Suvestinė redakcija nuo 2019-10-22
Įsakymas paskelbtas: TAR 2018-04-12, i. k. 2018-05891
LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2018 m. balandžio 10 d. Nr. V-405
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu, 30 straipsnio 1 ir 2 dalimis, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 19 punktais:
1. T v i r t i n u pridedamus:
2. P a v e d u Higienos institutui per 5 mėnesius nuo šio įsakymo įsigaliojimo dienos:
2.1. paskirti Visuomenės sveikatos stebėsenos informacinės sistemos saugos įgaliotinį, Visuomenės sveikatos stebėsenos informacinės sistemos administratorių, Visuomenės sveikatos stebėsenos informacinės sistemos duomenų valdymo įgaliotinį;
2.2. parengti ir Lietuvos Respublikos sveikatos apsaugos ministerijai pateikti:
2.2.1. Visuomenės sveikatos stebėsenos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
2.2.2. Visuomenės sveikatos stebėsenos informacinės sistemos veiklos tęstinumo valdymo plano projektą;
Sveikatos apsaugos ministras Aurelijus Veryga
SUDERINTA:
Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos 2018 m. vasario 27 d. raštu Nr. S-165.
Lietuvos Respublikos vidaus reikalų ministerijos 2018 m. vasario 27 d. raštu Nr. 1D-1103.
Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2016 m. kovo 6 d. raštu Nr. (4.2)6K-65.
Valstybinės duomenų apsaugos inspekcijos 2018 m. vasario 26 d. raštu Nr. 2R-1400 (3.33).
Lietuvos statistikos departamento 2018 m. vasario 26 d. raštu Nr. SD-147.
Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos 2018 m. vasario 27 d. raštu Nr. (1.22)2R-423.
Lietuvos savivaldybių asociacijos 2018 m. kovo 1 d. raštu Nr. (19)-SD-118.
Savivaldybių visuomenės sveikatos biurų asociacijos 2018 m. vasario 27 d. raštu Nr. AS-23.
Valstybės įmonės Registrų centro 2017 m. spalio 2 d. raštu Nr. (1.1.79)s-8309.
Radiacinės saugos centro 2017 m. rugsėjo 22 d. raštu Nr. 1.6-2-2638.
Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos 2018 m. vasario 27 d. raštu Nr. D2-1785-(1.13).
Nacionalinio transplantacijos biuro prie Sveikatos apsaugos ministerijos 2018 m. vasario 27 d. raštu Nr. T5-91.
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos
ministro 2018 m. balandžio 10 d.
įsakymu Nr. V-405
VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Visuomenės sveikatos stebėsenos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Visuomenės sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) steigimo teisinį pagrindą, tikslus, uždavinius ir pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, bendruosius reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.
2. Informacinės sistemos steigimo pagrindas – Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. liepos 24 d. nutarimu Nr. 926 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų patvirtinimo“, 9.2 papunktis.
3. Pagrindiniai teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma informacinė sistema:
3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p.1);
Papildyta papunkčiu:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (toliau – Įstatymas);
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.3. Lietuvos Respublikos sveikatos sistemos įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.4. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.6. Lietuvos Respublikos kibernetinio saugumo įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.7. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.8. Lietuvos Respublikos visuomenės sveikatos stebėsenos (monitoringo) įstatymas;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.10. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.11. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.12. Bendrieji savivaldybių visuomenės sveikatos stebėsenos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2003 m. rugpjūčio 11 d. įsakymu Nr. V-488 „Dėl Bendrųjų savivaldybių visuomenės sveikatos stebėsenos nuostatų patvirtinimo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.13. Privalomų registruoti nepageidaujamų įvykių sąrašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. gegužės 6 d. įsakymu Nr. V-401 „Dėl Privalomų registruoti nepageidaujamų įvykių sąrašo ir jų registravimo tvarkos aprašo patvirtinimo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.14. Nepageidaujamų įvykių stebėsenos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. gegužės 6 d. įsakymu Nr. V-401 „Dėl Nepageidaujamų įvykių stebėsenos aprašo patvirtinimo;
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.15. Hospitalinių infekcijų epidemiologinės priežiūros tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. lapkričio 14 d. įsakymu Nr. V-1110 „Dėl hospitalinių infekcijų epidemiologinės priežiūros ir valdymo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.16. Infekcijų kontrolės darbuotojų veiklos, vykdant infekcijų epidemiologinę priežiūrą ir valdymą asmens sveikatos priežiūros įstaigose, aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. lapkričio 14 d. įsakymu Nr. V-1110 „Dėl hospitalinių infekcijų epidemiologinės priežiūros ir valdymo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.17. Antimikrobinių vaistinių preparatų vartojimo stebėsenos tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. vasario 19 d. įsakymu Nr. V-228 „Dėl Antimikrobinių vaistinių preparatų vartojimo stebėsenos tvarkos aprašo patvirtinimo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.18. Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymas Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.19. Lietuvos Respublikos sveikatos apsaugos ministro 2006 m. lapkričio 13 d. įsakymas Nr. V-938 „Dėl sveikatos statistinių ataskaitų patvirtinimo“;
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
3.20. kiti teisės aktai.
Papunkčio numeracijos pakeitimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
4. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.
5. Informacinės sistemos tikslas – informacinių technologijų priemonėmis surinkti, apdoroti ir pateikti analizei visuomenės sveikatos stebėsenos statistinius duomenis.
6. Informacinės sistemos naudotojų asmens duomenų tvarkymo tikslas – užtikrinti Informacinės sistemos naudotojų identifikavimą ir komunikavimą.
7. Informacinės sistemos uždaviniai:
7.1. automatizuoti hospitalinių infekcijų epidemiologinės priežiūros statistinių duomenų surinkimą, apdorojimą ir pateikimą analizei;
7.2. automatizuoti antimikrobinių vaistinių preparatų suvartojimo stebėsenos statistinių duomenų surinkimą, apdorojimą ir pateikimą analizei;
7.3. automatizuoti nepageidaujamų įvykių stebėsenos statistinių duomenų surinkimą, apdorojimą ir pateikimą analizei;
7.4. automatizuoti gyvensenos stebėsenos statistinių duomenų surinkimą, apdorojimą ir pateikimą analizei;
7.5. automatizuoti sveikatos priežiūros įstaigų metinių sveikatos statistinių ataskaitų duomenų surinkimą, apdorojimą ir pateikimą analizei;
8. Pagrindinės Informacinės sistemos funkcijos:
8.1. rinkti ir kaupti hospitalinių infekcijų epidemiologinės priežiūros, antimikrobinių vaistinių preparatų suvartojimo, nepageidaujamų įvykių stebėsenos, gyvensenos statistinius duomenis;
II SKYRIUS
Informacinės sistemos ORGANIZACINĖ STRUKTŪRA
9. Informacinės sistemos valdytoja ir asmens duomenų valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija.
10. Pagrindinis Informacinės sistemos tvarkytojas ir asmens duomenų tvarkytojas – Higienos institutas.
11. Kiti Informacinės sistemos tvarkytojai – sveikatos priežiūros įstaigos:
11.1. asmens sveikatos priežiūros įstaigos tvarko Nuostatų 16.1, 16.3, 16.5 papunkčiuose nurodytus duomenis;
11.2. visuomenės sveikatos priežiūros įstaigos ir Sveikatos apsaugos ministerijai pavaldžios biudžetinės įstaigos tvarko Nuostatų 16.5 papunktyje nurodytus duomenis;
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
11.3. stacionarines asmens sveikatos priežiūros paslaugas teikiančios įstaigos tvarko Nuostatų 16.2 papunktyje nurodytus duomenis;
12. Informacinės sistemos valdytojas atlieka Įstatyme, Asmens duomenų teisinės apsaugos įstatyme numatytas funkcijas, turi teises ir vykdo pareigas, nustatytas Reglamente (ES) 2016/679, Įstatyme, Asmens duomenų teisinės apsaugos įstatyme.
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
13. Pagrindinis Informacinės sistemos tvarkytojas, kiti Informacinės sistemos tvarkytojai atlieka Įstatyme numatytas funkcijas, turi teises ir vykdo pareigas, nustatytas Reglamente (ES) 2016/679, Įstatyme, taip pat:
13.1. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;
13.2. atsako už Informacinės sistemos asmens duomenų tvarkymo ir teikimo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;
13.3. atsižvelgdami į duomenų tvarkymo pobūdį Informacinės sistemos valdytojo nustatyta tvarka padeda Informacinės sistemos valdytojui, taikydami tinkamas technines ir organizacines priemones, įvykdyti Informacinės sistemos valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
13.4. Informacinės sistemos valdytojo nustatyta tvarka pagal kompetenciją užtikrina Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir Informacinės sistemos tvarkytojo turimą informaciją;
13.5. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinėje sistemoje tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
13.6. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) Informacinės sistemos valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą Informacinės sistemos valdytojo nustatyta tvarka;
13.7. pagal kompetenciją dalyvauja rengiant teisės aktų, susijusių su Informacinės sistemos duomenų tvarkymu ir sauga, projektus, diegia reikiamas technines ir technologines priemones;
13.8. pagal kompetenciją pateikia Informacinės sistemos valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda Informacinės sistemos valdytojui arba kitam Informacinės sistemos valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas informuoja Informacinės sistemos valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;
13.9. pagal kompetenciją teikia Informacinės sistemos valdytojui pasiūlymus dėl Informacinės sistemos plėtros.
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
14. Pagrindinis Informacinės sistemos tvarkytojas, be 13 punkte nurodytų funkcijų, taip pat:
14.2. užtikrina Informacinės sistemos sąveiką su susijusiais registrais ir valstybės informacinėmis sistemomis;
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
15. Duomenų teikėjai:
15.1. Higienos institutas teikia Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenis;
15.3. Lietuvos statistikos departamentas teikia Oficialiosios statistikos portalo statistinę informaciją;
15.4. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
15.6. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
15.7. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
15.8. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
15.9. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
III SKYRIUS
INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA
16. Informacinės sistemos struktūrą sudaro:
16.1. Hospitalinių infekcijų duomenų bazė:
16.1.1. paplitimo tyrimo, atliekamo stacionarinėse asmens sveikatos priežiūros paslaugas teikiančiose įstaigose: bendrojo pobūdžio, slaugos ir palaikomojo gydymo, specializuotose ligoninėse, duomenys;
16.1.2. nuolatinės operacinių žaizdų infekcijų epidemiologinės priežiūros chirurgijos skyriuose duomenys;
16.1.3. nuolatinės hospitalinių infekcijų epidemiologinės priežiūros reanimacijos intensyviosios terapijos skyriuose duomenys;
16.2. Antimikrobinių vaistinių preparatų suvartojimo asmens sveikatos priežiūros įstaigose (toliau – ASPĮ) duomenų bazė:
16.3. Nepageidaujamų įvykių stebėsenos duomenų bazė:
16.3.1. ASPĮ specialisto pateikta informacija (nepageidaujamo įvykio užregistravimo data, nepageidaujamo įvykio data, vieta, grupė, pogrupis, sukelta žala, siūlomos nepageidaujamo įvykio prevencinės priemonės, trumpas nepageidaujamo įvykio aprašymas, nurodant galimas priežastis ir aplinkybes), paciento duomenys (amžius, lytis);
16.3.2. ASPĮ vadovo įgalioto asmens informacija (nepageidaujamo įvykio informacijos šaltinis, nustatyta pagrindinė nepageidaujamo įvykio priežastis, nustatytos kitos nepageidaujamo įvykio priežastys, nepageidaujamo įvykio pasikartojimo dažnis, trumpas nepageidaujamo įvykio priežasčių ir aplinkybių aprašymas, taikytos/planuojamos taikyti nepageidaujamo įvykio prevencinės priemonės ir jų aprašymas).
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
16.4. Gyvensenos stebėsenos duomenų bazė:
16.4.1. bendri duomenys, pagal kuriuos negalima tiesiogiai ir (ar) netiesiogiai nustatyti asmens tapatybės;
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
16.5. Metinių sveikatos statistinių ataskaitų duomenų bazė:
16.5.1. metinio periodiškumo sveikatos statistinių ataskaitų, teikiamų Higienos institutui pagal Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymą Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“, duomenys;
16.5.6. sveikatos priežiūros įstaigų teisinis statusas:
16.6. Duomenų, skirtų analizei ir grafiniam atvaizdavimui, duomenų bazė:
17. Informacinėje sistemoje tvarkomi Informacinės sistemos naudotojų duomenys:
18. Informacinėje sistemoje naudojami klasifikatorių duomenys:
18.1. Tarptautinės statistinės ligų ir sveikatos sutrikimų klasifikacijos dešimtasis pataisytas ir papildytas leidimas „Sisteminis ligų sąrašas“ (Australijos modifikacija, TLK-10-AM), įdiegtas Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. vasario 23 d. įsakymu Nr. V-164 „Dėl Tarptautinės statistinės ligų ir sveikatos sutrikimų klasifikacijos dešimtojo pataisyto ir papildyto leidimo „Sisteminis ligų sąrašas“ (Australijos modifikacija, TLK-10-AM) įdiegimo“ ir jo pakeitimai;
19. Duomenų teikėjai teikia šiuos duomenis:
19.1. iš Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos teikiami Nuostatų 16.6.1, 16.6.2 papunktyje nurodyti duomenys;
19.2. iš Vaikų sveikatos stebėsenos informacinės sistemos teikiami Nuostatų 16.6.4 papunktyje nurodyti duomenys;
19.3. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
19.4. iš Oficialiosios statistikos portalo teikiama Nuostatų 16.6.3 papunktyje nurodyta statistinė informacija;
19.6. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
19.7. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
19.8. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
19.9. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
IV SKYRIUS
INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA
21. Informacinės sistemos funkcinę struktūrą sudaro:
21.1. autentifikacijos posistemis, kurio funkcijos:
21.2. pranešimų posistemis, kurio funkcijos:
21.3. sveikatos stebėsenos posistemis, kurio funkcijos:
21.4. duomenų rinkimo posistemis, kurio funkcijos:
21.5. ataskaitų ir duomenų analizės posistemis:
21.5.1. rodiklių valdymo modulis, kurio funkcijos:
21.5.2. ataskaitų rengimo modulis, kurio funkcijos:
21.5.3. pokyčių planavimo modulis, kurio funkcijos:
21.5.4. analitikos modulis, kurio funkcijos:
21.6. duomenų atvaizdavimo posistemis, kurio funkcijos:
21.6.2. atvaizduoti sukauptus duomenis ir (ar) iš jų apskaičiuotus rodiklius įvairiomis formomis – lentelėmis, grafikais, žemėlapyje;
21.7. išorinio portalo turinio valdymo posistemis, kurio funkcijos:
21.8. administravimo posistemis, kurio funkcijos:
21.9. duomenų mainų posistemis, kurio funkcijos:
V SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
22. Informacinės sistemos nuasmeninti apibendrinti duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims. Informacinėje sistemoje tvarkomi duomenys teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal duomenų gavėjo rašytinį prašymą (vienkartinio teikimo atveju).
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
23. Informacinės sistemos apibendrinti duomenys gali būti:
24. Informacinės sistemos duomenų gavėjai gautus duomenis ir informaciją gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip nurodyta duomenų teikimo sutartyje arba prašyme. Informacinės sistemos duomenų gavėjas negali keisti iš Informacinės sistemos gautų duomenų ir informacijos ir juos naudodamas privalo nurodyti duomenų šaltinį.
26. Informacinės sistemos duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami Informacinėje sistemoje, ir nereikalauja papildomo duomenų apdorojimo.
27. Daugkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal pagrindinio duomenų tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį.
28. Vienkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal gavėjo prašymą. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.
30. Kai atsisakoma teikti Informacinės sistemos tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.
31. Informacinės sistemos tvarkytojo, pagrindinio tvarkytojo sprendimai atsisakyti teikti Informacinės sistemos duomenis gali būti skundžiami Informacinės sistemos valdytojui. Informacinės sistemos valdytojo veiksmai (neveikimas) gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.
32. Informacinės sistemos sudaryti dokumentų rinkiniai (sveikatos stebėsenos statistinės ataskaitos) teikiami pakartotinai panaudoti bei publikuojami, vadovaujantis Teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo 19–21 straipsnių nuostatomis.
33. Duomenų gavėjai, duomenų subjektai, registro ar valstybės informacinės sistemos tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Gavęs šį reikalavimą, Informacinės sistemos tvarkytojas privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai netikslius duomenis ištaisyti reikalavusį asmenį.
VI SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ SAUGA
34. Informacinės sistemos duomenų sauga užtikrinama vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, taip pat Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, bei kitais duomenų saugą reglamentuojančiais Lietuvos Respublikos teisės aktais.
35. Informacinės sistemos duomenų saugą nustato Informacinės sistemos duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka.
36. Neteko galios nuo 2019-10-22
Punkto naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
37. Už Informacinės sistemos duomenų saugą teisės aktų nustatyta tvarka pagal kompetenciją atsako Informacinės sistemos valdytojas ir Informacinės sistemos tvarkytojai.
38. Duomenys Informacinėje sistemoje saugomi 15 metų, po to perkeliami į Informacinės sistemos archyvą. Privalomos sveikatos statistikos ataskaitos formos Nr. 27, 31, 34, 42 Informacinės sistemos archyve saugomos 25 metus, kitos privalomos sveikatos statistinių ataskaitų formos saugomos nuolat, kiti duomenys saugomi 60 metų.
VII SKYRIUS
INFORMACINĖS SISTEMOS FINANSAVIMAS
40. Informacinės sistemos kūrimas ir plėtra finansuojami Lietuvos Respublikos valstybės biudžeto, įskaitant Europos Sąjungos fondus, lėšomis. Informacinės sistemos eksploatacija ir palaikymas finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis bei gali būti apmokami iš kitų teisėtų finansavimo šaltinių.
VIII SKYRIUS
INFORMACINĖS SISTEMOS MODERNIZAVIMAS IR LIKVIDAVIMAS
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
43. Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias Informacinės sistemos veiklą, atsako Reglamento (ES) 2016/679 ir Lietuvos Respublikos įstatymų nustatyta tvarka.
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
44. Duomenų subjekto teisės, susijusios su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais savo asmens duomenimis ir reikalavimu ištaisyti savo asmens duomenis arba teisė apriboti asmens duomenų tvarkymą įgyvendinamos, vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 8 d. įsakymu Nr. V-800 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“, nustatyta tvarka.
Punkto pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos
ministro 2018 m. balandžio 10 d.
įsakymu Nr. V-405
VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Visuomenės sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Visuomenės sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos ir kibernetinio saugumo politiką.
2. Informacinės sistemos elektroninės informacijos saugos politikos tikslas – užtikrinti Informacinės sistemos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.
3. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
4. Informacinės sistemos elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Informacinės sistemos elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė;
4.2. Informacinės sistemos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;
4.4. Informacinės sistemos paslaugų ir naudojimosi Informacinės sistemos elektronine informacija kontrolės užtikrinimas;
5. Saugos nuostatai taikomi Informacinės sistemos valdytojai – Lietuvos Respublikos sveikatos apsaugos ministerijai, Vilniaus g. 33, LT-01506, Vilnius (toliau – Sveikatos apsaugos ministerija), Informacinės sistemos pagrindiniam tvarkytojui – Higienos institutui, Didžioji g. 22, Vilnius, LT-01128, kitiems Informacinės sistemos tvarkytojams: sveikatos priežiūros įstaigoms, Sveikatos apsaugos ministerijai pavaldžioms viešojo administravimo įstaigoms, Informacinės sistemos saugos įgaliotiniui, Informacinės sistemos administratoriui, Informacinės sistemos naudotojams.
6. Informacinės sistemos valdytojas atlieka Informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. balandžio 10 d. įsakymu Nr. V-405 „Dėl Visuomenės sveikatos stebėsenos informacinės sistemos nuostatų ir Visuomenės sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, nustatytas funkcijas, taip pat:
6.1. tvirtina Saugos nuostatus ir Informacinės sistemos saugos politiką įgyvendinančius dokumentus (toliau – Informacinės sistemos saugos dokumentai);
7. Informacinės sistemos pagrindinis tvarkytojas:
7.1. pagal kompetenciją atsako už Informacinės sistemos elektroninės informacijos tvarkymo teisėtumą ir saugą;
7.2. užtikrina tinkamų organizacinių ir techninių priemonių, skirtų elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;
7.4. pagal kompetenciją teikia Informacinės sistemos valdytojui siūlymus dėl Saugos nuostatų ir Informacinės sistemos saugos dokumentų projektų priėmimo, keitimo;
7.5. užtikrina, kad Informacinės sistemos naudotojai, turintys teisę naudotis Informacinės sistemos elektronine informacija, laikytųsi reikalavimų, nustatytų Saugos nuostatuose ir Informacinės sistemos saugos dokumentuose;
7.6. atlieka Informacinės sistemos duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Informacinės sistemos veikimą;
7.7. užtikrina saugią Informacinės sistemos sąveiką su kitomis informacinėmis sistemomis ir registrais;
7.8. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;
7.9. Informacinės sistemos valdytojo vadovo pavedimu skiria Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos saugos įgaliotinį ir Informacinės sistemos administratorių;
8. Kiti Informacinės sistemos tvarkytojai:
8.1. pagal kompetenciją atsako už Informacinės sistemos elektroninės informacijos tvarkymo teisėtumą ir saugą;
8.2. pagal kompetenciją užtikrina tinkamų organizacinių ir techninių priemonių, skirtų elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;
8.3. pagal kompetenciją teikia Informacinės sistemos valdytojai siūlymus dėl Saugos nuostatų ir Informacinės sistemos saugos dokumentų projektų priėmimo, keitimo;
9. Informacinės sistemos saugos įgaliotinis:
9.1. teikia Informacinės sistemos pagrindinio tvarkytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;
9.2. teikia Informacinės sistemos pagrindinio tvarkytojo vadovui siūlymus dėl Saugos nuostatų ir Informacinės sistemos saugos dokumentų priėmimo arba keitimo;
9.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Informacinėje sistemoje, tyrimą;
9.5. duoda Informacinės sistemos pagrindinio tvarkytojo naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Saugos nuostatų ir Informacinės sistemos saugos dokumentų įgyvendinimu;
9.6. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems Informacinės sistemos pagrindinio tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
9.7. supažindina Informacinės sistemos administratorių ir Informacinės sistemos pagrindinio tvarkytojo naudotojus su Saugos nuostatų ir Informacinės sistemos saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
10. Informacinės sistemos administratoriaus funkcijos::
10.2. diegia ir prižiūri programinę įrangą, reikalingą Informacinės sistemos naudotojų funkcijoms vykdyti;
10.3. suteikia teisę Informacinės sistemos naudotojams naudotis elektronine informacija, kurios reikia jų funkcijoms atlikti;
10.4. užtikrina Informacinės sistemos komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Informacinės sistemos pažeidžiamas vietas;
10.6. pagal kompetenciją teikia Informacinės sistemos tvarkytojo vadovui siūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
10.7. informuoja Informacinės sistemos saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
10.8. atsako už Informacinės sistemos duomenų bazės atsarginių kopijų darymą ir archyve esančių kopijų saugojimą;
11. Teisės aktai, kuriais vadovaujamasi tvarkant Informacinės sistemos elektroninę informaciją ir užtikrinant jos saugumą:
11.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
11.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
Papunkčio pakeitimai:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
11.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
11.7. Neteko galios nuo 2019-10-22
Papunkčio naikinimas:
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
11.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
11.9. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;
II SKYRIUS
INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos nustatymo gairių aprašas), 9.1 ir 9.2 papunkčiais, Informacinės sistemos tvarkoma informacija priskiriama prie vidutinės svarbos informacijos kategorijos.
13. Vadovaujantis Elektroninės informacijos svarbos nustatymo gairių aprašo 12.3 papunkčiu, Informacinė sistema priskiriama prie trečiosios kategorijos informacinių sistemų – Informacinėje sistemoje tvarkoma vidutinės svarbos informacija.
14. Informacinės sistemos saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kasmet organizuoja Informacinės sistemos rizikos įvertinimą. Pasikeitus Informacinės sistemos duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis Informacinės sistemos rizikos įvertinimas.
15. Informacinės sistemos rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Informacinės sistemos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, galimi rizikos valdymo būdai. Svarbiausieji rizikos veiksniai:
15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
15.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
16. Informacinės sistemos rizikos veiksniams vertinti naudojama dvidešimt penkių balų rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:
17. Kuo didesnė rizikos veiksnio tikimybė ir jo poveikis, tuo rizikos laipsnis aukštesnis. Rizikos veiksniams, kuriems nustatytas aukštas rizikos laipsnis, būtina skirti didžiausią dėmesį parenkant ir įgyvendinant tinkamas rizikos mažinimo priemones.
18. Informacinės sistemos rizikos įvertinimo rezultatai ir priemonės rizikos veiksniams išvengti išdėstomi Rizikos įvertinimo ataskaitoje, kuri pateikiama Informacinės sistemos pagrindinio tvarkytojo vadovui.
19. Elektroninės informacijos saugos priemonių parinkimo principai:
20. Siekiant įvertinti Informacinės sistemos saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas.
21. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Informacinės sistemos pagrindinio tvarkytojo vadovui.
22. Informacinės sistemos rizikos įvertinimo ataskaitos, Informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių plano, Informacinės sistemos informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
III SKYRIUS
INFORMACINĖS SISTEMOS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Programinės įrangos, skirtos Informacinės sistemos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
23.1. Informacinės sistemos tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;
23.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;
24. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
24.1. turi būti naudojama tik legali, Informacinės sistemos funkcijoms vykdyti būtina programinė įranga;
24.3. turi būti įdiegta prieigos prie Informacinės sistemos elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;
25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
25.1. Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;
25.2. Informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) bei kitų per tinklą vykdomų atakos rūšių;
26. Leistinos kompiuterių naudojimo ribos:
26.1. stacionarūs ir nešiojamieji Informacinės sistemos naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Informacinės sistemos duomenys ir informacija;
26.2. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti naudojamas įjungimo slaptažodis;
27. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:
27.1. elektroninė informacija iš susijusių registrų, informacinių sistemų gaunama ir teikiama susijusiems registrams, informacinėms sistemoms tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
27.2. prieigos prie Informacinės sistemos elektroninės informacijos teises gali suteikti tik Informacinės sistemos administratorius. Informacinės sistemos naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
27.3. prieiga prie Informacinės sistemos elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Informacinės sistemos elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse;
27.4. pasibaigus Informacinės sistemos naudotojo darbo sutarčiai, teisė naudotis Informacinės sistemos elektronine informacija turi būti panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
28. Informacinės sistemos atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną, esant aktyviai Informacinės sistemos duomenų bazei. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik Informacinės sistemos administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
29. Informacinės sistemos saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
30. Informacinės sistemos saugos įgaliotinis turi:
31. Informacinės sistemos administratorius turi:
32. Informacinės sistemos naudotojai turi:
32.2. mokėti tvarkyti Informacinės sistemos elektroninę informaciją Informacinės sistemos nuostatų nustatyta tvarka;
33. Informacinės sistemos naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Informacinės sistemos saugos įgaliotiniui.
34. Informacinės sistemos elektroninę informaciją tvarkyti gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti Informacinės sistemos elektroninę informaciją, nurodytą Informacinės sistemos nuostatuose ir susipažinę su Saugos nuostatų ir Informacinės sistemos saugos dokumentų reikalavimais.
35. Informacinės sistemos naudotojų ir Informacinės sistemos administratoriaus mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo periodiškumo reikalavimai:
35.1. Informacinės sistemos naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinės sistemos naudotojams, Informacinės sistemos administratoriui ir pan.);
35.2. mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), saugos įgaliotinio, Informacinės sistemos naudotojų ar Informacinės sistemos administratoriaus poreikius;
35.3. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);
35.4. Informacinės sistemos naudotojams ir Informacinės sistemos administratoriui mokymus gali vykdyti saugos įgaliotinis ar kitas Informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, arba elektroninės informacijos saugos (kibernetinio saugumo) mokymų paslaugų teikėjas;
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
36. Informacinės sistemos naudotojus su Saugos nuostatais ir Informacinės sistemos saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą supažindina Informacinės sistemos saugos įgaliotinis. Informacinės sistemos naudotojai, pažeidę Saugos nuostatų reikalavimus, atsako teisės aktų nustatyta tvarka.
37. Pakartotinai su Saugos nuostatais ir Informacinės sistemos saugos dokumentais Informacinės sistemos naudotojai supažindinami jiems pasikeitus.
38. Saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, skelbiami Informacinės sistemos tvarkytojo interneto svetainėje.
39. Informacinės sistemos naudotojų supažindinimo su Saugos nuostatais ir Informacinės sistemos saugos dokumentais tvarka nustatyta Informacinės sistemos naudotojų administravimo taisyklėse.
40. Saugos nuostatai ir Informacinės sistemos saugos dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Pakeitimai:
1.
Lietuvos Respublikos sveikatos apsaugos ministerija, Įsakymas
Nr. V-1177, 2019-10-18, paskelbta TAR 2019-10-21, i. k. 2019-16639
Dėl Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. balandžio 10 d. įsakymo Nr. V-405 "Dėl Visuomenės sveikatos stebėsenos informacinės sistemos nuostatų ir Visuomenės sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo" pakeitimo