2.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

2.5. Duomenų saugos nuostatais,

2.6. VLK ir TLK organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, patvirtintu VLK direktoriaus 2017 m. kovo 9 d. įsakymu Nr. 1K-52 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo patvirtinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

2.7. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.8. LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“.

3.1. VLK informacinės sistemos naudotojas – ligonių kasų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, bei išorės naudotojai, turintys teisę naudotis VLK informacinių sistemų ištekliais tam tikroms funkcijoms atlikti.

3.2. Informacinių sistemų administratoriai – ligonių kasų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, arba trečiųjų šalių darbuotojai pagal sutartį teikiantys priežiūros, diegimo ar kitas paslaugas, susijusias su informacinėmis technologijomis, ir turintys teisę naudotis VLK informacinių sistemų ištekliais tam tikroms funkcijoms atlikti.

3.3. Kitos sąvokos, atitinkančios Taisyklių 2 punkte nurodytuose teisės aktuose vartojamas sąvokas.

9.1.    kompiuterinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų ir užtikrinamas šios įrangos gamintojų garantinis aptarnavimas;

9.2.    visose tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti įdiegta ir reguliariai atnaujinama virusų bei kitų kenkėjų kodo aptikimo ir šalinimo antivirusinė programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose turi būti naudojamos ir reguliariai atnaujinamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės;

9.3.    tarnybinės stotys turi būti apsaugotos nuo elektros srovės svyravimų ir (ar) nutrūkimo naudojant rezervinius elektros įvadus, vietinį elektros generatorių, nenutrūkstamo svarbiausios kompiuterinės įrangos maitinimo šaltinius (UPS), užtikrinančius šios įrangos veikimą ne mažiau kaip 60 min.;

9.4.    tarnybinėse stotyse ir kompiuterizuotuose darbo vietose turi būti įdiegtos darbo parametrų stebėjimo ir valdymo funkcijos; turi būti siunčiami perspėjimai, kai pagrindinėje kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, arba ilgą laiką labai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;

9.5. pagrindinės tarnybinės stotys, svarbiausi duomenų perdavimo tinklo mazgai ir ryšio linijos esant techninių galimybių turi būti dubliuojami ir jų techninė būklė nuolat stebima;

9.6.    svarbiausios kompiuterinės įrangos gedimai turi būti registruojami atsakingų administratorių;

9.7.    naudotojų kompiuteriai turi būti tinkamai paruošti darbui nustatyta tvarka, turi būti įdiegti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

9.8.    nuotolinis prisijungimas prie kompiuterinės įrangos turi būti vykdomas algoritmu (protokolu), skirtu duomenims šifruoti (SSL/TLS/VPN/SSH);

9.9.    tiesioginė prieiga prie tarnybinių stočių suteikiama tik informacinių sistemų administratoriams;

9.10.  kitos kompiuterinės įrangos saugos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

10.1.  VLK informacinių sistemų programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų;

10.2.  kompiuterizuotose darbo vietose darbo funkcijoms vykdyti turi būti naudojama tik legali, patikrinta, patikimų gamintojų programinė įranga, naudojama darbo funkcijoms vykdyti įtraukta į leistinos programinės įrangos sąrašą;

10.3.  programinės įrangos testavimas turi būti atliekamas naudojant atitinkamą testavimo aplinką;

10.4.  programinės įrangos diegimą, konfigūravimą ir šalinimą turi vykdyti atitinkamos informacinės sistemos administratorius arba šių paslaugų teikėjų atsakingas darbuotojas pagal atitinkamų paslaugų teikimo ir priežiūros sutartį;

10.5.  programinės įrangos gedimai turi būti registruojami VLK naudotojų aptarnavimo tarnybos informacinėje sistemoje;

10.6.  VLK informacinių sistemų naudotojams nesinaudojant kompiuterių įranga ilgiau nei 15 minučių, kompiuteriai turi būti užrakinami automatiškai, iš naujo prie jų prisijungti turi būti galima tik pakartotinai patvirtinus savo tapatybę;

10.7.  kitos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

11.1.  informacinių sistemų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę. Ugniasienės įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos pagal naujausias gamintojo rekomendacijas;

11.2.  informacinės sistemos programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų – SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting) ir kitų;

11.3.  telekomunikacijos tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones;

11.4.  nuotoliniu būdu prisijungiantys VLK informacinių sistemų naudotojai, kurie duomenis perduoda ir gauna viešaisiais telekomunikacijų tinklais, perduodamų duomenų konfidencialumą užtikrina naudodami duomenų šifravimą arba virtualų privatų tinklą;

11.5.  kitos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

12.1.  patalpose turi būti įrengtos nedegios metalinės, atsparios laužimui, savaime užsidarančios ir visada rakinamos durys;

12.2.  patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;

12.3.  patalpose turi būti įrengtas šildymas, vėdinimas ir oro kondicionavimas (turi būti priežiūros sutartys);

12.4.  patalpose turi būti įrengta įsilaužimo signalizacija (garsinė, judesio);

12.5.  patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

12.6.  patekimas į patalpas, kuriose yra tarnybinės stotys, ir patalpas, kuriose saugomos atsarginės kopijos, kontroliuojamas naudojant vaizdo stebėjimo sistemą;

12.7.  įėjimo į patalpas kontrolę vykdo VLK arba TLK fizinės saugos įgaliotinis;

12.8.  į VLK tarnybinių stočių patalpas gali patekti tik VLK direktoriaus patvirtintame sąraše išvardyti darbuotojai. Į TLK tarnybinių stočių patalpas gali patekti tik TLK direktoriaus patvirtintame sąraše išvardyti darbuotojai. Įeinančių į patalpas asmenų tapatybė nustatoma ir fiksuojama elektroninės tapatybės nustatymo ir praėjimo kontrolės sistemoje (naudojama elektroninės tapatybės nustatymo kortelė). Jei elektroninės tapatybės nustatymo ir praėjimo kontrolės sistemos nėra, naudojami fiziniai raktai ir įėjimo žurnalai;

12.9.  tarnybinių stočių valymas, elektros tinklo priežiūra, patalpų remonto ir kiti darbai atliekami tik dalyvaujant darbuotojui, turinčiam leidimą patekti į tarnybinių stočių patalpas;

12.10.  kitos tarnybinių stočių patalpų ir aplinkos saugumo užtikrinimo priemonės numatytos VLK ir TLK fizinės saugos tvarkos apraše, kuris tvirtinamas VLK direktoriaus įsakymu.

17.1.    informacinių sistemų naudotojų tapatybė ir veiksmai, atliekami su informacinių sistemų duomenimis, fiksuojami programinėmis priemonėmis;

17.2.    informacinių sistemų naudotojų veiksmai įrašomi automatiniu būdu ligonių kasų informacinių sistemų duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jo duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo. Šio žurnalo duomenys yra prieinami informacinių sistemų administratoriams pagal jų atliekamas darbo funkcijas.

37.1.    techninės ir programinės įrangos apskaitos tvarkymą;

37.2.    atitinkamus draudimus VLK informacinių sistemų naudotojams dirbant su technine ir programine įranga;

37.3.    techninių įrenginių skyrimo ir naudojimo tvarką;

37.4.    kenksmingos programinės įrangos aptikimo priemones; techninio aptarnavimo sąlygas ir pan.

4.1.                      Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.2.                      Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

4.3.                      Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

4.4.                      Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

4.5.                      Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“;

4.6.                      kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacijos tvarkymą.

6.1.                      elektroninės informacijos naudojimo būtinumo principas – elektronine informacija gali naudotis tik tie asmenys ir institucijos, kuriems tai būtina nustatytoms funkcijoms vykdyti;

6.2.                      elektroninės informacijos naudojimo leistinumo principas – naudotojams draudžiami visi veiksmai, kurių jiems atlikti neleidžia Taisyklės ir kiti teisės aktai, reglamentuojantys informacinių sistemų duomenų saugą, saugų elektroninės informacijos tvarkymą ir informacinių sistemų veiklos tęstinumo valdymą;

6.3.                      prieinamumo prie elektroninės informacijos ribojimo principas – teisė naudoti apibrėžtus informacinių sistemų duomenis suteikiama konkrečiam naudotojui, turinčiam unikalų jį identifikuojantį prisijungimo prie atitinkamos informacinės sistemos vardą ir slaptažodį;

6.4.                      elektroninės informacijos vientisumo principas – elektroninė informacija negali būti atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta. Šiam principui įgyvendinti informacinių sistemų elektroninė informacija turi būti perduodama saugiu duomenų perdavimo tinklu, ji turi būti apsaugota nuo pašalinio įsilaužimo, nuo asmenų, neturinčių prieigos prie informacinių sistemų teisės, bandymų koreguoti elektroninę informaciją;

6.5.                      duomenų konfidencialumo principas – elektroninė informacija turi būti tvarkoma vadovaujantis VLK valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis VLK direktoriaus įsakymu, ir neturi būti matoma pašaliniams asmenims. Šis principas turi būti įgyvendinamas priskiriant informacinių sistemų naudotojams atitinkamus vaidmenis ir teises;

6.6.                      duomenų teisingumo principas – informacinių sistemų duomenys turi būti pagrįsti įrodymais, turi būti žinomas jų pirminis šaltinis. Šį principą atitinkantys duomenys laikomi teisingais tol, kol jie nenuginčijami Lietuvos Respublikos įstatymų ir Europos Sąjungos teisės aktų nustatyta tvarka.

7.1.   Taisyklėmis;

7.2.   VLK valdomų informacinių sistemų duomenų saugos nuostatais;

7.3.   VLK valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis;

7.4.   VLK valdomų informacinių sistemų ir ryšio technologijų veiklos tęstinumo valdymo planu, patvirtintu VLK direktoriaus įsakymu.

8.1.   rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti informacinės sistemos duomenis tik savo tiesioginėms funkcijoms, nustatytoms pareigybių aprašymuose, vykdyti;

8.2.   renkant, tvarkant, perduodant, saugant, naikinant ar kitaip naudojant informacinės sistemos duomenis vadovautis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą;

8.3.   laikytis ligonių kasų Informacijos saugos valdymo sistemos (toliau – ISVS) dokumentuose nustatytų elektroninės informacijos saugos reikalavimų

8.4.   naudotojams, įgaliotiems vykdyti tam tikras funkcijas, draudžiama atlikti veiksmus, kuriems jie neturi įgaliojimų;

8.5.   naudojantis Informacinių technologijų ir informacinių sistemų pagalbos tarnybos informacine sistema (toliau – NAT IS) nedelsiant pranešti apie informacinių sistemų veiklos sutrikimus, apie esamus arba galimus elektroninės informacijos saugos reikalavimų pažeidimus bei kitus neteisėtus naudotojų veiksmus. Jeigu nėra galimybės pranešti apie tai per NAT IS, pranešti naudojantis kitomis informavimo priemonėmis;

8.6.   susipažinti su informacinės sistemos saugos dokumentais;

8.7.   pasirašyti nustatytos formos konfidencialumo pasižadėjimą;

8.8.   laikytis visų informacinės sistemos saugos dokumentuose nustatytų reikalavimų.

9.1.   gauti visą informaciją, reikalingą savo funkcijoms informacinėse sistemose atlikti;

9.2.   teikti siūlymus dėl papildomų informacinių sistemų funkcijų;

9.3.   teikti siūlymus informacinės sistemos saugos įgaliotiniui dėl elektroninės informacijos saugos priemonių taikymo;

9.4.   naudotis NAT IS pildant prašymą dėl techninės ir metodinės pagalbos, reikalingos vykdant jiems suteiktus įgaliojimus, jei nėra galimybių registruoti sutrikimą;

9.5.   atlikti kitus veiksmus, numatytus ligonių kasų dokumentuose, reglamentuojančiuose informacinių sistemų saugą;

9.6.   atitinkama tvarka pateikti prašymą dėl naudotojo prieigos prie informacinės sistemos sukūrimo arba atkūrimo, ar panaikinimo.

10.1.  suteikti, panaikinti ar pakeisti prieigos teises naudotojams, atsižvelgiant į naudotojų ar jų vadovų pateiktus prašymus ir atliekamas funkcijas informacinėse sistemose;

10.2.  suteikiant, panaikinant ar keičiant prieigos prie informacinių sistemų teises ir slaptažodžius vadovautis Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;

10.3.  pagal NAT IS arba Naudotojų tapatybių ir teisių valdymo sistemoje (toliau – NTTVS) registruotą prašymą laiku atnaujinti pasikeitusius naudotojo duomenis;

10.4.  pagal kompetenciją konsultuoti naudotojus dėl informacinės sistemos veikimo ir teikti jiems reikiamą techninę pagalbą;

10.5.  diegti informacinės sistemos pakeitimus, užtikrinti tinkamą informacinės sistemos duomenų bazių ir posistemių (jei yra) funkcionavimą, atlikti kitus veiksmus, nuo kurių priklauso tinkamas informacinės sistemos programinės įrangos veikimas;

10.6.  registruoti ir (ar), spręsti ir šalinti sutrikimus, susijusius su informacinės sistemos programinės įrangos veikimu;

10.7.  vykdyti kitas VLK valdomų informacinių sistemų duomenų saugos nuostatuose ir (arba) Detalios paciento lygio sąnaudų apskaitos informacinės sistemos duomenų saugos nuostatuose, patvirtintuose VLK direktoriaus įsakymu, nustatytas funkcijas.

11.1.  panaikinti naudotojo prieigą, jei buvo nustatyta, kad naudotojas nesilaiko VLK valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse nustatytų reikalavimų;

11.2.  panaikinti naudotojo prieigą, jeigu buvo nustatyta, kad naudotojas pažeidė Reglamentą ar Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatas;

11.3.  panaikinti naudotojo prieigą atsižvelgiant į vadovo prašymą, informuojantį, kad naudotojas nutraukia darbo santykius su ligonių kasomis arba pasikeičia naudotojo funkcijos ir joms vykdyti nereikia prieigos prie informacinės sistemos;

11.4.  perduoti prieigos suteikimo naudotojams funkcijas TLK administratoriams (pagal kompetenciją ir poreikį) ir kontroliuoti jų veiksmus;

12.1.  skaityti, kurti, atnaujinti, naikinti informacinės sistemos informaciją, tiesiogiai susijusią su TLK vykdomomis funkcijomis, tiesiogiai stebėti ir kontroliuoti TLK naudotojų veiksmus;

12.2.  teikti informaciją VLK administratoriams apie informacinės sistemos programinės įrangos sutrikimus ir dalyvauti juos šalinant;

15.1. vadovaujantis ligonių kasų darbuotojo ar jo vadovo (ar jį pavaduojančio darbuotojo) pateiktu per NAT IS arba NTTVS prašymu, ligonių kasų darbuotojui suteikiamos, koreguojamos ar panaikinamos prieigos teisės;

15.2. ligonių kasų darbuotojas prašymą suderina su savo vadovu ar jį pavaduojančiu darbuotoju, užtikrinančiais, kad prašoma teisė į prieigą atitinka darbuotojo pareigybės aprašyme numatytas funkcijas;

15.3. ligonių kasų darbuotojo, kurio atliekamos funkcijos keičiasi arba su juo nutraukiami darbo santykiai, vadovas ar jį pavaduojantis darbuotojas turi užtikrinti, kad būtų panaikinta šio ligonių kasų darbuotojo teisė į prieigą. Jeigu darbuotojas NAT IS arba NTTVS nėra registravęs prašymo apie prieigos teisių panaikinimą, tai atlieka jo vadovas ar jį pavaduojantis darbuotojas;

15.4. informacinės sistemos saugos įgaliotinis, gavęs užduotį per NAT IS, patikrina, ar darbuotojas, kuriam prašoma suteikti teisę į prieigą, yra susipažinęs su informacijos saugos valdymo sistemos dokumentais ir pasirašęs nustatytos formos konfidencialumo pasižadėjimą, kurio forma pateikiama Informacijos saugos nuostatų, patvirtintų VLK direktoriaus įsakymu, 4 priede;

15.5. jeigu darbuotojas nėra susipažinęs su Taisyklių 15.4 papunktyje nurodytais dokumentais ir nėra pasirašęs konfidencialumo pasižadėjimo, atitinkamos informacinės sistemos informacijos saugos įgaliotinis būsimą naudotoją su jais supažindina, o naudotojas pasirašo konfidencialumo pasižadėjimą;

15.6. administratorius ne vėliau kaip kitą darbo dieną nuo informacinės sistemos saugos įgaliotinio patvirtinimo, kad darbuotojas yra supažindintas su informacijos saugos valdymo sistemos dokumentais, dienos suteikia šiam darbuotojui prieigą, ją atnaujina arba panaikina ir apie tai jį informuoja;

15.7. Finansų valdymo apskaitos informacinės sistemos, Europos duomenų mainų informacinės sistemos ir Eilių ir atsargų valdymo informacinės sistemos atveju prieigos teisė darbuotojui suteikiama, keičiama ar panaikinama naudojantis NTTVS ir vadovaujantis VLK bei TLK informacinių išteklių naudotojų tapatybių ir teisių valdymo tvarkos aprašu, patvirtintu VLK direktoriaus įsakymu.

16.1. įstaigos vadovas ar jo įgaliotas asmuo užpildo Prašymo suteikti / panaikinti prieigą prie informacinės sistemos formą (1 priedas) (toliau – prašymas) ir elektroninėmis priemonėmis pateikia ją ligonių kasoms kartu su pasirašytu nustatytos formos Informacinės sistemos išorės naudotojo konfidencialumo pasižadėjimu (2 priedas);

16.2. įstaigos vadovas ar kitas įgaliotas asmuo, teikdamas prašymą, užtikrina, kad prašoma suteikti teisė į prieigą atitinka darbuotojo pareigybės aprašyme nustatytas funkcijas;

16.3. prašymas užregistruojamas Dokumentų valdymo sistemoje ir priskiriamas atsakingam už atitinkamos sutarties vykdymą ar atitinkamo projekto vykdymą ligonių kasų darbuotojui;

16.4. ligonių kasų darbuotojas, atsakingas už atitinkamos sutarties arba atitinkamo projekto vykdymą, gavęs užduotį per Dokumentų valdymo sistemą ir patikrinęs, ar prašymo teikėjui galima suteikti prieigą, pildo NAT IS prašymą suteikti teisę į prieigą;

16.5. jei išorės darbuotojui prieiga dėl pasikeitusių jo funkcijų yra nebereikalinga, įstaigos vadovas ar kitas įgaliotasis asmuo privalo ne vėliau kaip prieš 5 darbo dienas iki šio darbuotojo prieigos teisės panaikinimo dienos pateikti VLK prašymą šią teisę panaikinti;

16.6. informacinės sistemos saugos įgaliotinis, gavęs užduotį per NAT IS, patikrina, ar naudotojas, kuriam prašoma suteikti prieigos teisę, yra susipažinęs su atitinkamos informacinės sistemos dokumentais ir pasirašęs konfidencialumo pasižadėjimą;

16.7. jeigu būsimasis naudotojas nėra susipažinęs su atitinkamos informacinės valdymo dokumentais ir nėra pasirašęs konfidencialumo pasižadėjimo, atitinkamos informacinės sistemos informacijos saugos įgaliotinis būsimąjį naudotoją su jais supažindina, o būsimasis naudotojas pasirašo konfidencialumo pasižadėjimą;

16.8.  VLK administratorius sugeneruoja saugaus prisijungimo raktą, skirtą jungtis saugiu virtualiu privataus tinklo (VPN) kanalu iki VLK tinklo;

16.9.  administratorius ne vėliau kaip kitą darbo dieną nuo informacinės sistemos saugos įgaliotinio patvirtinimo, kad darbuotojas yra supažindintas su atitinkamos informacinės sistemos dokumentais, dienos suteikia šiam darbuotojui teisę į prieigą, ją atnaujina arba panaikina ir apie tai šį darbuotoją informuoja.

18.1. naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

18.2. nėra techninių galimybių naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

20.1. vykdomas naudotojo veiklos tyrimas ir jis nušalinamas nuo pareigų Lietuvos Respublikos valstybės tarnybos įstatymo, Lietuvos Respublikos darbo kodekso ar kitų teisės aktų pagrindais;

20.2. darbuotojas atliko neleistinus veiksmus ar pažeidė asmens duomenų apsaugos reikalavimus.

1.1. savo darbe tvarkysiu asmens ir (ar) asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiesiems asmenims ar institucijoms;

1.2. draudžiama perduoti neįgaliotiesiems asmenims slaptažodžius ir kitus duomenis, įgalinančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

1.3. netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

2.1. saugoti asmens duomenų paslaptį;

2.2. tvarkyti asmens duomenis vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos įstatymais ir kitais teisės aktais bei taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;

2.3. neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų sužinoti jos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įmonės / įstaigos viduje, tiek už jos ribų;

2.4. pranešti savo vadovui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę asmens duomenų saugumui;

2.5. saugoti informacinės sistemos slaptažodį, jį sudarant vadovautis ligonių kasų informacinių sistemų naudotojų administravimo taisyklėmis;

2.6. pranešti apie suteiktų prieigos teisių panaikinimą, jei nėra poreikio naudotis atitinkama informacine sistema.

3.1. už šio pasižadėjimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal Lietuvos Respublikos įstatymus;

3.2. asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo / duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą Reglamento, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų Lietuvos Respublikos teisės aktų nustatyta tvarka;

3.3. duomenų valdytojas ar duomenų tvarkytojas atlygina asmeniui padarytą žalą Lietuvos teisės aktų nustatyta tvarka;

3.4. šis pasižadėjimas galios visą mano darbo laiką šioje įmonėje / įstaigoje (taip pat perėjus dirbti į kitą įmonę / įstaigą arba pasibaigus darbo santykiams).

2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

2.4. VLK valdomų informacinių sistemų duomenų saugos nuostatais, patvirtintais VLK direktoriaus 2017 m. gruodžio 6 d. įsakymu Nr. 1K-234 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.5. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.6. Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai “.

3.1. informacinės sistemos ir ryšių technologijos – informacinės sistemos, programinė ir techninė įranga, infrastruktūra ir kiti informaciniai technologiniai ištekliai;

3.2. kitos Veiklos tęstinumo valdymo plane vartojamos sąvokos atitinka Veiklos tęstinumo valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

12.1.  informacinių sistemų teikiami duomenys yra atnaujinami ir išsaugomi;

12.2.  veikia atitinkamų informacinių sistemų integracinės duomenų mainų sąsajos, keičiamasi duomenimis su informacinių sistemų duomenų teikėjais / gavėjais;

12.3.  IRT tampa prieinamos, tinkamai veikia jų funkcijos;

12.4.  informacinių sistemų naudotojai gali atlikti savo darbo funkcijas informacinėse sistemose įprastu būdu.

15.1.  VLK Informacinių technologijų departamento (toliau – ITD) direktorius (darbo grupės pirmininkas);

15.2.  VLK ITD Informacinių sistemų plėtros skyriaus vedėjas (darbo grupės pirmininko pavaduotojas);

15.3.  VLK ITD Draudžiamųjų privalomuoju sveikatos draudimu registro skyriaus vedėjas;

15.4.  informacinių sistemų saugos įgaliotiniai ir TLK saugos įgaliotiniai (jei būtina);

15.5.  VLK kibernetinio saugumo vadovas;

15.6.  VLK informacinės saugos įgaliotinis;

15.7.  kiti informacinių sistemų valdytojo deleguoti ir VLK direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis (jei būtina).

17.1.  situacijos analizė ir sprendimų IRT veiklos tęstinumo valdymo klausimais priėmimas;

17.2.  bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

17.3.  bendravimas su kitų susijusių organizacijų veiklos tęstinumo valdymo grupėmis;

17.4.  bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

17.5.  finansinių ir kitų išteklių, būtinų veiklai atkurti įvykus saugos incidentui, naudojimo kontrolė;

17.6.  elektroninės informacijos fizinės saugos užtikrinimas įvykus saugos incidentui;

17.7.  logistika (žmonių, daiktų, įrangos gabenimas ir šio darbo organizavimas);

17.8.  IRT veiklos atkūrimo priežiūra ir koordinavimas;

17.9.  kitos Veiklos tęstinumo valdymo grupei pavestos funkcijos.

18.1.  VLK ITD Informacinės sistemos eksploatavimo skyriaus vedėjas (darbo grupės pirmininkas);

18.2.  VLK ITD Informacinės sistemos eksploatavimo skyriaus vyriausiasis specialistas (darbo grupės pirmininko pavaduotojas);

18.3.  informacinių sistemų ir infrastruktūros administratoriai;

18.4.  fizinės saugos įgaliotiniai (jei būtina);

18.5.  kiti informacinių sistemų valdytojo deleguoti ir VLK direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis (jei būtina);

20.1.  tarnybinių stočių veiklos atkūrimo organizavimas;

20.2.  kompiuterių tinklo veiklos atkūrimo organizavimas;

20.3.  informacinių sistemų duomenų ir elektroninės informacijos atkūrimo organizavimas;

20.4.  taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

20.5.  darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

20.6.  kitos IRT veiklos atkūrimo grupei pavestos funkcijos.

25.1.  informacinių sistemų naudotojai privalo nedelsdami pranešti apie saugos incidentą, kaip numatyta Veiklos tęstinumo valdymo plano 8 punkte;

25.2.  saugos incidentas aprašomas, nurodant jo vietą, laiką, pobūdį bei kitą su juo susijusią informaciją, ir registruojamas NAT IS;

25.3.  saugos įgaliotiniai ar administratoriai, gavę pranešimą apie saugos incidentą, nedelsdami turi imtis reikiamų veiksmų saugos incidentui sustabdyti ir pranešti apie tai Veiklos tęstinumo valdymo grupės pirmininkui bei VLK kibernetinio saugumo vadovui;

25.4.  informacinės sistemos saugos įgaliotinis (-iai) kartu su Veiklos atkūrimo grupe rengia ir koreguoja VLK valdomų IRT veiklos tęstinumo valdymo detalųjį planą ir teikia Veiklos tęstinumo valdymo grupei derinti;

25.5.  VLK kibernetinio saugumo vadovas nustato saugos kibernetinio incidentų valdymo, tyrimo, šalinimo prioritetus ir apie juos informuoja Nacionalinį kibernetinio saugumo centrą VLK ir TLK organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo, patvirtinto VLK direktoriaus 2017 m. kovo 9 d. įsakymu Nr. 1K-52 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo patvirtinimo“, nustatyta tvarka;

25.6.  Veiklos atkūrimo grupės nariai pagal kompetenciją atkuria informacinių sistemų tarnybinės stoties bei programinės įrangos veikimą ir apie atliktus veiksmus nedelsdami informuoja informacinės sistemos saugos įgaliotinį (-ius) bei Veiklos tęstinumo valdymo grupės pirmininką;

25.7.  Veiklos tęstinumo valdymo grupės vadovas organizuoja žalos informacinių sistemų elektroninei informacijai, informacinių sistemų techninei bei programinei įrangai vertinimą, koordinuoja techninės, sisteminės ir taikomosios programinės įrangos, būtinos informacinės sistemos veiklai atkurti, įsigijimą.

27.1.  šios patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

27.2.  šios patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;

27.3.  šios patalpos turi būti apsaugotos skirtingos konstrukcijos spynomis;

27.4.  šiose patalpose turi būti įrengtas rezervinis elektros energijos šaltinis, užtikrinantis įrangos veikimą ne trumpiau kaip 30 minučių;

27.5.  šiose patalpose nuolat turi veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema).

45.1.  operatyvumo – kiek galima greičiau pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. Saugos įgaliotiniai nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

45.2.  veiksmingumo – trūkumų šalinimas laikomas veiksmingu, jei pavyksta sumažinti konkretaus trūkumo daromą neigiamą poveikį informacinėms sistemoms;

45.3.  ekonomiškumo – pašalinti visus trūkumus taupiai naudojant turimus išteklius.