VALSTYBINĖS LIGONIŲ KASOS

VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIUS

Į S A K Y M A S

DĖL PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2007 m. rugsėjo 18 d. Nr. 1K-145

Vilnius

Įgyvendindamas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktą ir vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

1. Tvirtinu Privalomojo sveikatos draudimo informacinės sistemos „SVEIDRA“ (toliau – SVEIDRA) duomenų saugos nuostatus (pridedama).

2. Neskelbiama.

3. Neskelbiama:

3.1. neskelbiama;

3.2. neskelbiama.

DIREKTORIUS ALGIS SASNAUSKAS

SUDERINTA

Vidaus reikalų ministerijos

2007-09-06 raštu Nr. 1D-6998 (13)

PATVIRTINTA

Valstybinės ligonių kasos prie

Sveikatos apsaugos ministerijos direktoriaus

2007 m. rugsėjo 18 d. įsakymu Nr. 1K-145

PRIVALOMOJO Sveikatos draudimo informacinės sistemos „Sveidra“ DUOMENŲ SAUGOS NUOSTATAI

I. Bendrosios nuostatos

1. Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – SVEIDRA) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato elektroninės informacijos saugumo tikslus, svarbą, informacijos saugumo užtikrinimo prioritetines kryptis, principus ir taisykles, apibrėžiančias saugų SVEIDRA duomenų tvarkymą automatiniu būdu, ir reglamentuoja automatizuotą SVEIDRA duomenų apdorojimą. Saugos nuostatai yra privalomi visiems SVEIDRA duomenų teikėjams, gavėjams ir naudotojams (toliau – SVEIDRA naudotojas).

2. SVEIDRA duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas SVEIDRA, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.

3. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ pakeitimo“ (Žin., 2007, Nr. 49-1891), bei Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“ (Žin., 2007, Nr. 53-2070).

4. Saugos nuostatai kartu su SVEIDRA valdytojos Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) tvirtinamomis saugaus elektroninės informacijos tvarkymo taisyklėmis, SVEIDRA veiklos tęstinumo valdymo planu bei SVEIDRA naudotojų administravimo taisyklėmis apibrėžia SVEIDRA saugumo politiką (toliau – saugumo politika).

5. Elektroninės informacijos saugumo tikslai, svarba ir esama padėtis:

5.1. užtikrinti saugų SVEIDRA duomenų tvarkymą ir apdorojimą automatiniu būdu, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597), Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Lietuvos standartais LST ISO/IEC 17799: 2006, LST ISO/IEC 27001: 2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibrėžiančiais saugų duomenų tvarkymą;

5.2. VLK, kaip SVEIDRA duomenų valdytojos, svarbiausias uždavinys – užtikrinti SVEIDRA duomenų patikimumą ir saugumą, tinkamą kompiuterinės technikos ir komunikacinės įrangos funkcionavimą, stabilų kompiuterinio vietinio tinklo darbo režimą, saugų darbą interneto tinkle, kompiuterinio ryšio patikimumą elektroniniu būdu priimant ir perduodant duomenis;

5.3. SVEIDRA duomenų saugą organizuoja VLK Informacinės sistemos eksploatavimo skyriaus vedėjas, VLK direktoriaus įsakymu paskirtas atsakingu už duomenų saugą;

5.4. Informacinės sistemos eksploatavimo skyriaus vedėjas VLK direktoriaus įsakymu skiria VLK duomenų saugos įgaliotinį (toliau – saugos įgaliotinis), kuris įgyvendina informacijos saugą SVEIDRA sistemoje ir atsako už saugos dokumentų reikalavimų vykdymą. Saugos įgaliotinio funkcijos nustatomos VLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, VLK nuostatais, VLK Informacinės sistemos eksploatavimo skyriaus nuostatais bei kitais VLK darbo tvarką reglamentuojančiais dokumentais;

5.5. teritorinėse ligonių kasose (toliau – TLK) už duomenų apsaugos priemonių įgyvendinimą atsako TLK direktoriaus įsakymu paskirtas TLK saugos įgaliotinis. TLK saugos įgaliotinio funkcijos nustatomos TLK direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei TLK nuostatais ir kitais TLK darbo tvarką reglamentuojančiais dokumentais;

5.6. asmens sveikatos priežiūros įstaigos (toliau – ASPĮ) ir vaistinės pačios nustato duomenų apsaugos priemones ir jas įgyvendina.

6. SVEIDRA elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys: patalpų, kuriose yra tarnybinės stotys, apsauga, kompiuterinės technikos apsauga, programinės įrangos apsauga, VLK ir TLK vidaus tinklo apsauga, atsarginių duomenų kopijų darymas, vartotojų autentifikavimas, apsauga nuo galimų tyčinių VLK ir TLK darbuotojų veiksmų, administracinės priemonės.

7. SVEIDRA valdytoja yra VLK, duomenų tvarkymo įstaigos – VLK, TLK ir ASPĮ, išvardytos Lietuvos Respublikos sveikatos apsaugos ministerijos 1997 m. rugsėjo 1 d. įsakyme Nr. 455 „Dėl įstaigų pavaldumo sąrašų“ (Žin., 1997, Nr. 81-2047), bei vaistinės, sudariusios sutartis su TLK.

8. SVEIDRA duomenys tvarkomi ir apdorojami, vadovaujantis Lietuvos Respublikos įstatymais, kitais teisės aktais, reglamentuojančiais duomenų tvarkymą, saugojimą bei mainus.

II. Elektroninės informacijos saugos valdymas

9. SVEIDRA priskirtina antrai informacinių sistemų kategorijai, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ patvirtintų Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių 3.2.1 bei 3.2.6 punktais (Žin., 2007, Nr. 78-3160).

10. Duomenis į SVEIDRA duomenų bazę pagal pirminius dokumentus teikia ASPĮ, vaistinės arba TLK, kaip numatyta TLK sutartyse su ASPĮ ir vaistinėmis.

11. Duomenys iš Lietuvos Respublikos gyventojų registro gaunami pagal sutartį su Valstybinio gyventojų registro valdytoju ir naudojami tik VLK kaupiamiems asmens duomenims patikrinti.

12. Duomenys iš Valstybinio socialinio draudimo fondo valdybos, Valstybinės mokesčių inspekcijos, Lietuvos darbo biržos bei kitų institucijų informacinių sistemų gaunami pagal sutartis su šių informacinių sistemų valdytojais.

13. Duomenys Valstybinio socialinio draudimo fondo valdybos, Valstybinės mokesčių inspekcijos, Lietuvos darbo biržos bei kitų institucijų informacinėms sistemoms teikiami pagal sutartis su šių informacinių sistemų valdytojais.

14. SVEIDRA kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami SVEIDRA nuostatuose.

15. SVEIDRA saugomi duomenys pagal viešumo kriterijų skirstomi į viešuosius (agreguoti, statistiniai duomenys) ir viešai neskelbtinus (asmens duomenys).

16. Nustatomi du pagrindiniai duomenų apsaugos lygmenys pagal duomenų kategoriją ir galimus jų pažeidimo padarinius:

16.1. aukštas, kuris taikomas VLK centrinės duomenų bazės bei TLK duomenų bazių apsaugai;

16.2. žemas, kuris taikomas atskirų darbo vietų kompiuteriuose sukauptų duomenų apsaugai.

17. Atsakingu už SVEIDRA duomenų pažeidimo rizikos įvertinimą atsakingas Informacinės sistemos eksploatavimo skyriaus vedėjas bei VLK saugos įgaliotinis.

18. Saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja SVEIDRA duomenų pažeidimo rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį šios rizikos vertinimą. VLK direktoriaus rašytiniu pavedimu SVEIDRA duomenų pažeidimo rizikos vertinimą gali atlikti pats duomenų saugos įgaliotinis.

19. Atlikus duomenų pažeidimo rizikos vertinimą, parengiama SVEIDRA duomenų pažeidimo rizikos vertinimo ataskaita.

20. Atsižvelgdama į SVEIDRA duomenų pažeidimo rizikos vertinimo ataskaitą, VLK, kaip SVEIDRA valdytoja, prireikus tvirtina SVEIDRA duomenų pažeidimo rizikos valdymo priemonių planą, kuriame numatomi techniniai, administraciniai ir kiti ištekliai rizikos valdymo priemonėms įgyvendinti.

III. Organizaciniai ir techniniai duomenų saugos reikalavimai

21. SVEIDRA duomenų apsaugos techninės ir programinės priemonės:

21.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;

21.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID – 10), nuotolinis serverių valdymas ir gedimų diagnozavimas, užtikrinama gedimų prevencija (centrinio duomenų bazės serverio), įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, avariniai generatoriai, sudaromos reikiamos eksploatavimo sąlygos, įrengiama nuolat veikianti techninio aptarnavimo telefono linija bei kt.;

21.3. programinės įrangos apsauga;

21.4. VLK ir TLK vidaus tinklo apsauga;

21.5. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:

21.5.1. duomenų saugumui užtikrinti daromos centrinės duomenų bazės atsarginės duomenų kopijos,

21.5.2. atsarginės kopijos daromos magnetinėse laikmenose – magnetinėse juostose,

21.5.3. atsarginės kopijos magnetinėse juostose daromos reguliariai, kiekvieną darbo dieną,

21.5.4. sukurta atsarginė kopija pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai,

21.5.5. kiekvienos savaitės paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitinė kopija,

21.5.6. kiekvieno mėnesio paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra mėnesinė kopija,

21.5.7. kiekvienų metų paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra metinė kopija,

21.5.8. dokumentų atsargines kopijas turi teisę daryti tik VLK Informacinių sistemų eksploatavimo skyriaus specialistas, kurio pareigybės aprašyme numatyta ši funkcija. Jo nesant, jį turi pakeisti kitas šio skyriaus specialistas,

21.5.9. padarius atsargines kopijas, būtina įsitikinti, kad kopija yra kokybiška. Būtina išbandyti kopiją, įrašant duomenis į tam tikslui serveryje sukurtą laikinąjį katalogą. Baigus tikrinimo darbus, laikinąjį katalogą būtina pašalinti iš serverio,

21.5.10. savaitinės atsarginės kopijos magnetinėje laikmenoje saugomos banko seife. Už jų atidavimą saugoti atsako VLK Informacinės sistemos eksploatavimo skyriaus specialistas, vykdantis dokumentų kopijavimo funkciją,

21.5.11. atsarginės metinės kopijos saugomos Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatyta tvarka. Atsarginės mėnesinės kopijos saugomos 1 metus nuo jų sukūrimo dienos. Savaitinės kopijos saugomos 1 mėnesį nuo jų sukūrimo dienos;

21.6. SVEIDRA naudotojų identifikavimas:

21.6.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo (BIOS) iki programos paleidimo ir prisijungimo prie duomenų bazės,

21.6.2. nustatomi specialūs reikalavimai slaptažodžių sistemai (periodinis privalomas slaptažodžių keitimas, slaptažodžio ilgio apribojimai, neleidžiama naudoti senų slaptažodžių);

21.7. apsauga nuo galimų tyčinių VLK ir TLK darbuotojų veiksmų:

21.7.1. nustatomi SVEIDRA naudotojų vaidmenys ir darbuotojams priskiriami konkretūs vaidmenys (darbuotojas gali naudotis tik tomis programomis, kurios padeda vykdyti jam priskirtas funkcijas),

21.7.2. pagrindinės duomenų bazės skirstomos į poaibius ir konkretus SVEIDRA naudotojas dirba tik su jam priskirtais poaibiais,

21.7.3. ribojama SVEIDRA naudotojo teisė manipuliuoti duomenimis,

21.7.4. SVEIDRA naudotojo teisės suteikiamos ir sustabdomos pagal įstaigos, kurioje dirba naudotojas, vadovo įsakymą;

21.7.5. visi SVEIDRA naudotojo prisijungimai prie SVEIDRA registruojami SVEIDRA prisijungimo žurnale;

21.8. nešiojamieji kompiuteriai, jei jie yra prijungti prie SVEIDRA, negali būti išnešami iš įstaigos, kuriai priskirta SVEIDRA naudotojo darbo vieta, patalpų; jei būtina kompiuterį išnešti iš minėtų patalpų, įstaigų, išvardytų Saugos nuostatų 7 punkte, vadovai raštiškai patvirtina SVEIDRA naudotojo asmeninę atsakomybę už duomenų saugą, nurodydami laikotarpį, kuriam kompiuteris išnešamas.

22. SVEIDRA duomenų apsaugos administracinės priemonės:

22.1. veiksmai, užtikrinantys duomenų apsaugą, nustatomi pareigybių aprašymuose, tvirtinami VLK direktoriaus įsakymais;

22.2. SVEIDRA naudotojai supažindinami su galiojančiais norminiais aktais, reglamentuojančiais duomenų apsaugą;

22.3. SVEIDRA naudotojų atsakomybę nustato VLK direktoriaus įsakymai, vidaus taisyklės ir darbo sutartys;

22.4. pasirašomi asmeniniai SVEIDRA naudotojų pasižadėjimai;

22.5. parengiamas SVEIDRA duomenų pažeidimo rizikos valdymo priemonių planas;

22.6. duomenų saugos dokumentai atnaujinami ne rečiau kaip kartą per metus (atlikus SVEIDRA duomenų pažeidimo rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus VLK esminiams organizaciniams, sisteminiams ar kitiems pokyčiams).

23. SVEIDRA duomenų apsaugos programinės priemonės:

23.1. tarnybinėse stotyse bei darbo vietose naudojama tik licencijuota programinė įranga (nuolat atnaujinama);

23.2. naudojamos užkardos;

23.3. tarnybinėse stotyse bei darbo vietose naudojama antivirusinė programinė įranga, kuri nuolat atnaujinama;

23.4. darbo vietose, kuriose dirbama su SVEIDRA, neturi būti naudojamos programos ir dokumentai, nesusiję su įstaigos funkcijomis ar SVEIDRA naudotojo funkcijomis;

23.4. kitos priemonės.

24. Už SVEIDRA saugumo politikos įgyvendinimą ir kontrolę atsako Informacinės sistemos eksploatavimo skyriaus vedėjas ir saugos įgaliotinis.

25. SVEIDRA duomenų tvarkymo ir saugumo procedūros turi būti aprašytos saugos įgaliotinio parengtose, vadovaujantis Saugos dokumentų turinio gairėmis, ir VLK direktoriaus patvirtintose detaliose SVEIDRA saugaus elektroninės informacijos tvarkymo taisyklėse.

26. Saugos įgaliotinis teikia siūlymus už duomenų saugą atsakingam VLK Informacinės sistemos eksploatavimo skyriaus vedėjui dėl SVEIDRA posistemių ar funkcijų administratorių (toliau – administratorius), atsiskaitančių už paskirtų funkcijų vykdymą tiesiogiai saugos įgaliotiniui, skyrimo. SVEIDRA administratorius turi gebėti dirbti su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą, taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.

27. SVEIDRA naudotojai turi būti supažindinti su duomenų tvarkymą reglamentuojančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.

28. SVEIDRA naudotojai, vadovaudamiesi SVEIDRA saugumo politiką reglamentuojančiais teisės aktais, nuolat rūpinasi SVEIDRA duomenų saugumu, o pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, išsiaiškinę, kurios duomenų saugos užtikrinimo priemonės yra neveiksmingos, privalo nedelsdami apie tai pranešti už duomenų saugą atsakingam Informacinės sistemos eksploatavimo skyriaus vedėjui arba saugos įgaliotiniui.

IV. Rizikos įvertinimas ir detali darbo tvarka

29. Konkrečios SVEIDRA duomenų tvarkymo ir saugumo procedūros aprašomos saugos įgaliotinio parengtose ir VLK direktoriaus patvirtintose SVEIDRA saugaus elektroninės informacijos tvarkymo taisyklėse.

30. Konkrečios SVEIDRA duomenų pažeidimo rizikos valdymo priemonės aprašomos SVEIDRA duomenų pažeidimo rizikos valdymo veiksmų plane, kurį tvirtinta VLK direktorius.

31. Galimi vidiniai ir išoriniai SVEIDRA duomenų pažeidimo rizikos veiksniai yra šie:

31.1. netyčiniai subjektyvūs veiksniai – duomenų tvarkymo klaidos, technikos gedimai, kompiuterių virusai ir kt.;

31.2. tyčiniai subjektyvūs veiksniai – neteisėtas įsibrovimas į sistemą iš išorės, vidaus darbo taisyklių bei kitų teisės aktų nustatytų duomenų tvarkymo pažeidimai, kompiuterių ar duomenų vagystė ir kt.;

31.3. nenugalima jėga (žaibas, gaisras, potvynis ar kt.).

32. Galimi vidinio ir išorinio duomenų pažeidimo padariniai:

32.1. netyčinių subjektyvių veiksnių padariniai – netikslūs duomenys, prarandama dalis informacijos, sugadinama operacinė sistema, negalima vykdyti kai kurių veiklos funkcijų ir kt.

32.2. tyčinių subjektyvių veiksnių padariniai – kompiuterinės sistemos darbo sutrikimai nuo funkcionalumo sumažėjimo iki visiško gedimo, duomenys gali patekti neturintiems į juos teisių asmenims ir kt.;

32.3. nenugalimų jėgų padariniai – sugadinama visa techninė kompiuterinė įranga, visiškai sunaikinami duomenys, sugadinamos visos atsarginės kopijos.

33. Duomenų pažeidimo rizikos veiksniai turi būti valdomi, todėl numatomi šie galimų pažeidimų valdymo procesai:

33.1. duomenų pažeidimo rizikos analizė, rizikos šaltinio nustatymas, galimo rizikos masto apskaičiavimas;

33.2. duomenų pažeidimo rizikos įvertinimas;

33.3. pasirengimas galimiems duomenų pažeidimams, numatant duomenų apsaugos priemones, kurios sumažintų duomenų pažeidimo tikimybę ir padėtų likviduoti tokių pažeidimų pasekmes;

33.4. SVEIDRA naudotojų mokymai ir informavimas apie galimus duomenų pažeidimo rizikos veiksnius;

33.5. asmeninės SVEIDRA duomenų tvarkytojų bei naudotojų atsakomybės nustatymas.

34. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę bei siekdamas įvertinti galimą rizikos veiksnių įtaką SVEIDRA sistemai, ne rečiau kaip vieną kartą per metus organizuoja SVEIDRA saugumo vertinimą, kurio metu:

34.1. įvertinama realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;

34.2. inventorizuojama SVEIDRA techninė ir programinė įranga;

34.3. patikrinama SVEIDRA tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;

34.4. patikrinama SVEIDRA duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;

34.5. įvertinamas SVEIDRA administratoriaus pasiruošimas atkurti sistemos veikimą įvykus nenumatytoms situacijoms;

34.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir parengiama Rizikos veiksnių ataskaita.

35. Remdamasis atlikto SVEIDRA saugumo vertinimo rezultatais, saugos įgaliotinis parengia ir VLK direktoriui pateikia tvirtinti Rizikos veiksnių ataskaitą bei Pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

V. REIKALAVIMAI PERSONALUI

36. SVEIDRA saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

37. SVEIDRA administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

38. SVEIDRA naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti SVEIDRA duomenis SVEIDRA nuostatų nustatyta tvarka ir būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.

39. SVEIDRA naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti SVEIDRA saugos įgaliotiniui ir/arba SVEIDRA administratoriui.

40. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, SVEIDRA saugos įgaliotinių, SVEIDRA administratorių, SVEIDRA naudotojų veiksmus reglamentuoja SVEIDRA veiklos tęstinumo valdymo planas.

41. SVEIDRA saugos įgaliotinis kartą per metus organizuoja SVEIDRA administratorių, SVEIDRA naudotojų mokymus kvalifikacijos tobulinimo ir duomenų saugos klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, per internetinę svetainę, atmintinėmis naujai priimtiems darbuotojams ir pan.).

VI. SVEIDRA naudotojų supažindinimo su saugos dokumentais principai

42. Už SVEIDRA duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako SVEIDRA valdytojas ir SVEIDRA naudotojai. SVEIDRA naudotojas atsako tik už jam prieinamų SVEIDRA duomenų tvarkymo teisėtumą ir duomenų saugą.

43. Tvarkyti SVEIDRA duomenis gali tik SVEIDRA naudotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

44. Saugos įgaliotinis pasirašytinai supažindina SVEIDRA naudotojus su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.

45. SVEIDRA naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimamiems darbuotojams ir pan.).

46. SVEIDRA naudotojai, pažeidę Saugos nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

VII. SAUGOS Nuostatų atnaujinimo tvarka

47. Saugos įgaliotinis, siekdamas užtikrinti SVEIDRA duomenų saugumą, teikia siūlymus už duomenų saugą atsakingam Informacinės sistemos eksploatavimo skyriaus vedėjui dėl Saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

48. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atlikus duomenų pažeidimo rizikos veiksnių vertinimą.

VIII. Baigiamosios nuostatos

49. SVEIDRA naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja SVEIDRA duomenų tvarkymą ir saugą.

50. Duomenys apie SVEIDRA naudotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko SVEIDRA administratoriai, vadovaudamiesi įstatymais ir kitais teisės aktais.

51. VLK ir TLK privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti SVEIDRA duomenų saugą.

52. Saugos nuostatuose aprašytos VLK ir TLK funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.

53. SVEIDRA naudotojai, administratoriai, saugos įgaliotiniai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

______________