VALSTYBINĖS VISUOMENĖS SVEIKATOS PRIEŽIŪROS TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2008 m. liepos 15 d. Nr. V-54
Vilnius
Įgyvendindamas Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo (Žin., 2002, Nr. 56-2225; 2007, Nr. 64-2455) 15 straipsnio 1 dalies 2 ir 3 punktų, 2 dalies, 3 dalies 1 ir 2 punktų, 44 straipsnio 11 dalies nuostatas ir vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):
1. Tvirtinu pridedamus:
2. Skiriu Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos Komunikacijų skyriaus vyriausiąjį specialistą (informacinėms technologijoms) Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotiniu.
3. Pavedu:
3.1. Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotiniui iki š. m. lapkričio 1 d.:
3.1.1. parengti ir pateikti tvirtinti Informacinės sistemos specifikaciją, Visuomenės sveikatos saugos informacinės sistemos veiklos tęstinumo valdymo planą, Saugaus elektroninės informacijos tvarkymo taisykles, Visuomenės sveikatos saugos informacinės sistemos naudotojų administravimo taisykles, Rizikos ataskaitą, detalias instrukcijas ir procedūrų aprašymus;
PATVIRTINTA
Valstybinės visuomenės sveikatos priežiūros
tarnybos prie Sveikatos apsaugos ministerijos
direktoriaus 2008 m. liepos 15 d. įsakymu
Nr. V-54
VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Visuomenės sveikatos saugos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) paskirtį ir pagrindines funkcijas, jos valdytoją, tvarkytojus, jų teises ir pareigas, VSSIS informacinę ir funkcinę struktūras, VSSIS duomenų tvarkymą ir naudojimą, VSSIS duomenų saugos reikalavimus bei VSSIS reorganizavimą ir likvidavimą.
2. VSSIS – tai Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) ir VVSPT pavaldžių teritorinių visuomenės sveikatos priežiūros įstaigų (toliau – VVSPT pavaldžios įstaigos) teisės aktų nustatytoms visuomenės sveikatos saugos funkcijoms atlikti reikalingos informacijos apdorojimo procesus (duomenų ir dokumentų tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir kt.) atliekanti sistema, kurios pagalba vykdomi mainai tarp VVSPT ir VVSPT pavaldžių įstaigų.
3. VSSIS steigimo pagrindas – Lietuvos nacionalinė visuomenės sveikatos priežiūros 2006–2013 metų strategija ir jos įgyvendinimo priemonių 2006–2008 metų planas, patvirtintas Lietuvos Respublikos Vyriausybės 2001 m. liepos 1 d. nutarimu Nr. 941 (Žin., 2001, Nr. 66-2418; 2006, Nr. 70-2574).
4. Teisės aktai, reglamentuojantys VSSIS veiklos sritį ir kuriais vadovaujantis tvarkoma VSSIS:
4.1. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymas (Žin., 2002, Nr. 56-2225);
4.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
4.4. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061);
4.5. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. spalio 7 d. įsakymas Nr. V-791 „Dėl Ūkinės komercinės veiklos rūšių, kuriomis būtinas leidimas-higienos pasas, sąrašo bei Leidimų-higienos pasų išdavimo taisyklių patvirtinimo“ (Žin., 2007, Nr. 106-4352);
4.6. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2005 m. gruodžio 30 d. įsakymas Nr. V-99 „Dėl Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės tvarkos aprašo patvirtinimo“ (Žin., 2006, Nr. 4-134);
4.7. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2006 m. sausio 25 d. įsakymas Nr. V-8 „Dėl Tiesioginės valstybinės visuomenės sveikatos saugos kontrolės reglamento ir Pavedimo atlikti patikrinimą, Patikrinimo akto, Administracinio teisės pažeidimo protokolo, Nutarimo administracinio teisės pažeidimo byloje formų patvirtinimo ir įgaliojimų suteikimo“ (Žin., 2006, Nr. 12-456).
6. VSSIS tikslai – aprūpinti VVSPT ir VVSPT pavaldžias įstaigas informacija, reikalinga laiku ir kokybiškai vykdyti teisės aktais pavestas visuomenės sveikatos saugos funkcijas.
7. VSSIS pagrindinės funkcijos – kaupti, sisteminti, analizuoti ir saugoti šių Nuostatų 15 punkte nurodytus duomenis; sukurti specializuotus elektroninius duomenų mainus tarp VVSPT ir VVSPT pavaldžių įstaigų.
9. VSSIS asmens duomenų tvarkymo tikslas – identifikuoti asmenį, kurio duomenys tvarkomi VSSIS, kad VVSPT ir VVSPT pavaldžios įstaigos galėtų tinkamai įgyvendinti šių Nuostatų 4 punkte minimų teisės aktų reikalavimus, susijusius su leidimų išdavimu, administracinių poveikio priemonių taikymu ir ne daugiau nei to reikalauja minėtų teisės aktų nuostatos.
II. VSSIS ORGANIZACINĖ STRUKTŪRA
10. VSSIS organizacinė struktūra:
10.2. VSSIS tvarkytojai – VVSPT ir VVSPT pavaldžios įstaigos – Vilniaus visuomenės sveikatos centras, Klaipėdos visuomenės sveikatos centras, Kauno visuomenės sveikatos centras, Šiaulių visuomenės sveikatos centras, Panevėžio visuomenės sveikatos centras, Telšių visuomenės sveikatos centras, Marijampolės visuomenės sveikatos centras, Tauragės visuomenės sveikatos centras, Utenos visuomenės sveikatos centras, Alytaus visuomenės sveikatos centras;
11. VSSIS valdytojo funkcijos:
11.4. analizuoti teisines, technines, technologines, metodologines ir organizacines VSSIS tvarkymo problemas ir pagal savo kompetenciją priimti sprendimus, kurių reikia VSSIS tvarkymui užtikrinti;
11.6. organizuoti VSSIS techninės ir programinės įrangos kūrimo, tobulinimo, diegimo darbus ir metodiškai jiems vadovauti;
11.8. užtikrinti duomenų subjektų teisių, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, įgyvendinimą;
12. VSSIS tvarkytojų funkcijos:
12.1. VSSIS tvarkytojas – VVSPT:
12.1.2. suteikia teises VSSIS naudotojams (VVSPT dirbantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis);
12.2. VSSIS tvarkytojai – VVSPT pavaldžios įstaigos:
12.2.1. tvarko VSSIS duomenis įstatymų, kitų teisės aktų ir Nuostatų nustatyta tvarka (aptarnaujamos apskrities duomenis);
12.2.2. suteikia teises VSSIS naudotojams (įstaigoje dirbantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis);
12.2.4. teikia siūlymus VSSIS valdytojui dėl VSSIS eksploatavimui ir priežiūrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą ir modernizavimą;
12.2.6. užtikrina duomenų subjektų teisių, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, įgyvendinimą;
13. VSSIS naudotojai gali susipažinti su duomenimis ir jais naudotis pagal jiems suteiktą prieigos teisių lygmenį.
14. VSSIS duomenų gavėjai:
14.1. apskrities viršininko administracija, teisės aktų nustatyta tvarka naudojanti Nuostatų 15.1.2, 15.1.4, 15.1.5 punktuose numatytus duomenis;
III. VSSIS INFORMACINĖ STRUKTŪRA
15. VSSIS duomenų bazes sudaro:
15.1. leidimų-higienos pasų duomenų bazė, kurioje kaupiami paraiškų gauti leidimus-higienos pasus, ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymų, leidimų-higienos pasų, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys. Leidimų-higienos pasų duomenų bazėje tvarkomi šie duomenys ir jų elementai:
15.1.1. paraiškos gauti leidimą-higienos pasą duomenys: registracijos numeris, data, ūkinės komercinės veiklos klasė arba poklasis, pavadinimas, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.1.2. Leidimo-higienos paso duomenys: registracijos numeris, išdavimo data, ūkinės komercinės veiklos klasė arba poklasis, galiojimo laikotarpis, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.1.3. Ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos duomenys: registracijos numeris, data, ūkinės komercinės veiklos klasė arba poklasis, išvada, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.1.4. sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys: registracijos numeris, data, teisinis pagrindas, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.1.5. sprendimų sustabdyti leidimų-higienos pasų galiojimą duomenys: registracijos numeris, data, teisinis pagrindas, galiojimo laikotarpis, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.2. maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazė, kurioje kaupiami Maisto tvarkymo subjekto visuomenės sveikatos saugos vertinimo protokolų duomenys. Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazėje tvarkomi šie duomenys ir jų elementai:
15.2.1. paraiškos gauti ekspertizės protokolą duomenys: registracijos numeris, data, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.2.2. Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolo duomenys: registracijos numeris, išdavimo data, išvada, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);
15.3. valstybinės visuomenės sveikatos saugos kontrolės duomenų bazė, kurioje kaupiami pavedimų atlikti valstybinę visuomenės sveikatos saugos kontrolę, patikrinimo aktų, administracinės teisės pažeidimo protokolų ir nutarimų administracinės teisės pažeidimų byloje duomenys. Valstybinės visuomenės sveikatos saugos kontrolės duomenų bazėje tvarkomi šie duomenys ir jų elementai:
15.3.1. pavedimo atlikti patikrinimą duomenys: registracijos numeris, data, asmens, kuriam surašytas pavedimas, vardas, pavardė, pareigos, patikrinimo akto numeris, juridinio asmens duomenys (pavadinimas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, veiklos vykdymo adresas);
15.3.2. patikrinimo akto duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, pavedimo numeris ir data, patikrinimo pradžios ir pabaigos data, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas), verslo liudijimo, jam esant, numeris ir galiojimo laikas;
15.3.3. administracinio teisės pažeidimo protokolo duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, asmens, kuriam surašytas protokolas, vardas, pavardė, pareigos, asmens kodas, kontaktinis adresas, Administracinių teisės pažeidimų kodekso straipsnis (kuriame numatytus administracinio teisės pažeidimo sudėties požymius atitinka veika), protokolą surašiusio asmens vardas, pavardė, pareigos;
15.3.4. nutarimo administracinio teisės pažeidimo byloje duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, asmens, kuriam surašytas nutarimas, vardas, pavardė, pareigos, asmens kodas, kontaktinis adresas, Administracinių teisės pažeidimų kodekso straipsnis (kuriame numatytus administracinio teisės pažeidimo sudėties požymius atitinka veika), nutarimą surašiusio asmens vardas, pavardė, pareigos, skirtos nuobaudos rūšis, dydis;
15.4. licencijuojamos veiklos kontrolės duomenų bazė, kurioje kaupiami pavedimų atlikti licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolę ir patikrinimo aktų duomenys. Licencijuojamos veiklos kontrolės duomenų bazėje tvarkomi šie duomenys ir duomenų elementai:
15.4.1. pavedimo atlikti patikrinimą duomenys: registracijos numeris, data, asmens, kuriam surašytas pavedimas, vardas, pavardė, pareigos, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas), licencijos numeris, licencijos išdavimo data, išvada;
15.5. VSSIS naudotojų kontaktinių duomenų bei duomenų tvarkymo problemų duomenų bazė, kurioje kaupiami VSSIS naudotojų kontaktiniai duomenys (vardas, pavardė, el. pašto adresas, darbovietės pavadinimas, pareigos), skundai ir paklausimai, susiję su VSSIS duomenų tvarkymu;
IV. VSSIS FUNKCINĖ STRUKTŪRA
17. VSSIS sudaro tokios posistemės:
17.1. visuomenės sveikatos saugos posistemė, kurią sudaro šie moduliai:
17.1.1. leidimų-higienos pasų modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su leidimų-higienos pasų išdavimu, analizuoti statistinę informaciją, formuoti ataskaitas;
17.2. valstybinės visuomenės sveikatos saugos kontrolės posistemė, kurią sudaro šie moduliai:
17.2.1. valstybinės visuomenės sveikatos saugos kontrolės modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su valstybinės visuomenės sveikatos saugos kontrolės vykdymu, analizuoti statistinę informaciją, formuoti ataskaitas;
17.3. licencijuojamos veiklos kontrolės posistemė, kurios funkcijos yra tvarkyti duomenis, susijusius su licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolės vykdymu, analizuoti statistinę informaciją, formuoti ataskaitas;
V. VSSIS DUOMENŲ ŠALTINIAI
18. VSSIS duomenų šaltiniai yra juridiniai ir fiziniai asmenys:
18.1. asmenys, kuriems privalomas leidimas-higienos pasas, teikiantys Nuostatų 15.1.1 punkte nurodytą informaciją;
18.2. asmenys, kuriems privalomas maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolas, teikiantys Nuostatų 15.2.1 punkte nurodytą informaciją;
18.3. asmenys, kurių atžvilgiu atliekama valstybinė visuomenės sveikatos saugos kontrolė, teikiantys Nuostatų 15.3.2, 15.3.3, 15.3.4 punktuose nurodytą informaciją;
VI. VSSIS DUOMENŲ TVARKYMAS IR NAUDOJIMAS
19. VSSIS naudotojui, atsižvelgiant į jo funkcijas, nustatomas VSSIS prieigos teisių lygmuo, nustatantis naudojimosi duomenimis apimtį.
20. VSSIS prieigos teisių lygmenys:
21. VSSIS administratorių funkcijos:
23. Duomenys VSSIS duomenų bazėse saugomi tiek, kiek reikalauja duomenų tvarkymo tikslai, tačiau ne ilgiau nei:
23.1. 6 metus leidimų-higienos pasų duomenų bazėje nuo sprendimo išduoti leidimą-higienos pasą priėmimo datos, išskyrus sprendimų atsisakyti išduoti leidimą-higienos pasą duomenis (kartu su paraiškų išduoti leidimą-higienos pasą duomenimis ir ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos duomenimis), kurie saugomi ne ilgiau nei 2 metus nuo sprendimo atsisakyti išduoti leidimą-higienos pasą priėmimo datos;
23.2. 2 metus maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazėje nuo sprendimo išduoti maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolą priėmimo datos;
23.3. 1 metus valstybinės visuomenės sveikatos saugos kontrolės duomenų bazėje nuo patikrinimų akto surašymo datos, išskyrus administracinio teisės pažeidimo protokolo ir nutarimo administracinio teisės pažeidimo byloje duomenis, kurie saugomi 1 metus nuo datos, kai pasibaigė administracinės nuobaudos vykdymas. Nuasmeninti valstybinės visuomenės sveikatos saugos kontrolės duomenų bazės duomenys saugomi ne ilgiau nei 2 metus nuo šiame punkte nurodyto termino pasibaigimo;
24. Pasibaigus duomenų saugojimo duomenų bazėse terminui, VSSIS duomenys yra siunčiami į VSSIS duomenų bazės archyvą, kur saugomi ne ilgiau nei 1 metus. Pasibaigus duomenų saugojimo archyve terminui duomenys yra sunaikinami. VSSIS duomenų naikinimo tvarka nustatoma VSSIS valdytojo tvirtinamose Saugaus darbo su VSSIS duomenimis taisyklėse, detaliose instrukcijose bei procedūrų aprašymuose.
25. Duomenų subjektas, kreipdamasis į VSSIS valdytoją ar tvarkytojus ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu tvarkomi bei kam teikiami. Duomenų subjektas taip pat turi kitas teises, numatytas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme. VVSPT Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka ir terminais privalo pateikti atsakymą duomenų subjektui ir esant pagrindui imtis atitinkamų duomenų subjekto prašomų veiksmų.
VII. DUOMENŲ SAUGA
27. VSSIS duomenų saugą reglamentuoja Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Lietuvos standartai LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinės sistemos duomenų tvarkymą, VSSIS valdytojo tvirtinami VSSIS duomenų saugos nuostatai, kurie kartu su VSSIS valdytojo tvirtinamais VSSIS veiklos tęstinumo valdymo planu, Saugaus elektroninės informacijos tvarkymo taisyklėmis, Rizikos ataskaita, detaliomis instrukcijomis ir procedūrų aprašymais bei su VSSIS naudotojų administravimo taisyklėmis apibrėžia VSSIS saugos politiką.
VIII. VSSIS FINANSAVIMAS
IX. VSSIS REORGANIZAVIMAS IR LIKVIDAVIMAS
30. VSSIS reorganizuojama ir likviduojama įstatymų ir kitų teisės aktų nustatyta tvarka. Sprendimą dėl VSSIS reorganizavimo ar likvidavimo priima VVSPT.
31. Likviduojant VSSIS, jos duomenys perduodami kitai informacinei sistemai, kuri steigiama vietoj likviduojamos, arba sunaikinami ar perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka ir sąlygomis.
SUDERINTA SUDERINTA
Informacinės visuomenės plėtros Valstybinės duomenų
komiteto prie Lietuvos Respublikos apsaugos inspekcijos
Vyriausybės 2008 m. balandžio 2008 m. liepos 1 d.
7 d. raštu Nr. (13)S-394 raštu Nr. 2R-2093(3.33)
SUDERINTA
Lietuvos Respublikos sveikatos
apsaugos ministerijos2008 m.
liepos 9 d. raštu Nr. 10-(11.5-19)-3867
PATVIRTINTA
Valstybinės visuomenės sveikatos priežiūros
tarnybos prie Sveikatos apsaugos ministerijos
direktoriaus 2008 m. liepos 15 d. įsakymu
Nr. V-54
VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotai tvarkyti VSSIS duomenis, išsaugant informacijos konfidencialumą, vientisumą ir prieinamumą.
2. VSSIS duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas į VSSIS, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.
3. Saugos nuostatose vartojamos sąvokos:
3.1. VSSIS naudotojas – VSSIS tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuriam suteikta teisė tvarkyti ir/ar naudotis VSSIS ištekliais jo funkcijoms vykdyti;
4. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Nuostatais ir kitais teisės aktais, reglamentuojančiais VSSIS duomenų tvarkymo teisėtumą, VSSIS tvarkytojų veiklą ir VSSIS duomenų saugos valdymą.
5. Saugos nuostatai apibrėžia VSSIS saugos politiką (toliau – saugos politika), kurią įgyvendina valdytojo tvirtinami VSSIS veiklos tęstinumo valdymo planas, Saugaus elektroninės informacijos tvarkymo taisyklės, VSSIS naudotojų administravimo taisyklės, Rizikos ataskaita, detalios instrukcijos ir procedūrų aprašymai.
6. Saugų VSSIS duomenų tvarkymą reglamentuoja:
6.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
6.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;
6.3. Lietuvos standartas LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“;
6.4. Lietuvos standartas LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
6.5. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
7. Už VSSIS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo pagal kompetenciją atsako VSSIS valdytojas ir VSSIS naudotojai. VSSIS naudotojas atsako tik už duomenų, kurie jam prieinami naudojant VSSIS, tvarkymo teisėtumą ir duomenų saugą.
8. Tvarkyti VSSIS duomenis gali tik VSSIS naudotojai, susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.
9. Už saugos politikos įgyvendinimą ir kontrolę atsako Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) direktoriaus skiriamas saugos įgaliotinis.
10. Saugos įgaliotinis:
10.7. periodiškai inicijuoja VSSIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, atmintinės naujiems darbuotojams ir kt.);
10.8. teikia VSSIS valdytojo vadovui pasiūlymus dėl:
10.9. teikia siūlymus VVSPT direktoriui dėl atskirų VSSIS posistemių ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo;
11. Administratorius atlieka funkcijas, susijusias su VSSIS naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, VSSIS sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimo aptikimo sistemomis, duomenų perdavimo tinklais), VSSIS sudarančių komponentų sąranka, VSSIS pažeidžiamų vietų nustatymu, atitikties saugumo reikalavimams nustatymu.
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Pagrindinės VSSIS rizikos mažinimo priemonės išdėstomos Rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus ir kitus, galinčius turėti įtakos informacijos saugai, rizikos veiksnius. Rizikos ataskaitą tvirtina VVSPT direktorius.
13. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, VSSIS priskiriama trečiajai informacinės sistemos kategorijai.
14. VSSIS rizikos veiksnių vertinimas vykdomas ir rizikos ataskaita peržiūrima:
14.2. pasikeitus VSSIS struktūrai (sistemos pakitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas);
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
16. VSSIS darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine veikla ir funkcijomis, taip pat draudžiamas rinkmenų apsikeitimo programų naudojimas.
17. Prieigai prie VSSIS duomenų bazės suteikiami naudotojų ir VSSIS administratoriaus registracijos vardai ir slaptažodžiai.
18. VSSIS veiklos tęstinumo ir funkcionalumo užtikrinimui elektroninė informacija yra periodiškai kopijuojama kas 12 valandų ir saugoma taip, kad avarijos atveju veiklą iš atsarginių kopijų galima būtų atstatyti per 24 valandas. Elektroninių bylų mėnesinės kopijos papildomai turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje.
19. Visuose VSSIS tvarkančiuose kompiuteriuose bei serveriuose privalo būti įdiegta antivirusinė sistema ir apsauga nuo nepageidaujamos programinės įrangos.
20. Konkrečios VSSIS duomenų tvarkymo ir saugumo procedūros išdėstomos saugos įgaliotinio parengtose ir VSSIS valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse:
20.1. VSSIS esančios informacijos kategorijų sąrašas ir kiekvienai kategorijai priskirtini duomenys;
20.2. techninių ir kitų saugos priemonių aprašymas, apimantis kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos, duomenų perdavimo tinklais saugumo užtikrinimo, patalpų ir aplinkos (įėjimo kontrolė, elektros tiekimas, aplinkos drėgnumas, darbo vietos temperatūra, priešgaisrinė sauga), informacinės sistemos darbo apskaitos ir kitas priemones informacijos saugai užtikrinti;
20.3. VSSIS saugą užtikrinantys reikalavimai, keliami nuomojamų ar perkamų informacinių sistemų funkcionavimui reikalingoms paslaugoms (patalpos, įrangos ir sistemų priežiūra, duomenų perdavimas tinklais ir kitos paslaugos);
20.4. VSSIS ir duomenų vientisumo pažeidimų fiksavimo ir pažeistų duomenų atkūrimo tvarka (naudotojų veiksmų registravimas, atsarginės duomenų kopijos, jų saugojimas, saugojimo kontrolė ir kita);
21. VSSIS naudotojai, vadovaudamiesi saugos politiką įgyvendinančiais teisės aktais, nuolat rūpinasi VSSIS saugumu, o pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamos funkcijos administratoriui, o jo nesant – saugos įgaliotiniui.
22. VSSIS naudotojų veiksmus esant nenumatytai situacijai reglamentuoja VSSIS veiklos tęstinumo valdymo planas, kurį VSSIS valdytojui teikia tvirtinti saugos įgaliotinis.
23. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą VSSIS tvarkymo įstaigose, kurio metu:
23.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai duomenų saugos situacijai;
23.3. tikrinamos ne mažiau kaip 10-yje procentų VSSIS naudotojų kompiuterinių darbo vietų visuose paslaugų kompiuteriuose įdiegtos programos ir jų konfigūracija, ne vėliau kaip prieš 5 darbo dienas raštu apie tai informavus VSSIS naudotoją;
IV. REIKALAVIMAI PERSONALUI
25. Saugos įgaliotinis privalo išmanyti informacijos saugos principus ir sugebėti prižiūrėti saugos politikos įgyvendinimą.
26. Administratorius turi išmanyti darbą su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą; taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.
27. VSSIS naudotojai turi būti supažindinti su duomenų tvarkymą įgyvendinančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.
28. VSSIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
30. VSSIS naudotojai tvarkyti informacinės sistemos duomenis gali tik susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, ir raštu sutikę laikytis jų reikalavimų (pasirašę konfidencialumo sutartį).
31. VSSIS naudotojai, prieš suteikiant jiems prieigą prie informacijos, turi išklausyti įvadinį mokymą, skirtą supažindinti su saugos politika, saugumo reikalavimais ir teisine atsakomybe.
32. VSSIS naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.
VI. BAIGIAMOSIOS NUOSTATOS
34. Saugos įgaliotinis, siekdamas užtikrinti VSSIS ir joje tvarkomų duomenų saugumą, teikia siūlymus VSSIS valdytojui dėl Saugos nuostatų keitimo ar kitų saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo.
SUDERINTA SUDERINTA
Lietuvos Respublikos vidaus Lietuvos Respublikos sveikatos
reikalų ministerijos 2008 m. apsaugos ministerijos 2008 m.
balandžio 10 d. raštu liepos 9 d. raštu
Nr. 1D-2834(13) Nr. 10-(11.5-19)-3867