktoriaus 2021 m. sausio 14 d. įsakymu Nr. 1K-13 „Dėl Informacijos saugos rizikos valdymo ir vertinimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.“
1.12. Pakeičiu 29 punktą ir jį išdėstau taip:
„29. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas Draudžiamųjų registro valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo įkelia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS), vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai).“
1.13. Pakeičiu 31 punktą ir jį išdėstau taip:
„31. Patvirtintų Draudžiamųjų registro duomenų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas Draudžiamųjų registro valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo įkelia į ARSIS, vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais.“
1.14. Pakeičiu 32 punktą ir jį išdėstau taip:
„32. Programinės įrangos, skirtos apsaugoti Draudžiamųjų registrą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
32.1. tarnybinėse stotyse ir visuose kompiuterinėse darbo vietose, kuriose naudojamasi Draudžiamųjų registru, privalo būti įdiegta programinė įranga, skirta apsaugoti šį registrą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);
32.2. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų (angl. spam) ir nepageidaujamo turinio elektroninių laiškų;
32.3. duomenų apsaugai naudojama programinė įranga turi būti centralizuotai valdoma ir atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos;
32.4. duomenų apsaugai naudojamos programinės įrangos nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas;