LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO
ĮSAKYMAS
DĖL UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS IR UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2008 m. sausio 14 d. Nr. V-19
Vilnius
Įgyvendindamas Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatymo (Žin., 1996, Nr. 104-2363; 2001, Nr. 112-4069; 2007, Nr. 64-2454) 3 straipsnį ir vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):
1. Tvirtinu:
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. sausio 14 d. įsakymu
Nr. V-19
UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos (toliau – Informacinė sistema) nuostatai reglamentuoja jos steigimo pagrindą, objektą, tikslus, funkcijas, organizacinę, informacinę ir funkcinę struktūras, kaupiamų duomenų šaltinius, tvarkymą ir naudojimą, reikalavimus duomenų saugai, reorganizavimą ir likvidavimą.
2. Informacinė sistema apima dviejų lygmenų (nacionalinio ir teritorinių visuomenės sveikatos centrų bei asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijų) duomenis ir informaciją.
3. Informacinės sistemos paskirtis – kompiuterizuotu būdu realiu laiku tvarkyti ir teikti Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatyme (Žin., 1996, Nr. 104-2363; 2001, Nr. 112-4069) bei šiuose nuostatuose nurodytus duomenis.
5. Informacinės sistemos steigimo pagrindas yra Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatymo 3 straipsnis, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597) 10 straipsnis, Lietuvos Respublikos sveikatos apsaugos ministro 2002 m. gruodžio 24 d. įsakymas Nr. 673 „Dėl privalomojo epidemiologinio registravimo, privalomojo informacijos apie epidemiologinio registravimo objektus turinio ir informacijos privalomojo perdavimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 12-444), Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymas Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972); Lietuvos Respublikos sveikatos apsaugos ministro 2005 vasario 10 d. įsakymas Nr. V-109 „Dėl užkrečiamųjų ligų statistinių ataskaitos ir apskaitos formų patvirtinimo“ (Žin., 2005, Nr. 24-772), Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gegužės 10 d. įsakymas Nr. V-344 „Dėl užkrečiamųjų ligų, išvardytų Europos Komisijos sprendimuose Nr. 2000/96/EB ir 2003/542EB, atvejų apibrėžimų patvirtinimo“ (Žin., 2004, Nr. 82-2958).
6. Informacinės sistemos laukiamas rezultatas yra sergamumo užkrečiamosiomis ligomis ir užkrečiamųjų ligų sukėlėjų rodiklių stebėsena (monitoringas) šalyje, ankstyvas užkrečiamųjų ligų protrūkių nustatymas, šalies teritorijos apsauga nuo užkrečiamųjų ligų protrūkių išplitimo, sumažinant jų įtaką visuomenės sveikatai ir šalies ekonomikai.
7. Informacinė sistema tvarkoma vadovaujantis:
7.1. Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 58-2061);
7.3. Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2004 m. spalio 15 d. įsakymu Nr. T-131 „Dėl Valstybės informacinių sistemų kūrimo metodinių dokumentų patvirtinimo“ (Žin., 2004, Nr. 155-5679);
II. INFORMACINĖS SISTEMOS STEIGIMO TIKSLAI,
FUNKCIJOS, OBJEKTAI
8. Informacinės sistemos steigimo tikslai:
8.1. sukurti ir įdiegti vieningą, centralizuotą užkrečiamųjų ligų ir jų sukėlėjų pranešimų sistemą, atvirą integruotis į kitas sistemas, dirbančią realiame laike, kuri užtikrintų ankstyvą ligų protrūkių nustatymą, kaupiant asmens duomenis užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinėje sistemoje bei užkirstų kelią šioms ligoms plisti;
8.3. saugiai ir efektyviai automatiniu būdu tvarkyti elektroninę informaciją apie asmenis, susirgusius užkrečiamąja liga ir išskirtus šių ligų sukėlėjus valstybiniu lygiu sveikatos apsaugos tikslais;
8.5. operatyviai, valstybiniu lygiu, valdyti užkrečiamųjų ligų protrūkius, savalaikiai taikant užkrečiamųjų ligų prevencines ir kontrolės priemones bei užkertant kelią plisti ligoms;
8.6. užtikrinti operatyvų grįžtamąjį ryšį tarp visuomenės sveikatos priežiūros įstaigų ir užkrečiamųjų ligų priežiūros ir kontrolės nacionalinio lygmens;
8.7. teikti sergamumo duomenis valstybės institucijoms ir įstaigoms teisės aktų nustatytoms funkcijoms vykdyti;
8.9. suteikti užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinei sistemai galimybę realiu laiku ir minimaliomis sąnaudomis tvarkyti asmens duomenis apie užkrečiamųjų ligų atvejus šalyje;
9. Informacinės sistemos funkcijos:
9.1. registruoti užkrečiamųjų ligų atvejus bei nustatytų užkrečiamųjų ligų sukėlėjų atvejus, tvarkyti jų duomenis ir laikyti archyve;
9.3. teikti Informacinės sistemos duomenų naudotojams informaciją apie Informacinėje sistemoje kaupiamus duomenis šių nuostatų nustatyta tvarka;
9.4. teikti oficialią, apibendrintą sergamumo užkrečiamosiomis ligomis informaciją visuomenei realiu laiku;
III. INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA
11. Informacinės sistemos organizacinę struktūrą sudaro: Informacinės sistemos valdytojas (toliau – Valdytojas), Informacinės sistemos tvarkytojas (toliau – Tvarkytojas), Informacinės sistemos duomenų teikėjai ir duomenų gavėjai.
13. Valdytojas vykdo šias funkcijas:
13.1. koordinuoja Informacinės sistemos tvarkymo įstaigos ir Informacinės sistemos tvarkytojų darbą, teisės aktų nustatyta tvarka atlieka šios įstaigos priežiūrą;
13.2. priima sprendimus dėl Informacinės sistemos techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;
14. Informacinės sistemos tvarkytojas yra Užkrečiamųjų ligų profilaktikos ir kontrolės centras (Kalvarijų g. 153, LT-08221 Vilnius).
15. Tvarkytojas vykdo šias pagrindines funkcijas:
15.1. tvirtina teisės aktus, susijusius su Informacinės sistemos tvarkymu ir Informacinės sistemos duomenų sauga;
15.2. įgyvendina Informacinės sistemos techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;
15.3. užtikrina, kad Informacinė sistema veiktų nepertraukiamai, organizuoja ir koordinuoja arba atlieka Informacinės sistemos techninių programinių priemonių peržiūros ir tobulinimo darbus;
15.6. atlieka duomenų ir kitos informacijos, reikalingos sergamumui užkrečiamosiomis ligomis ir užkrečiamųjų ligų sukėlėjų plitimui stebėti ir sprendimams priimti, poreikių analizę;
15.8. rengia užkrečiamųjų ligų sukėlėjų, išskirtų asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijose, ataskaitų formas;
15.10. teikia apibendrintą informaciją (suminius duomenis, kurie atspindi sergamumą užkrečiamosiomis ligomis šalyje, išskirtų užkrečiamųjų ligų sukėlėjų paplitimą šalyje) visų lygių visuomenės sveikatos priežiūros įstaigoms ir visuomenei;
15.11. Informacinės sistemos duomenų pagrindu rengia ir skelbia tinklalapyje oficialiąsias suvestines (statistines ataskaitas apie sergamumą užkrečiamosiomis ligomis šalyje);
15.12. užtikrina, kad duomenų gavėjai, kuriems perduoti neteisingi, netikslūs, neišsamūs Informacinės sistemos duomenys, būtų informuoti apie ištaisytus netikslumus;
15.13. užtikrina, kad Informacinė sistema būtų tvarkoma, vadovaujantis Užkrečiamųjų ligų ir jų sukėlėjų valstybės Informacinės sistemos nuostatais ir kitais teisės aktais;
17. Duomenų teikėjai vykdo šias pagrindines funkcijas:
17.2. privalo per 3 darbo dienas nuo Informacinės sistemos duomenų pasikeitimo dienos apie tai raštu pranešti Informacinės sistemos tvarkymo įstaigai;
17.3. pateikę rašytinį prašymą turi teisę susipažinti su Informacinėje sistemoje tvarkomais į Informacinę sistemą įrašytais duomenimis;
IV. INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA
19. Informacinės sistemos struktūrą sudaro duomenų bazė ir joje kaupiami asmens duomenys, suminių duomenų mainai tarp Informacinės sistemos ir tuberkuliozės registro, ŽIV-AIDS duomenų bazės.
20. Informacinės sistemos duomenys tvarkomi Informacinės sistemos duomenų bazėje, o saugomi – elektroninių dokumentų saugyklose.
21. Visuomenės sveikatos centrai duomenis apie nustatytas užkrečiamąsias ligas gauna iš gydytojo, turinčio licenciją diagnozuoti jas pagal skubaus pranešimo statistikos apskaitos formą Nr. 058-089-151/a (pranešimas apie nustatytą susirgimą), patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972).
22. Duomenys apie ligonį: asmens kodas, lytis, amžius, gyvenamoji vieta, telefonas, darbovietė, profesija.
23. Datos: kreipimosi į gydymo įstaigą, susirgimo, diagnozės nustatymo, hospitalizavimo, paskutinį kartą buvimo darbe ar ugdymo įstaigoje.
24. Diagnozės duomenys: pirminės diagnozės, diagnozės šifras, išaiškinta profilaktiškai, stacionare, mirus, diagnozė patvirtinta kliniškai, bakteriologiniu tyrimu, endoskopiniu, ultragarsu, rentgeno loginiu, izotopiniu metodu, citologiškai, histologiškai, kt. metodais.
25. Epidemiologiniai duomenys gaunami iš epidemiologinių tyrimo protokolų:
26. Visuomenės sveikatos centrai duomenis apie užkrečiamųjų ligų sukėlėją gauna iš asmens ir visuomenės sveikatos priežiūros įstaigos laboratorijų pagal skubų pranešimą (apskaitos forma Nr. 151-1/a), patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972; 2005, Nr. 13-408; 2007, Nr. 115-4711). Formoje nurodomi duomenys apie asmenį: asmens kodas, diagnozė pagal TLK kodą, gydomas stacionare, ambulatoriškai ar kt.;
26.3. duomenys apie išaugintą užkrečiamųjų ligų sukėlėją: mikroorganizmo gentis, rūšis, fagotipas, biotipas, serotipas, kolicinotipas ir kt.;
V. INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA
29. Infrastruktūra apima techninę ir programinę įrangą, kompiuterinius tinklus ir sudaro procesą valdančių posistemių pamatą:
29.2. infrastruktūriniai servisai, skirti kompiuteriniams tinklams, sistemoje naudojami techninei įrangai, programinei įrangai prižiūrėti ir valdyti;
30. Informacinės sistemos komponentės ir jų atliekamos funkcijos:
30.1. sistemos naudotojų administravimo komponentė, kurios pagrindinės funkcijos – registruoti sistemos naudotojus, jų veiksmus, nustatyti naudotojų prieigos prie sistemos resursų teises įgyvendinant informacijos apsaugos funkcijas;
30.2. informacijos įvedimo į sistemą komponentė, kurios pagrindinės funkcijos – sudaryti sąlygas duomenų teikėjams įvesti informaciją į informacinės sistemos duomenų bazes ir elektroninių dokumentų saugyklą, įkelti reikalingus duomenis iš kitų informacinių sistemų ir integruoti juos į minimoje informacinėje sistemoje esančius duomenis;
30.3. informacijos kontrolės komponentė, kurios pagrindinė funkcija -kad neteisingi ir netikslūs duomenys nebūtų įvedami į sistemos duomenų bazę;
30.4. informacijos platinimo komponentė, kurios pagrindinė funkcija – teikti informaciją duomenų gavėjams;
30.5. informacijos saugojimo komponentė, kurios pagrindinės funkcijos – saugoti į sistemą įvestus duomenis, valdyti sistemos duomenų bazes, archyvuoti duomenis, taip užtikrinant informacinės sistemos nepertraukiamumą;
30.6. informacijos apdorojimo komponentė, kurios pagrindinė funkcija – pertvarkyti ir apdoroti įvedamus ir teikiamus duomenis, sudaryti ataskaitas, dokumentus;
VI. INFORMACINĖS SISTEMOS DUOMENŲ GAVIMAS, TEIKIMAS
31. Informacinės sistemos duomenys teikiami ir gaunami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų teikimą ar gavimą.
32. Norint užtikrinti Informacinės sistemos funkcionavimą, duomenys apie užkrečiamąja liga sergančius žmones gaunami iš visuomenės sveikatos centrų pagal šių Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatų 21–25 punktus.
33. Norint užtikrinti Informacinės sistemos funkcionavimą, duomenys apie nustatytus užkrečiamųjų ligų sukėlėjų atvejus gaunami iš asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijų pagal šių Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatų 26 punktą.
34. Informacinės sistemos suminiai duomenys teikiami:
34.2. valdytojo nustatyta tvarka juridiniams ir fiziniams asmenims, pateikusiems prašymus, kuriuose turi būti nurodytas duomenų naudojimo tikslas;
VII. INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMAS, NAUDOJIMAS IR SAUGA
35. Informacinę sistemos duomenų saugą reguliuoja Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymas Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“ (Žin., 2007, Nr. 53-2070).
36. Informacinėje sistemoje asmens duomenys saugomi duomenų bazėse 3 metus, o asmenų, susirgusių vidurių šiltine, duomenys saugomi 50 metų. Vėliau duomenys yra siunčiami į duomenų bazių archyvus. Duomenų saugojimo terminai ir jų naikinimo tvarka nustatyta Informacinės sistemos tvarkytojo vadovo įsakymais patvirtintose Saugaus darbo su duomenimis taisyklėse ir detaliose darbo su duomenimis instrukcijose bei procedūrų aprašymuose.
37. Informacinės sistemos duomenys turi būti tikslūs ir, jei reikia duomenims tvarkyti, nuolat atnaujinami. Neteisingi, netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.
38. Steigiant ir tvarkant informacinę sistemą, turi būti įgyvendintos duomenų apsaugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos užtikrinti informacinės sistemos duomenų konfidencialumą, prieinamumą teisėtiems naudotojams, vientisumą ir apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų informacinės sistemos duomenų pobūdį.
39. Už informacinės sistemos duomenų tvarkymo teisėtumą, duomenų teikimo teisėtumą, duomenų patikimumą ir duomenų apsaugą atsako valdytojas.
41. Tvarkytojas, duomenų teikėjai ir gavėjai, tvarkydami informacinės sistemos duomenis, privalo juos saugoti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių saugų duomenų tvarkymą ir teikimą, nustatyta tvarka.
42. Duomenų apsauga užtikrinama vadovaujantis:
42.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891);
42.4. Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“;
VIII. INFORMACINĖS SISTEMOS FINANSAVIMAS
IX. INFORMACINĖS SISTEMOS REORGANIZAVIMAS IR PANAIKINIMAS
44. Informacinė sistema reorganizuojama ir panaikinama Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.
45. Panaikinus informacinę sistemą, jos duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.
X. BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. sausio 14 d. įsakymu
Nr. V-19
UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos (toliau – IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato elektroninės informacijos saugumo tikslus, svarbą, informacijos saugumo užtikrinimo prioritetines kryptis, principus ir taisykles, apibrėžiančias saugų IS duomenų tvarkymą automatiniu būdu, ir reglamentuoja automatizuotą IS duomenų apdorojimą. Saugos nuostatai yra privalomi visiems IS duomenų teikėjams, gavėjams ir naudotojams (toliau – IS naudotojas).
2. IS duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas IS, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.
3. Saugos nuostatai yra parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), bei Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).
4. Saugos nuostatai kartu su IS tvarkytojo Užkrečiamųjų ligų profilaktikos ir kontrolės centro (toliau – ULPKC) tvirtinamomis saugaus elektroninės informacijos tvarkymo taisyklėmis, IS veiklos tęstinumo valdymo planu bei IS naudotojų administravimo taisyklėmis apibrėžia IS saugumo politiką (toliau – saugumo politika).
5. Elektroninės informacijos saugumo tikslai, svarba ir esama padėtis:
5.1. užtikrinti saugų IS duomenų tvarkymą ir apdorojimą automatiniu būdu, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597), Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Lietuvos standartais LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibrėžiančiais saugų duomenų tvarkymą;
5.2. ULPKC, kaip IS duomenų tvarkytojo, svarbiausias uždavinys – užtikrinti IS duomenų patikimumą ir saugumą, tinkamą kompiuterinės technikos ir komunikacinės įrangos funkcionavimą, stabilų kompiuterinio vietinio tinklo darbo režimą, saugų darbą interneto tinkle, kompiuterinio ryšio patikimumą elektroniniu būdu priimant ir perduodant duomenis;
5.3. IS duomenų saugą organizuoja ULPKC direktoriaus įsakymu paskirtas asmuo, atsakingas už duomenų saugą;
5.4. ULPKC direktorius įsakymu skiria ULPKC duomenų saugos įgaliotinį (toliau – saugos įgaliotinis), kuris įgyvendina informacijos saugą IS ir atsako už saugos dokumentų reikalavimų vykdymą. Saugos įgaliotinio funkcijos nustatomos ULPKC direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, ULPKC nuostatais bei kitais ULPKC darbo tvarką reglamentuojančiais dokumentais;
5.5. visuomenės sveikatos centruose (toliau – VSC) už duomenų apsaugos priemonių įgyvendinimą atsako VSC direktoriaus įsakymu paskirtas VSC saugos įgaliotinis, kurio funkcijos nustatomos VSC direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei VSC nuostatais ir kitais VSC darbo tvarką reglamentuojančiais dokumentais;
6. IS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys: patalpų, kuriose yra tarnybinės stotys, apsauga, kompiuterinės technikos apsauga, programinės įrangos apsauga, ULPKC ir VSC vidaus tinklo apsauga, atsarginių duomenų kopijų darymas, vartotojų autentifikavimas, apsauga nuo galimų tyčinių ULPKC ir VSC darbuotojų veiksmų, administracinės priemonės.
7. IS valdytoja yra Sveikatos apsaugos ministerijos įgaliota institucija, duomenų tvarkymo įstaiga – ULPKC.
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
9. IS priskirtina trečiai informacinių sistemų kategorijai, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 78-3160).
11. Duomenys iš VSC gaunami pagal Lietuvos Respublikos sveikatos apsaugos ministro 2002 m. gruodžio 24 d. įsakymą Nr. 673 „Dėl privalomojo epidemiologinio registravimo, privalomojo informacijos apie epidemiologinio registravimo objektus turinio ir informacijos privalomojo perdavimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 12-444), Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymą Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972); Lietuvos Respublikos sveikatos apsaugos ministro 2005 m. vasario 10 d. įsakymą Nr. V-109 „Dėl užkrečiamųjų ligų statistinių ataskaitos ir apskaitos formų patvirtinimo“ (Žin., 2005, Nr. 24-772), Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gegužės 10 d. įsakymą Nr. V-344 „Dėl užkrečiamųjų ligų, išvardytų Europos Komisijos sprendimuose Nr. 2000/96/EB ir 2003/542, atvejų apibrėžimų patvirtinimo“ (Žin., 2004, Nr. 82-2958), 1998 m. rugsėjo 24 d. Europos Parlamento ir Tarybos sprendimą Nr. 2119/98/EB „Dėl užkrečiamųjų ligų epidemiologinės priežiūros ir kontrolės tinklo Bendrijoje sukūrimo“, 1999 m. gruodžio 22 d. Europos Komisijos sprendimas Nr. 2000/57/EB „Dėl užkrečiamųjų ligų prevencijai ir kontrolei pagal Europos Parlamento ir Tarybos sprendimą Nr. 2119/98/EB nustatytos skubaus įspėjimo ir reagavimo sistemos“ (OL 2004 m. Specialusis leidimas, 15 skyrius, 5 tomas, p. 26).
12. IS kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami IS nuostatuose.
13. IS saugomi duomenys pagal viešumo kriterijų skirstomi į viešuosius (agreguoti, statistiniai duomenys) ir viešai neskelbtinus (asmens duomenys).
14. Nustatomi du pagrindiniai duomenų apsaugos lygmenys pagal duomenų kategoriją ir galimus jų pažeidimo padarinius:
16. Saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja IS duomenų pažeidimo rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį šios rizikos vertinimą. ULPKC direktoriaus rašytiniu pavedimu IS duomenų pažeidimo rizikos vertinimą gali atlikti pats duomenų saugos įgaliotinis.
17. Atlikus duomenų pažeidimo rizikos vertinimą, parengiama IS duomenų pažeidimo Rizikos vertinimo ataskaita. IS valdytojas prireikus tvirtina IS duomenų pažeidimo Rizikos valdymo priemonių planą, kuriame numatomi techniniai, administraciniai ir kiti ištekliai rizikos valdymo priemonėms įgyvendinti.
III. ORGANIZACINIAI IR TECHNINIAI DUOMENŲ
SAUGOS REIKALAVIMAI
18. IS duomenų apsaugos techninės ir programinės priemonės:
18.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;
18.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID – 10), nuotolinis serverių valdymas ir gedimų diagnozavimas, užtikrinama gedimų prevencija (centrinio duomenų bazės serverio), įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, avariniai generatoriai, sudaromos reikiamos eksploatavimo sąlygos, įrengiama nuolat veikianti techninio aptarnavimo telefono linija bei kt.;
18.5. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:
18.5.4. sukurta atsarginė kopija pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai;
18.5.5. kiekvienos savaitės paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitinė kopija;
18.5.6. kiekvieno mėnesio paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra mėnesinė kopija;
18.5.7. kiekvienų metų paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra metinė kopija;
18.5.8. dokumentų atsargines kopijas turi teisę daryti tik ULPKC Informacinių sistemų eksploatavimo skyriaus specialistas, kurio pareigybės aprašyme numatyta ši funkcija. Jo nesant, jį turi pakeisti kitas šio skyriaus specialistas;
18.5.9. padarius atsargines kopijas, būtina įsitikinti, kad kopija yra kokybiška. Būtina išbandyti kopiją, įrašant duomenis į tam tikslui serveryje sukurtą laikinąjį katalogą. Baigus tikrinimo darbus, laikinąjį katalogą būtina pašalinti iš serverio;
18.5.10. savaitinės atsarginės kopijos magnetinėje laikmenoje saugomos banko seife. Už jų atidavimą saugoti atsako ULPKC Informacinės sistemos eksploatavimo skyriaus specialistas, vykdantis dokumentų kopijavimo funkciją;
18.6. IS naudotojų identifikavimas:
18.6.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo (BIOS) iki programos paleidimo ir prisijungimo prie duomenų bazės;
18.7. apsauga nuo galimų tyčinių ULPKC ir VSC darbuotojų veiksmų:
18.7.1. nustatomi IS naudotojų vaidmenys ir darbuotojams priskiriami konkretūs vaidmenys (darbuotojas gali naudotis tik tomis programomis, kurios padeda vykdyti jam priskirtas funkcijas);
18.7.2. pagrindinės duomenų bazės skirstomos į poaibius ir konkretus IS naudotojas dirba tik su jam priskirtais poaibiais;
18.7.4. IS naudotojo teisės suteikiamos ir sustabdomos pagal įstaigos, kurioje dirba naudotojas, vadovo įsakymą;
18.8. nešiojamieji kompiuteriai, jei jie yra prijungti prie IS, negali būti išnešami iš įstaigos, kuriai priskirta IS naudotojo darbo vieta, patalpų; jei būtina kompiuterį išnešti iš minėtų patalpų, įstaigų, išvardytų Saugos nuostatų 7 punkte, vadovai raštiškai patvirtina IS naudotojo asmeninę atsakomybę už duomenų saugą, nurodydami laikotarpį, kuriam kompiuteris išnešamas.
19. IS duomenų apsaugos administracinės priemonės:
19.1. veiksmai, užtikrinantys duomenų apsaugą, nustatomi pareigybių aprašymuose, tvirtinami ULPKC direktoriaus įsakymais;
19.2. IS naudotojai supažindinami su galiojančiais norminiais aktais, reglamentuojančiais duomenų apsaugą;
19.3. IS naudotojų atsakomybę nustato ULPKC direktoriaus įsakymai, vidaus taisyklės ir darbo sutartys;
20. IS duomenų apsaugos programinės priemonės:
20.1. tarnybinėse stotyse bei darbo vietose naudojama tik licencijuota programinė įranga (nuolat atnaujinama);
20.3. tarnybinėse stotyse bei darbo vietose naudojama antivirusinė programinė įranga, kuri nuolat atnaujinama;
20.4. darbo vietose, kuriose dirbama su IS, neturi būti naudojamos programos ir dokumentai, nesusiję su įstaigos funkcijomis ar IS naudotojo funkcijomis;
21. Už IS saugumo politikos įgyvendinimą ir kontrolę atsako Informacinės sistemos saugos įgaliotinis.
22. IS duomenų tvarkymo ir saugumo procedūros turi būti aprašytos saugos įgaliotinio parengtose, vadovaujantis Saugos dokumentų turinio gairėmis, ir ULPKC direktoriaus patvirtintose detaliose IS saugaus elektroninės informacijos tvarkymo taisyklėse.
23. Saugos įgaliotinis teikia siūlymus už duomenų saugą atsakingam ULPKC Informacinės sistemos skyriaus vedėjui dėl IS posistemių ar funkcijų administratorių (toliau – administratorius), atsiskaitančių už paskirtų funkcijų vykdymą tiesiogiai saugos įgaliotiniui, skyrimo. IS administratorius turi gebėti dirbti su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą, taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.
24. IS naudotojai turi būti supažindinti su duomenų tvarkymą reglamentuojančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.
25. IS naudotojai, vadovaudamiesi IS saugumo politiką reglamentuojančiais teisės aktais, nuolat rūpinasi IS duomenų saugumu, o pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, išsiaiškinę, kurios duomenų saugos užtikrinimo priemonės yra neveiksmingos, privalo nedelsdami apie tai pranešti už duomenų saugą atsakingam Informacinės sistemos skyriaus vedėjui arba saugos įgaliotiniui.
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
26. Konkrečios IS duomenų pažeidimo rizikos valdymo priemonės aprašomos IS duomenų pažeidimo rizikos valdymo veiksmų plane, kurį tvirtinta ULPKC direktorius.
27. Galimi vidiniai ir išoriniai IS duomenų pažeidimo rizikos veiksniai yra šie:
27.1. netyčiniai subjektyvūs veiksniai – duomenų tvarkymo klaidos, technikos gedimai, kompiuterių virusai ir kt.;
27.2. tyčiniai subjektyvūs veiksniai – neteisėtas įsibrovimas į sistemą iš išorės, vidaus darbo taisyklių bei kitų teisės aktų nustatytų duomenų tvarkymo pažeidimai, kompiuterių ar duomenų vagystė ir kt.;
28. Galimi vidinio ir išorinio duomenų pažeidimo padariniai:
28.1. netyčinių subjektyvių veiksnių padariniai – netikslūs duomenys, prarandama dalis informacijos, sugadinama operacinė sistema, negalima vykdyti kai kurių veiklos funkcijų ir kt.;
28.2. tyčinių subjektyvių veiksnių padariniai – kompiuterinės sistemos darbo sutrikimai nuo funkcionalumo sumažėjimo iki visiško gedimo, duomenys gali patekti neturintiems į juos teisių asmenims ir kt.;
29. Duomenų pažeidimo rizikos veiksniai turi būti valdomi, todėl numatomi šie galimų pažeidimų valdymo procesai:
29.1. duomenų pažeidimo rizikos analizė, rizikos šaltinio nustatymas, galimo rizikos masto apskaičiavimas;
29.3. pasirengimas galimiems duomenų pažeidimams, numatant duomenų apsaugos priemones, kurios sumažintų duomenų pažeidimo tikimybę ir padėtų likviduoti tokių pažeidimų pasekmes;
30. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę bei siekdamas įvertinti galimą rizikos veiksnių įtaką IS sistemai, ne rečiau kaip vieną kartą per metus organizuoja IS saugumo vertinimą, kurio metu:
30.1. įvertinama realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;
30.4. patikrinama IS duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;
30.5. įvertinamas IS administratoriaus pasiruošimas atkurti sistemos veikimą įvykus nenumatytoms situacijoms;
V. REIKALAVIMAI PERSONALUI
32. IS saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais bei kitais dokumentais, ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
33. IS administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
34. IS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti IS duomenis IS nuostatų nustatyta tvarka ir būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.
35. IS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti IS saugos įgaliotiniui ir/arba IS administratoriui.
36. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, IS saugos įgaliotinių, IS administratorių, IS naudotojų veiksmus reglamentuoja IS veiklos tęstinumo valdymo planas.
VI. IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
38. Už IS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako IS valdytojas ir IS naudotojai. IS naudotojas atsako tik už jam prieinamų IS duomenų tvarkymo teisėtumą ir duomenų saugą.
39. Tvarkyti IS duomenis gali tik IS naudotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.
40. Saugos įgaliotinis pasirašytinai supažindina IS naudotojus su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.
41. IS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimamiems darbuotojams ir pan.).
VII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA
43. Saugos įgaliotinis, siekdamas užtikrinti IS duomenų saugumą, teikia siūlymus už duomenų saugą atsakingam Informacinės sistemos skyriaus vedėjui dėl Saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
VIII. BAIGIAMOSIOS NUOSTATOS
45. IS naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja IS duomenų tvarkymą ir saugą.
46. Duomenys apie IS naudotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko IS administratoriai, vadovaudamiesi įstatymais ir kitais teisės aktais.
47. ULPKC ir VSC privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti IS duomenų saugą.
48. Saugos nuostatuose aprašytos ULPKC ir VSC funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.