VALSTYBINĖS LIGONIŲ KASOS

PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS

ĮSAKYMAS

 

DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS 2007 M. RUGSĖJO 18 D. ĮSAKYMO NR. 1K-145 „DĖL PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2009 m. birželio 16 d. Nr. 1K-96

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1, 8 ir 15 punktais, pakeičiu Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymą Nr. 1K-145 „Dėl Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenų saugos nuostatų patvirtinimo“ (Žin., 2007, Nr. 100-4103) ir šiuo įsakymu patvirtintus Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenų saugos nuostatus išdėstau nauja redakcija (pridedama).

 

 

 

DIREKTORIUS                                                                                    ALGIS SASNAUSKAS


PATVIRTINTA

Valstybinės ligonių kasos prie Sveikatos

apsaugos ministerijos direktoriaus

2007 m. rugsėjo 18 d.

įsakymu Nr. 1K-145

(2009 m. birželio 16 d.

įsakymo Nr. 1K-96 redakcija)

 

PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – SVEIDRA) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja SVEIDROS duomenų saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos 2008 m. lapkričio 12 d. direktoriaus įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006 vartojamas sąvokas.

3. SVEIDROS duomenų saugos tikslas – užtikrinti SVEIDROS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. SVEIDROS duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

4. SVEIDROS duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. SVEIDROS duomenų tvarkymui naudojamos techninės ir programinės įrangos kontrolė;

4.2. SVEIDROS duomenų tvarkymo kontrolė;

4.3. SVEIDROS naudojimosi duomenimis kontrolė.

5. SVEIDROS valdytoja yra Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, Kalvarijų g. 147 (toliau – VLK), duomenų tvarkytojai – VLK ir teritorinės ligonių kasos (toliau – TLK).

6. Saugos nuostatai taikomi:

6.1. SVEIDROS tvarkytojui – VLK, kuri:

6.1.1. priima sprendimą dėl SVEIDROS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

6.1.2. rengia ir tvirtina teisės aktus, susijusius su SVEIDROS duomenų tvarkymu ir duomenų sauga, ir prižiūri, kaip jų laikomasi;

6.1.3. skiria saugos įgaliotinį;

6.1.4. atlieka SVEIDROS duomenų bazių techninę priežiūrą;

6.1.5. užtikrina SVEIDROS sąveiką su kitomis informacinėmis sistemomis ir registrais;

6.1.6. užtikrina nepertraukiamą SVEIDROS veikimą ir duomenų, esančių SVEIDROS duomenų bazėse, saugą;

6.1.7. VLK ir duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia automatiniu būdu SVEIDROS duomenis duomenų gavėjams bei užtikrina teikiamų duomenų saugą;

6.1.8. atlieka kitas Saugos nuostatų, Saugos reikalavimų, SVEIDROS nuostatų ir kitų teisės aktų nustatytas funkcijas.

6.2. TLK: Vilniaus TLK – Ž. Liauksmino g. 6, Vilnius, ir Naujoji g. 48 (III a.), Alytus, Kauno TLK – Aukštaičių g.10, Kaunas, ir P. Kriaučiūno g. 2, Marijampolė, Klaipėdos TLK – Pievų Tako g. 38, Klaipėda, ir Prezidento g. 7, Tauragė, Panevėžio TLK – Respublikos g. 66, Panevėžys, ir Aušros g. 80, 28181 Utena, Šiaulių TLK – Vilniaus g. 273, 76332 Šiauliai, ir Prezidento g. 7, Tauragė, elektroniniu būdu tvarkančioms SVEIDROS duomenis, kurios:

6.2.1. skiria TLK saugos įgaliotinį;

6.2.2. rengia ir tvirtina teisės aktus, susijusius su SVEIDROS duomenų tvarkymu ir duomenų sauga TLK, ir prižiūri, kaip jų laikomasi;

6.2.3. atlieka SVEIDROS TLK duomenų bazių techninę priežiūrą;

6.2.4. užtikrina nepertraukiamą SVEIDROS TLK duomenų bazių veikimą ir jose esančių duomenų saugą;

6.2.5. atlieka kitas Saugos nuostatų, Saugos reikalavimų, SVEIDROS nuostatų ir kitų teisės aktų nustatytas funkcijas.

6.3. Lietuvos Respublikos sveikatos apsaugos ministerijai – Vilniaus g. 33, Vilnius, Valstybinei vaistų kontrolės tarnybai prie Sveikatos apsaugos ministerijos – Trakų g. 9/1, Vilnius, Farmacijos departamentui prie Sveikatos apsaugos ministerijos – Vingrių g. 6A, Vilnius, Lietuvos Respublikos odontologų rūmams – K. Sirvydo g. 6, Vilnius, Valstybinei akreditavimo tarnybai prie Sveikatos apsaugos ministerijos – Žalgirio g. 92, Vilnius, bei ortopedijos priemonių tiekimo įmonėms, sudariusioms sutartis su VLK dėl šių priemonių tiekimo, elektroniniu būdu tvarkančioms SVEIDROS duomenis, kurios:

6.3.1. užtikrina SVEIDROS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių duomenų saugą, diegimą ir priežiūrą;

6.3.2. atlieka kitas Saugos nuostatų, Saugos reikalavimų, SVEIDROS nuostatų ir kitų teisės aktų nustatytas funkcijas.

7. Saugos nuostatai apibrėžia SVEIDROS saugumo politiką. SVEIDROS valdytojas privalo parengti ir patvirtinti saugumo politiką įgyvendinamuosius dokumentus: SVEIDROS saugaus elektroninės informacijos tvarkymo taisykles, SVEIDROS asmens duomenų tvarkymo taisykles, SVEIDROS veiklos tęstinumo valdymo planą bei SVEIDROS naudotojų administravimo taisykles.

8. SVEIDROS duomenų saugą organizuoja VLK SVEIDROS saugos įgaliotinis, VLK direktoriaus įsakymu paskirtas atsakingu už duomenų saugą; VLK saugos įgaliotinio funkcijos nustatomos VLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei VLK nuostatais ir kitais VLK darbo tvarką reglamentuojančiais dokumentais.

9. TLK už duomenų saugos priemonių įgyvendinimą atsako TLK direktoriaus įsakymu paskirtas TLK saugos įgaliotinis. TLK saugos įgaliotinio funkcijos nustatomos TLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei TLK nuostatais ir kitais TLK darbo tvarką reglamentuojančiais dokumentais.

10. VLK saugos įgaliotinis organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą ir atlieka kitas funkcijas:

10.3. teikia VLK Informacinių technologijų departamento (toliau – Departamento) direktoriui siūlymus dėl:

10.3.1. saugos nuostatų bei saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

10.3.2. SVEIDROS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

10.3.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

10.4. koordinuoja SVEIDROS TLK saugos įgaliotinių darbą;

10.5. teikia SVEIDROS administratoriams privalomus vykdyti nurodymus ir pavedimus;

10.6. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus Departamento direktoriaus nurodymus, susijusius su SVEIDROS sauga.

11. TLK saugos įgaliotiniai organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą TLK ir atlieka kitas funkcijas:

11.1. teikia VLK saugos įgaliotiniui siūlymus dėl:

11.1.1. saugos nuostatų bei saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

11.1.2. SVEIDROS saugos reikalavimų atitikties vertinimo atlikimo TLK;

11.1.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą TLK;

11.1.4. teikia informaciją, susijusią su SVEIDROS duomenų sauga TLK, VLK saugos įgaliotiniui, jam paprašius;

11.1.5. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus VLK saugos įgaliotinio nurodymus, susijusius su SVEIDROS duomenų sauga.

12. SVEIDROS administratorius:

12.1. atsako už SVEIDROS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, SVEIDROS funkcionavimo užtikrinimą, SVEIDROS TLK administratorių ir atsakingų už SVEIDROS duomenų tvarkymą asmenų registravimą ir prisijungimo vardų skyrimą, prieigos prie SVEIDROS infrastruktūros išteklių teisių nustatymą;

12.2. atsako už priskirtų SVEIDROS komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą, SVEIDROS komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir saugos politiką įgyvendinamųjų dokumentų reikalavimams;

12.3. pagal kompetenciją rengia pasiūlymus dėl SVEIDROS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

12.4. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos VLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

12.5. užtikrina SVEIDROS duomenų konfidencialumą ir vientisumą;

12.6. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus Departamento direktoriaus ar VLK saugos įgaliotinio nurodymus, susijusius su SVEIDROS duomenų sauga.

13. SVEIDROS TLK administratorius:

13.1. atsako už SVEIDROS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą TLK, SVEIDROS funkcionavimo užtikrinimą TLK, SVEIDROS TLK atsakingų už SVEIDROS duomenų tvarkymą asmenų registravimą ir prisijungimo vardų skyrimą, prieigos prie SVEIDROS infrastruktūros išteklių teisių nustatymą;

13.2. atsako už priskirtų SVEIDROS komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą TLK, SVEIDROS TLK komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir Saugos politiką įgyvendinančių dokumentų reikalavimams;

13.3. pagal kompetenciją rengia pasiūlymus dėl SVEIDROS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

13.4. registruoja elektroninės informacijos saugos incidentus TLK, informuoja apie juos TLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

13.5. užtikrina SVEIDROS duomenų konfidencialumą ir vientisumą;

13.6. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus TLK direktoriaus ar TLK saugos įgaliotinio nurodymus, susijusius su SVEIDROS duomenų sauga.

14. Atlikdami SVEIDROS funkcijų pakeitimus, SVEIDROS administratoriai privalo vadovautis VLK direktoriaus įsakymu tvirtinamos SVEIDROS pokyčių valdymo tvarkos aprašu.

15. SVEIDROS naudotojai:

15.1. vadovaudamiesi Saugos nuostatais, VLK direktoriaus tvirtinamomis Saugaus SVEIDROS elektroninės informacijos tvarkymo taisyklėmis, SVEIDROS naudotojų administravimo taisyklėmis ir pareigybių aprašymais, naudojasi SVEIDRA;

15.2. informuoja VLK ir/ar TLK saugos įgaliotinį, SVEIDROS VLK ir/ar TLK administratorius apie elektroninės informacijos saugos incidentus, SVEIDROS darbo sutrikimus;

15.3. vykdo kitas Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su SVEIDROS naudojimu ir SVEIDROS duomenų sauga.

16. Teisės aktai, kuriais vadovaujantis tvarkomi SVEIDROS duomenys ir užtikrinama jų sauga:

16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

16.2. Lietuvos Respublikos sveikatos draudimo įstatymas (Žin., 1996, Nr. 55-1287; 2002, Nr. 123-5512);

16.3. šių Saugos nuostatų 2 punkte nurodyti teisės aktai;

16.4. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

16.5. kiti teisės aktai, reglamentuojantys SVEIDROS duomenų tvarkymo teisėtumą, SVEIDROS tvarkytojų veiklą ir SVEIDROS duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

17. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių patvirtinimo“, 3.2.1 bei 3.2.7 punktais (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866), SVEIDRA priskirtina antrai informacinių sistemų kategorijai.

18. SVEIDROS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius SVEIDROS duomenų vientisumui, konfidencialumui ir prieinamumui.

19. SVEIDROJE kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami SVEIDROS nuostatuose.

20. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugojimo priemonėms, atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, SVEIDROS duomenys priskiriami trečiam saugumo lygiui.

21. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 4 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka kasmet organizuojamas SVEIDROS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

21.1. įvertinama saugos dokumentų ir realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;

21.2. inventorizuojama SVEIDROS techninė ir programinė įranga;

21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų SVEIDROS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtas programas ir jų sąranką;

21.4. patikrinama SVEIDROS naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

21.5. įvertinamas pasirengimas užtikrinti SVEIDROS tęstinumą įvykus saugos incidentui.

22. Atlikus SVEIDROS informacinių technologijų saugos atitikties vertinimą, parengiamas VLK direktoriaus įsakymu patvirtinamas pastebėtų trūkumų šalinimo planas, paskiriami atsakingi vykdytojai bei nustatomi įgyvendinimo terminai.

 

III. ORGANIZACINIAI IR TECHNINIAI DUOMENŲ SAUGOS REIKALAVIMAI

 

23. SVEIDROS duomenų saugos techninės ir programinės priemonės:

23.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;

23.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID – 10), nuotolinis serverių valdymas ir gedimų diagnozavimas, užtikrinama gedimų prevencija (centrinio duomenų bazės serverio), įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, avariniai generatoriai, sudaromos reikiamos eksploatavimo sąlygos, įrengiama nuolat veikianti techninio aptarnavimo telefono linija bei kt.;

23.3. turi būti naudojama tik legali programinė įranga;

23.4. tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su SVEIDROS duomenų tvarkymu, SVEIDROS naudotojų ir pačios įrangos administravimu;

23.5. SVEIDROS naudotojų darbo vietose privalo veikti programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas tris dienas;

23.6. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:

23.6.1. duomenų saugumui užtikrinti daromos centrinės duomenų bazės atsarginės duomenų kopijos,

23.6.2. atsarginės kopijos daromos magnetinėse laikmenose – magnetinėse juostose,

23.6.3. atsarginės kopijos magnetinėse juostose daromos reguliariai, kiekvieną darbo dieną,

23.6.4. sukurta atsarginė kopija pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai,

23.6.5. kiekvienos savaitės paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitinė kopija,

23.6.6. kiekvieno mėnesio paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra mėnesinė kopija,

23.6.7. kiekvienų metų paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra metinė kopija,

23.6.8. dokumentų atsargines kopijas turi teisę daryti tik VLK Informacinių sistemų eksploatavimo skyriaus specialistas, kurio pareigybės aprašyme numatyta ši funkcija. Jam nesant, jį turi pakeisti kitas šio skyriaus specialistas,

23.6.9. padarius atsargines kopijas, būtina įsitikinti, kad kopija yra kokybiška. Būtina išbandyti kopiją, įrašant duomenis į tam tikslui serveryje sukurtą laikinąjį katalogą. Baigus tikrinimo darbus, laikinąjį katalogą būtina pašalinti iš serverio,

23.6.10. savaitinės atsarginės kopijos magnetinėje laikmenoje saugomos banko seife. Už jų atidavimą saugoti atsako VLK Informacinės sistemos eksploatavimo skyriaus specialistas, vykdantis dokumentų kopijavimo funkciją,

23.6.11. atsarginės metinės kopijos saugomos Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatyta tvarka. Atsarginės mėnesinės kopijos saugojamos 1 metus nuo jų sukūrimo dienos. Savaitinės kopijos saugomos 1 mėnesį nuo jų sukūrimo dienos,

23.6.12. VLK ir TLK SVEIDROS administratoriai atsako už atsarginių SVEIDROS duomenų kopijų darymą ir saugojimą. SVEIDROS duomenų atsarginės kopijos turi būti daromos automatiškai. Prireikus jas atkurti turi teisę tik SVEIDROS VLK ir/ar TLK administratorius;

23.6.13. Kopijų, iš kurių būtų galima atkurti SVEIDROS duomenis, darymo ir saugojimo tvarka detaliai aprašyta VLK direktoriaus tvirtinamose SVEIDROS saugaus elektroninės informacijos tvarkymo taisyklėse.

23.7. SVEIDROS naudotojų identifikavimas:

23.7.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo (BIOS) iki programos paleidimo ir prisijungimo prie duomenų bazės;

23.7.2. nustatomi specialūs reikalavimai slaptažodžių sistemai (periodinis privalomas slaptažodžių keitimas, slaptažodžio ilgio apribojimai, neleidžiama naudoti senų slaptažodžių);

23.7.3. SVEIDROS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi SVEIDROS naudotojų administravimo posistemėje, kuri detaliai aprašyta VLK direktoriaus tvirtinamose SVEIDROS naudotojų administravimo taisyklėse;

23.8. apsauga nuo galimų tyčinių VLK ir TLK darbuotojų veiksmų:

23.8.1. nustatomi SVEIDROS naudotojų vaidmenys ir darbuotojams priskiriami konkretūs vaidmenys (darbuotojas gali naudotis tik tomis programomis, kurios padeda vykdyti jam priskirtas funkcijas),

23.8.2. pagrindinės duomenų bazės skirstomos į poaibius ir konkretus SVEIDROS naudotojas dirba tik su jam priskirtais poaibiais,

23.8.3. ribojama SVEIDROS naudotojo teisė manipuliuoti duomenimis,

23.8.4. SVEIDROS naudotojo teisės suteikiamos ir sustabdomos pagal įstaigos, kurioje dirba naudotojas, vadovo įsakymą;

23.8.5. visi SVEIDROS naudotojo prisijungimai prie SVEIDROS registruojami SVEIDROS prisijungimo žurnale;

23.9. nešiojamieji kompiuteriai, jei juose yra įdiegta SVEIDROS naudotojo darbo vietos programinė įranga, gali būti išnešami iš įstaigos, kuriai priskirta SVEIDROS naudotojo darbo vieta, patalpų, tik vadovaujantis VLK direktoriaus įsakymu tvirtinamu kompiuterių ir programinės įrangos ir informacinių resursų naudojimo darbo vietose tvarkos aprašu. Šiuo atveju SVEIDROS naudotojas asmeniškai Lietuvos Respublikos teisės aktų nustatyta tvarka atsako už kompiuterio duomenų saugojimo laikmenose esančių SVEIDROS duomenų saugą.

24. SVEIDROS duomenų saugos administracinės priemonės:

24.1. veiksmai, užtikrinantys duomenų saugą, nustatomi pareigybių aprašymuose, tvirtinami VLK direktoriaus įsakymais;

24.2. SVEIDROS naudotojai supažindinami su galiojančiais norminiais aktais, reglamentuojančiais duomenų saugą;

24.3. SVEIDROS naudotojų atsakomybę nustato VLK direktoriaus įsakymai, vidaus taisyklės ir darbo sutartys;

24.4. pasirašomi asmeniniai SVEIDROS naudotojų pasižadėjimai;

24.5. parengiamas SVEIDROS duomenų pažeidimo rizikos valdymo priemonių planas;

24.6. duomenų saugos dokumentai atnaujinami ne rečiau kaip kartą per metus (atlikus SVEIDROS duomenų saugos rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus VLK ar TLK esminiams organizaciniams, sisteminiams ar kitiems pokyčiams).

25. SVEIDROS duomenų apsaugos programinės priemonės:

25.1. tarnybinėse stotyse bei darbo vietose naudojama tik licencijuota nuolat atnaujinama programinė įranga;

25.2. naudojamos užkardos;

25.3. tarnybinėse stotyse bei darbo vietose naudojama antivirusinė programinė įranga, kuri nuolat atnaujinama;

25.4. darbo vietose, kuriose dirbama su SVEIDRA, neturi būti naudojamos programos ir dokumentai, nesusiję su įstaigos funkcijomis ar SVEIDROS naudotojo funkcijomis;

25.5. kitos priemonės.

26. SVEIDROS programiniai kodai privalo būti apsaugoti nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

27. SVEIDROS naudojamos VLK telekomunikacinio tinklo apsaugos priemonės:

27.1. tinklo segmentavimas,

27.2. prieigos kontrolės sąrašai (AC L),

27.3. „statefull“ ugniasienė; tinklo išorinis perimetras apsaugotas interneto prieigos maršrutizatoriumi ir ugniasiene. Išoriniam perimetrui apsaugoti naudojamas statinis 7 lygmens pagal OSI modelį paketų ir „statefull“ (sekantis paketų būsenas) filtravimas;

27.4. tinklo adresų transliavimas (NAT/PAT).

28. Perduodant SVEIDROS duomenis automatiniu būdu naudojamas TCP/IP protokolas realiame laike (jungties režimu (angl. on-line)) arba elektroniniu paštu, arba asinchroniniu režimu pagal SVEIDROS duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.

29. SVEIDROS duomenys, perduodami ne per SVEIDROS valdytojui priklausančias duomenų perdavimo linijas, šifruojami simetriniu algoritmu.

30. Už SVEIDROS saugumo politikos įgyvendinimą ir kontrolę atsako VLK ir TLK saugos įgaliotiniai.

31. SVEIDROS duomenų tvarkymo ir saugumo procedūros turi būti aprašytos VLK saugos įgaliotinio parengtose, vadovaujantis Saugos dokumentų turinio gairėmis, ir VLK direktoriaus patvirtintose detaliose SVEIDROS saugaus elektroninės informacijos tvarkymo taisyklėse bei SVEIDROS asmens duomenų tvarkymo taisyklėse.

32. VLK Saugos įgaliotinis teikia siūlymus Departamento direktoriui dėl SVEIDROS posistemių ar funkcijų administratorių, atsiskaitančių už paskirtų funkcijų vykdymą tiesiogiai VLK saugos įgaliotiniui, skyrimo.

33. SVEIDROS naudotojai, vadovaudamiesi SVEIDROS saugumo politiką reglamentuojančiais teisės aktais, nuolat rūpinasi SVEIDROS duomenų saugumu, o pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, išsiaiškinę, kurios duomenų saugos užtikrinimo priemonės yra neveiksmingos, privalo nedelsdami apie tai pranešti VLK ir/ar TLK saugos įgaliotiniui.

 

IV. RIZIKOS ĮVERTINIMAS

 

34. SVEIDROS duomenų saugos incidentų, įvykusių SVEIDROJE, tyrimo tvarka nustatoma VLK direktoriaus įsakymu tvirtinamame SVEIDROS veiklos tęstinumo valdymo plane.

35. Galimi vidiniai ir išoriniai SVEIDROS duomenų pažeidimo rizikos veiksniai yra šie:

netyčiniai subjektyvūs veiksniai:

35.1. duomenų tvarkymo klaidos, technikos gedimai, kompiuterių virusai ir kt.;

35.2. tyčiniai subjektyvūs veiksniai – neteisėtas įsibrovimas į sistemą iš išorės, vidaus darbo taisyklių bei kitų teisės aktų nustatytų duomenų tvarkymo pažeidimai, kompiuterių ar duomenų vagystė ir kt.;

35.3. nenugalima jėga (žaibas, gaisras, potvynis ar kt.).

36. Galimi vidinio ir išorinio duomenų pažeidimo padariniai:

36.1. netyčinių subjektyvių veiksnių padariniai – netikslūs duomenys, prarandama dalis informacijos, sugadinama operacinė sistema, negalima vykdyti kai kurių veiklos funkcijų ir kt.

36.2. tyčinių subjektyvių veiksnių padariniai – kompiuterinės sistemos darbo sutrikimai nuo funkcionalumo sumažėjimo iki visiško gedimo, duomenys gali patekti neturintiems į juos teisių asmenims ir kt.;

36.3. nenugalimų jėgų padariniai – sugadinama visa techninė kompiuterinė įranga, visiškai sunaikinami duomenys, sugadinamos visos atsarginės kopijos.

37. Duomenų pažeidimo rizikos veiksniai turi būti valdomi, todėl numatomi šie galimų pažeidimų valdymo procesai:

37.1. duomenų pažeidimo rizikos analizė, rizikos šaltinio nustatymas, galimo rizikos masto apskaičiavimas;

37.2. duomenų pažeidimo rizikos įvertinimas;

37.3. pasirengimas galimiems duomenų pažeidimams, numatant duomenų apsaugos priemones, kurios sumažintų duomenų pažeidimo tikimybę ir padėtų likviduoti tokių pažeidimų pasekmes;

37.4. SVEIDROS naudotojų mokymai ir informavimas apie galimus duomenų pažeidimo rizikos veiksnius;

37.5. asmeninės SVEIDROS duomenų tvarkytojų bei naudotojų atsakomybės nustatymas.

38. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet iki spalio 1 dienos organizuoja SVEIDROS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

39. SVEIDROS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

39.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

39.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis SVEIDROS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

39.3. nenugalima jėga (force majeure).

40. VLK direktorius, atsižvelgdamas į SVEIDROS rizikos įvertinimo ataskaitą, prireikus tvirtina saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

 

V. REIKALAVIMAI PERSONALUI

 

41. VLK ir TLK SVEIDROS saugos įgaliotiniai privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

42. VLK ir TLK SVEIDROS administratoriai privalo išmanyti duomenų saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis VLK vidaus ir darbo saugos taisyklėmis.

43. SVEIDROS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti SVEIDROS duomenis SVEIDROS nuostatų nustatyta tvarka ir būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.

44. SVEIDROS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VLK SVEIDROS saugos įgaliotiniui ir/arba TLK SVEIDROS įgaliotiniui.

45. SVEIDROS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimamiems darbuotojams ir pan.).

46. SVEIDROS naudotojų mokymus ne rečiau nei kartą į 3 metus vykdo SVEIDROS saugos įgaliotinis, SVEIDROS administratoriai arba mokymų paslaugų teikėjas, su kuriuo VLK pasirašo paslaugų sutartį.

Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, SVEIDROS saugos įgaliotinių, SVEIDROS administratorių, SVEIDROS naudotojų veiksmus reglamentuoja VLK direktoriaus įsakymu tvirtinamas SVEIDROS veiklos tęstinumo valdymo planas.

 

VI. SVEIDROS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

47. Už SVEIDROS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako SVEIDROS valdytojas, tvarkytojai ir SVEIDROS naudotojai. SVEIDROS naudotojai atsako tik už jiems prieinamų SVEIDROS duomenų saugą.

48. Tvarkyti SVEIDROS duomenis gali tik SVEIDROS naudotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

49. VLK ir TLK Saugos įgaliotiniai pasirašytinai supažindina SVEIDROS naudotojus su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.

 

VII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

50. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atlikus SVEIDROS duomenų saugos rizikos įvertinimą.

51. VLK ir TLK saugos įgaliotiniai informuoja SVEIDROS naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

 

VIII. BAIGIAMOSIOS NUOSTATOS

 

52. SVEIDROS naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja SVEIDROS duomenų tvarkymą ir saugą.

53. Duomenys apie SVEIDROS naudotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko SVEIDROS administratoriai, vadovaujantis įstatymais ir kitais teisės aktais.

54. VLK ir TLK privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti SVEIDROS duomenų saugą.

55. Saugos nuostatuose aprašytos VLK ir TLK funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.

56. SVEIDROS naudotojai, administratoriai, saugos įgaliotiniai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2009 m. birželio 11 d. raštu Nr. 1D-4521

„Dėl Privalomojo sveikatos draudimo informacinės

sistemos „Sveidra“ nuostatų derinimo“

 

_________________