isakymas_SVEIDRA duomenu saugos nuostatu pakeitimo

VALSTYBINĖS LIGONIŲ KASOS

PRIE SVEIKATOS APSAUGOS MINISTERIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS 2007 M. RUGSĖJO 18 D. ĮSAKYMO NR. 1K-145 „DĖL PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2014 m. birželio 5 d. Nr. 1K-135

Vilnius

P a k e i č i u Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymą Nr. 1K-145 „Dėl Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenų saugos nuostatų patvirtinimo“ ir išdėstau jį nauja redakcija:

„VALSTYBINĖS LIGONIŲ KASOS

PRIE SVEIKATOS APSAUGOS MINISTERIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL PRIVALOMOJO SVEIKATOS DRAUDIMO INFORMACINĖS SISTEMOS „SVEIDRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu ir Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“:

1. T v i r t i n u Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – „Sveidra“) duomenų saugos nuostatus (pridedama).

2. S k i r i u Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Informacinių technologijų departamento Informacinės sistemos eksploatavimo skyriaus vyriausiąją specialistę Vandą Židonienę privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ saugos įgaliotine (toliau – saugos įgaliotinė).

3. P a v e d u:

3.1. saugos įgaliotiniui parengti Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ veiklos tęstinumo valdymo plano, Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ naudotojo administravimo taisyklių ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ saugaus informacijos tvarkymo taisyklių naujos redakcijos projektus iki 2014 m. spalio 1 d.;

3.2. įsakymo vykdymą kontroliuoti direktoriaus pavaduotojui valdymui ir darbo organizavimui.“

Direktorius Algis Sasnauskas

SUDERINTA

Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos

2014-05-12 raštu Nr. S-672

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2014-05-14 raštu Nr. 2R-2474(3.33)

SUDERINTA

LR sveikatos apsaugos ministerijos

2014-05-13 raštu Nr. (5.1.5-12)10-4589

SUDERINTA

LR vidaus reikalų ministerijos

2014-05-13 raštu Nr. 1D-3636(52)

PATVIRTINTA

Valstybinės ligonių kasos

prie Sveikatos apsaugos ministerijos

direktoriaus 2007 m. rugsėjo 18 d.

įsakymu Nr. 1K-145

(Valstybinės ligonių kasos

prie Sveikatos apsaugos ministerijos

direktoriaus 2014 m. birželio 5 d.

įsakymo Nr. 1K-135 redakcija)

PRIVALOMOJO Sveikatos draudimo informacinės sistemos „Sveidra“ DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

Bendrosios nuostatos

1. Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – „Sveidra“) duomenų saugos politiką.

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Saugos reikalavimai), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms), ir kituose teisės aktuose vartojamas sąvokas.

3. „Sveidros“ duomenų saugos tikslas – užtikrinti „Sveidros“ elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. „Sveidros“ duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo didinimo bei saugos priemonių projektavimo ir diegimo principus.

4. „Sveidros“ duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. techninės ir programinės įrangos, naudojamos „Sveidros“ duomenims tvarkyti, kontrolė;

4.2. „Sveidros“ duomenų tvarkymo kontrolė;

4.3. naudojimosi „Sveidros“ duomenimis kontrolė.

5. „Sveidros“ valdytoja yra Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (toliau – VLK).

6. „Sveidros“ duomenų tvarkytojai:

6.1. Lietuvos Respublikos sveikatos apsaugos ministerija (Vilniaus g. 33, LT-01506 Vilnius);

6.2. VLK (Europos aikštė 1, LT-03505 Vilnius);

6.3. teritorinės ligonių kasos:

6.3.1. Vilniaus teritorinė ligonių kasa (Ž. Liauksmino g. 6, LT-01101 Vilnius),

6.3.2. Kauno teritorinė ligonių kasa (Aukštaičių g. 10, LT-44147 Kaunas, P. Kriaučiūno g. 2, LT-68298 Marijampolė),

6.3.3. Klaipėdos teritorinė ligonių kasa (Pievų Tako g. 38, LT-92236 Klaipėda, Prezidento g. 7, LT-72253 Tauragė),

6.3.4. Šiaulių teritorinė ligonių kasa (Vilniaus g. 273, LT-76332 Šiauliai, Kalno g. 40, LT-87134 Telšiai),

6.3.5. Panevėžio teritorinė ligonių kasa (Respublikos g. 66, LT-35158 Panevėžys, Aukštakalnio g. 5, LT-28151 Utena);

6.4. Valstybinė vaistų kontrolės tarnyba prie Lietuvos Respublikos sveikatos apsaugos ministerijos (Žirmūnų g. 139A, LT-09120 Vilnius) – iki Vaistinių preparatų informacinės sistemos ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro eksploatacijos pradžios arba iki kito teisės aktais nustatyto termino;

6.5. Lietuvos Respublikos odontologų rūmai (J. Jasinskio g. 16, LT-01112 Vilnius);

6.6. Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos (Jeruzalės g. 21, LT-08420 Vilnius) – iki Sveikatos priežiūros įstaigų licencijavimo informacinės sistemos ir Sveikatos priežiūros ir farmacijos specialistų praktikos licencijų registro eksploatacijos pradžios arba iki kito teisės aktais nustatyto termino;

6.7. asmens sveikatos priežiūros įstaigos (toliau – ASPĮ), neturinčios savo informacinių sistemų;

6.8. vaistinės;

6.9. ortopedijos įmonės, sudariusios sutartis su VLK dėl ortopedijos techninių priemonių išlaidų kompensavimo, – jei jos neturi savo informacinių sistemų;

6.10. kitos įstaigos ar įmonės, sudariusios sutartis su teritorinėmis ligonių kasomis (toliau teritorinės ligonių kasos ar teritorinė ligonių kasa – TLK), – jei jos neturi savo informacinių sistemų.

7. Saugos nuostatai taikomi:

7.1. VLK, kuri atlieka šias „Sveidros“ tvarkytojos funkcijas:

7.1.1. priima sprendimą dėl „Sveidros“ informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo,

7.1.2. rengia ir tvirtina teisės aktus, susijusius su „Sveidros“ duomenų tvarkymu ir duomenų sauga, ir prižiūri, kaip jų laikomasi,

7.1.3. skiria VLK „Sveidros“ saugos įgaliotinį (toliau – VLK saugos įgaliotinis),

7.1.4. skiria VLK „Sveidros“ duomenų valdymo įgaliotinį (toliau – VLK duomenų valdymo įgaliotinis),

7.1.5. atlieka „Sveidros“ duomenų bazių techninę priežiūrą,

7.1.6. užtikrina „Sveidros“ sąveiką su kitomis informacinėmis sistemomis ir registrais,

7.1.7. užtikrina nepertraukiamą „Sveidros“ veikimą ir duomenų, kaupiamų „Sveidros“ duomenų bazėse, saugą,

7.1.8. VLK ar TLK ir duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia automatiniu būdu „Sveidros“ duomenis jų gavėjams ir užtikrina teikiamų duomenų saugą iki duomenys pasiekia duomenų gavėją,

7.1.9. atlieka kitas Saugos nuostatų, Saugos reikalavimų, „Sveidros“ nuostatų ir kitų teisės aktų nustatytas funkcijas;

7.2. TLK, kurios atlieka šias „Sveidros“ tvarkytojų funkcijas:

7.2.1. skiria TLK saugos įgaliotinius,

7.2.2. registruoja „Sveidros“ naudotojus,

7.2.3. rengia ir tvirtina teisės aktus, reglamentuojančius „Sveidros“ duomenų tvarkymą ir duomenų saugą TLK, ir prižiūri, kaip jų laikomasi,

7.2.4. atlieka kitas Saugos nuostatų, Saugos reikalavimų, „Sveidros“ nuostatų ir kitų teisės aktų nustatytas funkcijas;

7.3. „Sveidros“ tvarkytojams, nurodytiems Saugos nuostatų 6.1, 6.4–6.10 papunkčiuose, kurie atlieka šias funkcijas:

7.3.1. užtikrina administracinių, techninių ir programinių duomenų saugos priemonių diegimą „Sveidros“ naudotojų darbo vietose ir jų priežiūrą,

7.3.2. atlieka kitas Saugos nuostatų, Saugos reikalavimų, „Sveidros“ nuostatų ir kitų teisės aktų nustatytas funkcijas.

8. Saugos nuostatai nustato „Sveidros“ saugumo politiką. „Sveidros“ valdytojas privalo parengti ir patvirtinti saugumo politikos įgyvendinamuosius dokumentus: „Sveidros“ saugaus elektroninės informacijos tvarkymo taisykles, „Sveidros“ asmens duomenų tvarkymo taisykles, „Sveidros“ veiklos tęstinumo valdymo planą bei „Sveidros“ naudotojų administravimo taisykles.

9. „Sveidros“ duomenų saugą organizuoja VLK saugos įgaliotinis, VLK direktoriaus įsakymu paskirtas atsakingu už duomenų saugą.

10. VLK saugos įgaliotinio funkcijos nustatomos VLK saugos įgaliotinio pareigybės aprašyme, parengtame pagal Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, VLK nuostatų ir kitų VLK darbo tvarką reglamentuojančių dokumentų reikalavimus.

11. TLK už duomenų saugos priemonių įgyvendinimą atsako TLK direktoriaus įsakymu paskirtas TLK saugos įgaliotinis. TLK saugos įgaliotinio funkcijos nustatomos TLK saugos įgaliotinio pareigybės aprašyme, parengtame pagal Bendrųjų elektroninės informacijos saugos aprašo, TLK nuostatų ir kitų TLK darbo tvarką reglamentuojančių dokumentų reikalavimus.

12. VLK saugos įgaliotinis organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą ir atlieka šias funkcijas:

12.1. teikia VLK Informacinių technologijų departamento (toliau – Departamentas) direktoriui siūlymus dėl:

12.1.1. VLK „Sveidros“ administratorių skyrimo,

12.1.2. Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimo, keitimo ar panaikinimo,

12.1.3. „Sveidros“ informacinių technologijų saugos atitikties saugos reikalavimams vertinimo atlikimo;

12.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtą veiklą, susijusią su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės, sudarytos VLK direktoriaus įsakymu;

12.3. koordinuoja TLK saugos įgaliotinių darbą;

12.4. duoda „Sveidros“ administratoriams ir „Sveidros“ naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

12.5. organizuoja informacijos saugos rizikos vertinimą;

12.6. atlieka kitas Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose nustatytas funkcijas bei Departamento direktoriaus nurodymus, susijusius su „Sveidros“ duomenų sauga.

13. TLK saugos įgaliotiniai organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą TLK ir atlieka šias funkcijas:

13.1. teikia VLK saugos įgaliotiniui siūlymus dėl:

13.1.1. Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimo, keitimo ar panaikinimo,

13.1.2. „Sveidros“ duomenų saugos atitikties saugos reikalavimams vertinimo atlikimo TLK,

13.1.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą TLK,

13.1.4. teikia informaciją, susijusią su „Sveidros“ duomenų sauga VLK saugos įgaliotiniui, jam paprašius,

13.1.5. dalyvauja informacijos saugos rizikos vertinime;

13.2. atlieka kitas Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose nustatytas funkcijas bei kitus VLK saugos įgaliotinio nurodymus, susijusius su „Sveidros“ duomenų sauga.

14. VLK saugos įgaliotinis ir TLK saugos įgaliotiniai negali atlikti „Sveidros“ administratoriaus funkcijų.

15. VLK saugos įgaliotiniu ir TLK saugos įgaliotiniais negali būti skiriami asmenys, turintys neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

16. VLK saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ar pavedimus ir kitiems VLK ir TLK darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

17. TLK saugos įgaliotiniai, atlikdami savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ar pavedimus kitiems TLK darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

18. VLK saugos įgaliotinis ir (ar) TLK saugos įgaliotiniai periodiškai organizuoja „Sveidros“ naudotojų mokymus elektroninės informacijos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas.

19. VLK „Sveidros“ administratorius skiriamas VLK direktoriaus įsakymu. TLK „Sveidros“ administratoriai skiriami TLK direktoriaus įsakymais.

20. VLK „Sveidros“ administratorius atlieka šias funkcijas:

20.1. administruoja „Sveidros“ funkcionavimą užtikrinančią techninę ir programinę įrangą, infrastruktūros bei informacinių technologijų paslaugas, registruoja TLK „Sveidros“ administratorius ir atsakingus už „Sveidros“ duomenų tvarkymą asmenis, skiria prisijungimo vardus ir nustato prieigos prie „Sveidros“ infrastruktūros išteklių teises;

20.2. administruoja jam priskirtus „Sveidros“ komponentus (kompiuterizuotas darbo vietas, tarnybines stotis, operacines sistemas, duomenų bazes, įsilaužimo aptikimo sistemas), organizuoja „Sveidros“ komponentų sąrankos aprašymo dokumentų rengimą ir atnaujinimą, „Sveidros“ pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą, užtikrina šių priemonių atitiktį Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų reikalavimams;

20.3. pagal kompetenciją rengia pasiūlymus dėl „Sveidros“ palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo ir teikia juos „Sveidros“ duomenų valdymo įgaliotiniui ir (ar) VLK saugos įgaliotiniui;

20.4. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos VLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

20.5. užtikrina „Sveidros“ duomenų konfidencialumą ir vientisumą;

20.6. vykdo visus VLK saugos įgaliotinio, VLK duomenų valdymo įgaliotinio nurodymus ar pavedimus, susijusius su „Sveidros“ duomenų saugos užtikrinimu, ir nuolat teikia VLK saugos įgaliotiniui informaciją apie saugos priemonių būklę;

20.7. atlieka kitas Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose nustatytas funkcijas, kitus VLK saugos įgaliotinio ar Departamento direktoriaus nurodymus, susijusius su „Sveidros“ duomenų sauga.

21. TLK „Sveidros“ administratorius atlieka šias funkcijas:

21.1. užtikrina „Sveidros“ funkcionavimą TLK, administruodamas „Sveidros“ techninę ir programinę įrangą, infrastruktūros bei informacinių technologijų paslaugas, registruoja atsakingus už „Sveidros“ duomenų tvarkymą TLK darbuotojus, ASPĮ ir vaistinių darbuotojus, skiria naudotojų prisijungimo vardus ir nustato prieigos prie „Sveidros“ infrastruktūros išteklių teises;

21.2. administruoja jam priskirtus „Sveidros“ komponentus TLK mastu (kompiuterizuotas darbo vietas, tarnybines stotis, operacines sistemas, duomenų bazes, įsilaužimo aptikimo sistemas), TLK mastu organizuoja „Sveidros“ komponentų sąrankos aprašymo dokumentų rengimą ir atnaujinimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą, užtikrina šių priemonių atitiktį Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų reikalavimams;

21.3. pagal kompetenciją rengia ir teikia VLK „Sveidros“ administratoriui pasiūlymus dėl „Sveidros“ palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo, elektroninės informacijos saugos užtikrinimo;

21.4. registruoja elektroninės informacijos saugos incidentus TLK, informuoja apie juos TLK saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

21.5. užtikrina „Sveidros“ duomenų konfidencialumą ir vientisumą;

21.6. vykdo visus VLK saugos įgaliotinio, TLK saugos įgaliotinio ir VLK „Sveidros“ administratoriaus nurodymus bei pavedimus, susijusius su „Sveidros“ duomenų saugos užtikrinimu, ir nuolat teikia TLK saugos įgaliotiniui informaciją apie saugos priemonių būklę;

21.7. atlieka kitas Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose nustatytas funkcijas, kitus TLK saugos įgaliotinio bei TLK direktoriaus nurodymus, susijusius su „Sveidros“ duomenų sauga.

22. „Sveidros“ naudotojai privalo:

22.1. naudodamiesi „Sveidra“ vadovautis Saugos nuostatais, Saugaus elektroninės informacijos tvarkymo taisyklėmis, naudotojų administravimo taisyklėmis ir pareigybių aprašymais;

22.2. informuoti VLK saugos įgaliotinį ir (ar) TLK saugos įgaliotinį, VLK ir (ar) TLK „Sveidros“ administratorius apie elektroninės informacijos saugos incidentus, „Sveidros“ veiklos sutrikimus;

22.3. vykdo kitas Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytas funkcijas, susijusias su „Sveidros“ duomenų naudojimu ir „Sveidros“ duomenų sauga.

23. Teisės aktai, kuriais vadovaujantis tvarkomi „Sveidros“ duomenys ir užtikrinama jų sauga:

23.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

23.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

23.3. Lietuvos Respublikos sveikatos draudimo įstatymas;

23.4. Saugos nuostatų 2 punkte nurodyti teisės aktai;

23.5. LST ISO/IEC 27001:2006 standartas ir Lietuvos bei tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

23.6. kiti teisės aktai, reglamentuojantys „Sveidros“ duomenų tvarkymo teisėtumą, „Sveidros“ tvarkytojų veiklą ir „Sveidros“ duomenų saugos valdymą.

II SKYRIUS

Elektroninės informacijos saugos valdymas

24. Pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.1 papunktį „Sveidroje“ tvarkoma informacija priskiriama ypatingos svarbos elektroninei informacijai.

25. Pagal Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms 7.3 papunktį „Sveidroje“ automatiniu būdu tvarkomiems asmens duomenims (atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką) priskiriamas trečiasis asmens duomenų saugumo lygis.

26. Pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.1 papunktį „Sveidra“ yra priskiriama pirmajai informacinių sistemų kategorijai.

27. „Sveidros“ duomenų saugos priemonės parenkamos įvertinus galimus rizikos, susijusios su „Sveidros“ duomenų vientisumo, konfidencialumo ir prieinamumo pažeidimais, veiksnius.

28. „Sveidroje“ kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami „Sveidros“ nuostatuose.

29. „Sveidros“ valdytojas kiekvienais metais organizuoja „Sveidroje“ tvarkomos informacijos saugos rizikos vertinimą Saugos nuostatų ir kitų saugos politikos įgyvendinamųjų teisės aktų vykdymo kontrolei ir „Sveidroje“ tvarkomų duomenų saugai užtikrinti. „Sveidroje“ tvarkomos informacijos saugos rizikos vertinimas atliekamas vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos 2005 metais išleista metodine priemone „Rizikos analizės vadovas“ ir Informacijos saugos valdymo sistemos, įdiegtos vadovaujantis LST ISO/IEC 27001:2006 standarto reikalavimais, dokumentais:

29.1. Ligonių kasų informacijos saugos valdymo strategija;

29.2. Informacijos saugos nuostatais;

29.3. Informacijos saugos rizikos valdymo tvarkos aprašu;

29.4. Informacijos saugos vertinimo metodika;

29.5. Informacijos saugos incidentų valdymo tvarkos aprašu;

29.6. Ligonių kasų fizinės saugos tvarkos aprašu;

29.7. Trečiųjų šalių prieigos prie ligonių kasų informacinių išteklių tvarkos aprašu;

29.8. Informacijos ir informacijos apdorojimo priemonių priimtino naudojimo taisyklėmis;

29.9. Informacijos ir jos laikmenų tinkamo sunaikinimo tvarkos aprašu;

29.10. Informacijos klasifikavimo rekomenduojamų saugos priemonių įdiegimo tvarkos aprašu;

29.11. Elektroninių duomenų kopijų darymo tvarkos aprašu, patvirtintu VLK direktoriaus 2012 m. sausio 24 d. įsakymu Nr. 1K-14 „Dėl Elektroninių duomenų kopijų darymo tvarkos aprašo patvirtinimo“ (toliau – Elektroninių duomenų kopijų darymo tvarkos aprašas);

29.12. kitais Informacijos saugos valdymo sistemos dokumentais.

30. „Sveidroje“ tvarkomos informacijos saugos rizikos vertinimo duomenys ir išvados pateikiami rizikos įvertinimo ataskaitoje. „Sveidros“ rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

30.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

30.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis „Sveidra“, siekiant gauti elektroninę informaciją, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

30.3. tyčiniai (pvz., nusikalstami, neleistini veiksmai);

30.4. netyčiniai (pvz., klaidos);

30.5. atsitiktiniai (pvz., gedimai ir stichinės nelaimės).

31. Pagrindiniai „Sveidroje“ tvarkomos informacijos saugos priemonių parinkimo principai:

31.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

31.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

31.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

32. Atsižvelgiant į Informacijos saugos įvertinimo ataskaitą, rengiamas Rizikos tvarkymo planas nepriimtinai rizikai sumažinti. Šiame plane numatomas techninių, administracinių ir kitų išteklių poreikis informacijos saugos rizikos valdymo priemonėms įgyvendinti.

III SKYRIUS

Organizaciniai ir techniniai duomenų saugos reikalavimai

33. Programinės įrangos, skirtos informacinei sistemai apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

33.1. būtina įdiegti kompiuterinės įrangos veikimo stebėjimo programinę įrangą (vidiniam kompiuterių tinklui, tarnybinėms stotims ir kompiuterizuotoms darbo vietoms stebėti);

33.2. tarnybinėse stotyse ir kompiuterizuotose darbo vietose, kuriose yra įdiegta Microsoft Windows operacinė sistema, turi būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);

33.3. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų (angl. spam) ir nepageidaujamo turinio elektroninių laiškų;

33.4. apsaugai naudojama programinė įranga turi atsinaujinti ne rečiau kaip kartą per 24 valandas;

33.5. apsaugos sistema privalo automatiškai informuoti atsakinguosius darbuotojus apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujina per 24 valandas.

34. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

34.1. naudojama tik legali patikimų gamintojų programinė įranga;

34.2. naudojama tik „Sveidros“ funkcijoms vykdyti būtina programinė įranga;

34.3. programinė įranga yra nuolat atnaujinama, laikantis gamintojo reikalavimų;

34.4. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik „Sveidros“ administratoriai.

35. Kompiuterių tinklo filtravimo įrangos – užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kitos – pagrindinės naudojimo nuostatos:

35.1. „Sveidros“ valdytojo kompiuteriniai tinklai privalo būti atskirti nuo viešųjų telekomunikacijų tinklų (interneto) ugniasienėmis, turi būti įdiegta įranga, skirta atakų prevencijai, taip pat įsilaužimų aptikimo ir prevencijos įranga;

35.2. visas „Sveidros“ duomenų srautas, gaunamas iš duomenų teikėjų, privalo būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

35.3. turi būti naudojamos turinio filtravimo sistemos;

35.4. turi būti naudojamos „Sveidros“ posistemių kontrolės sistemos.

36. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

36.1. saugiam elektroninės informacijos teikimui ir (ar) gavimui iš įmonių ir kitų institucijų užtikrinti naudojami saugūs ryšio kanalai. Informacijai perduoti naudojamas saugus valstybės duomenų perdavimo tinklas (SVDPT);

36.2. teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir duomenų teikimo / gavimo sąlygas – turi būti naudojami saugūs ryšio kanalai (angl. Virtual private network – VPN) duomenims perduoti.

37. Kompiuterių (įskaitant nešiojamuosius) naudojimo reikalavimai:

37.1. stacionarūs ir nešiojamieji „Sveidros“ naudotojų kompiuteriai turi būti naudojami tik tiesioginėms „Sveidros“ naudotojų funkcijoms vykdyti. Iš kompiuterių, kurie perduodami remontuoti ar techniniam aptarnavimui atlikti, turi būti pašalinta visa saugoma „Sveidros“ elektroninė informacija;

37.2. visiems „Sveidros“ naudotojų kompiuteriams turi būti taikomos papildomos saugos priemonės, kuriomis patvirtinama kompiuterio naudotojo tapatybė ir šifruojami riboto naudojimo duomenys;

37.3. nešiojamieji kompiuteriai negali būti naudojami ne „Sveidros“ valdytojo ar tvarkytojų patalpose, išskyrus tuos atvejus, kai „Sveidros“ naudotojui pavedama atlikti pareigybių aprašyme nurodytas funkcijas ne „Sveidros“ valdytojo ir (ar) tvarkytojo patalpose. Tuo atveju, jei nešiojamame kompiuteryje yra tvarkomi ar saugomi „Sveidros“ duomenys, jie turi būti šifruojami arba turi būti įdiegtos kitos techninės priemonės, kurios užtikrintų šių duomenų saugą;

37.4. už nešiojamojo kompiuterio ir jame tvarkomų ar saugomų „Sveidros“ duomenų saugą Lietuvos Respublikos teisės aktų nustatyta tvarka atsako darbuotojas, kuriam šis kompiuteris yra skirtas.

38. Atsarginės duomenų kopijos daromos Elektroninių duomenų kopijų darymo tvarkos aprašo nustatyta tvarka.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

39. VLK saugos įgaliotinis ir TLK saugos įgaliotiniai privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos aprašu, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, Lietuvos standartais LST ISO/IEC 27002:2009 „Informacijos saugos valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos saugos valdymo sistemos. Reikalavimai“, kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugos metodai“ grupės standartais, apibūdinančiais saugų informacijos tvarkymą, ir sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

40. VLK ir TLK „Sveidros“ administratoriai privalo išmanyti duomenų saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, gebėti administruoti ir prižiūrėti duomenų bazes, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinamaisiais teisės aktais, taip pat kitomis VLK ir (ar) TLK vidaus ir darbo saugos taisyklėmis.

41. „Sveidros“ naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti „Sveidros“ duomenis „Sveidros“ saugaus elektroninės informacijos tvarkymo taisyklių nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinamaisiais teisės aktais.

42. „Sveidros“ naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VLK saugos įgaliotiniui ir (ar) TLK saugos įgaliotiniui.

43. VLK saugos įgaliotinis ir TLK saugos įgaliotiniai, VLK ir TLK „Sveidros“ administratoriai privalo tobulintis informacijos saugos ir informacinių sistemų administravimo srityse. Mokymai turi būti įtraukti į institucijos mokymų planą.

44. „Sveidros“ naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimų pateikimas elektroniniu paštu, teminių seminarų rengimas, atmintinės, skirtos naujai priimamiems darbuotojams, ir pan.).

45. „Sveidros“ naudotojų mokymus ne rečiau kaip kartą per metus vykdo VLK saugos įgaliotinis, „Sveidros“ administratoriai arba mokymų paslaugų teikėjas, su kuriuo „Sveidros“ valdytojas pasirašo mokymo paslaugų teikimo sutartį.

46. Elektroninės informacijos saugos incidento, nenumatytos situacijos atveju VLK saugos įgaliotinio, TLK saugos įgaliotinių, „Sveidros“ administratorių ir „Sveidros“ naudotojų veiksmus reglamentuoja „Sveidros“ veiklos tęstinumo valdymo planas.

V SKYRIUS

„SVEIDROS“ naudotojų supažindinimo su saugos dokumentais principai

47. Už VLK „Sveidros“ naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas VLK saugos įgaliotinis.

48. Už kitų „Sveidros“ naudotojų (TLK darbuotojų, ASPĮ, vaistinių ir kt.) supažindinimą su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingi TLK saugos įgaliotiniai.

49. „Sveidros“ saugos dokumentai skelbiami ligonių kasų vidinės svetainės skiltyje „Informacijos saugos valdymo sistema“. Apie skelbiamus dokumentus ir jų atnaujinimus VLK ir TLK darbuotojai papildomai informuojami elektroniniu paštu.

50. „Sveidros“ naudotojai privalo susipažinti su „Sveidros“ saugos politikos įgyvendinamaisiais dokumentais per 3 darbo dienas nuo jų paskelbimo ligonių kasų vidinės svetainės skiltyje „Informacijos saugos valdymo sistema“ ir „Sveidros“ naudotojų informavimo apie tai elektroniniu paštu dienos. Praėjus 3 darbo dienoms nuo dokumentų paskelbimo ir VLK bei TLK darbuotojų informavimo apie tai elektroniniu paštu dienos, laikoma, kad jie yra susipažinę su „Sveidros“ saugos dokumentais.

51. „Sveidros“ naudotojai, susipažinę su „Sveidros“ saugos politikos įgyvendinamaisiais dokumentais, privalo įsipareigoti jų laikytis, t. y. pasirašyti konfidencialumo pasižadėjimą, kurio forma pateikiama „Sveidros“ naudotojų administravimo taisyklėse.

52. „Sveidros“ administratorius gali sukurti „Sveidros“ naudotojui prieigą prie „Sveidros“ informacinių išteklių tik įsitikinęs, kad „Sveidros“ naudotojas yra susipažinęs su „Sveidros“ saugos politikos įgyvendinamaisiais dokumentais ir pasirašęs konfidencialumo pasižadėjimą.

53. „Sveidros“ naudotojų, kuriuos registruoja VLK „Sveidros“ administratorius, konfidencialumo pasižadėjimus saugo VLK saugos įgaliotinis, o „Sveidros“ naudotojų, kuriuos registruoja TLK „Sveidros“ administratoriai, – TLK saugos įgaliotiniai. VLK saugos įgaliotiniui paprašius, TLK saugos įgaliotiniai privalo pateikti TLK užregistruotų „Sveidros“ naudotojų sąrašą ir konfidencialumo pasižadėjimų kopijas.

54. Už „Sveidros“ duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako „Sveidros“ valdytojas, „Sveidros“ tvarkytojai ir naudotojai. „Sveidros“ naudotojai atsako tik už jiems prieinamų „Sveidros“ duomenų saugą.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

55. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atlikus „Sveidros“ duomenų saugos rizikos įvertinimą.

___________________