VALSTYBINĖS LIGONIŲ KASOS

PRIE SVEIKATOS APSAUGOS MINISTERIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ, DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ IR DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO

2019 m. sausio 21 d. Nr. 1K-21

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktu:

1. T v i r t i n u pridedamus:

1.1. Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisykles;

1.2. Draudžiamųjų privalomuoju sveikatos draudimu registro saugaus elektroninės informacijos tvarkymo taisykles;

1.3. Draudžiamųjų privalomuoju sveikatos draudimu registro veiklos tęstinumo valdymo planą.

2. P r i p a ž į s t u netekusiais galios:

2.1. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2012 m. vasario 3 d. įsakymą Nr. 1K-18 „Dėl Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisyklių patvirtinimo“;

2.2. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2012 m. gegužės 30 d. įsakymą Nr. 1K-131 „Dėl Draudžiamųjų privalomuoju sveikatos draudimu registro saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“;

2.3. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2012 m. liepos 27 d. įsakymą Nr. 1K-177 „Dėl Draudžiamųjų privalomuoju sveikatos draudimu registro veiklos tęstinumo valdymo plano patvirtinimo“.

3. P a v e d u šio įsakymo vykdymą kontroliuoti Informacinių technologijų departamento direktoriui.

Direktoriaus pavaduotojas,

laikinai vykdantis direktoriaus funkcijas Viačeslavas Zaksas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. gruodžio 20 d. raštu Nr. (4.2) 6K-816

PATVIRTINTA

Valstybinės ligonių kasos prie Sveikatos

apsaugos ministerijos direktoriaus

2019 m. sausio 21 d. įsakymu Nr. 1K-21

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisyklės (toliau – Draudžiamųjų registro naudotojų administravimo taisyklės) nustato Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – Draudžiamųjų registras) naudotojų įgaliojimus, teises ir pareigas, supažindinimo su saugos dokumentais bei saugaus Draudžiamųjų registro elektroninės informacijos teikimo Draudžiamųjų registro naudotojams kontrolės tvarką.

2. Draudžiamųjų registro naudotojų administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Draudžiamųjų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. rugsėjo 11 d. nutarimu Nr. 968 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro steigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“, ir Draudžiamųjų registro duomenų saugos nuostatais, patvirtintais Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) direktoriaus 2008 m. balandžio 1 d. įsakymu Nr. 1K-50 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatų patvirtinimo“ (toliau – Draudžiamųjų registro saugos nuostatai).

3. Draudžiamųjų registro naudotojų administravimo taisyklėse vartojamos sąvokos:

3.1. Draudžiamųjų registro valdytojas – VLK.

3.2. Draudžiamųjų registro tvarkytojai – VLK ir Vilniaus, Kauno, Klaipėdos, Panevėžio bei Šiaulių teritorinės ligonių kasos.

3.3. Draudžiamųjų registro administratorius – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, prižiūrintis Draudžiamųjų registrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą.

3.4. Draudžiamųjų registro saugos įgaliotinis – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, koordinuojantis ir prižiūrintis Draudžiamųjų registro elektroninės informacijos saugos politikos įgyvendinimą.

3.5. Draudžiamųjų registro naudotojas – Draudžiamųjų registro tvarkytojo valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, arba kitas asmuo, pagal kompetenciją naudojantis ir (ar) tvarkantis Draudžiamųjų registro elektroninę informaciją Draudžiamųjų registro veiklą reglamentuojančių teisės aktų nustatyta tvarka.

3.6. VLK kibernetinio saugumo vadovas – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, atsakingas už kibernetinį saugumą ir jį organizuojantis.

3.7. Kitos Draudžiamųjų registro naudotojų administravimo taisyklėse vartojamos sąvokos atitinka Draudžiamųjų registro naudotojų administravimo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Draudžiamųjų registro naudotojų administravimo taisyklės taikomos visiems Draudžiamųjų registro naudotojams, Draudžiamųjų registro administratoriams ir Draudžiamųjų registro saugos įgaliotiniui, kurių teisės į prieigą prie Draudžiamųjų registro elektroninės informacijos grindžiamos Draudžiamųjų registro elektroninės informacijos saugumo, stabilumo, operatyvumo principais.

5. Draudžiamųjų registro naudotojams prieiga prie Draudžiamųjų registro elektroninės informacijos suteikiama vadovaujantis šiais principais:

5.1. susipažinti su Draudžiamųjų registre saugoma elektronine informacija ir ją tvarkyti gali tik tie Draudžiamųjų registro naudotojai, kuriems tokia teisė buvo suteikta;

5.2. Draudžiamųjų registro naudotojams teisė į prieigą prie Draudžiamųjų registro išteklių suteikiama tik tokiu mastu, koks yra būtinas jų funkcijoms vykdyti;

5.3. Draudžiamųjų registro elektroninę informaciją gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys Draudžiamųjų registro naudotojai;

5.4. prieiga prie Draudžiamųjų registro elektroninės informacijos ir teisė ją keisti suteikiama tik identifikavus Draudžiamųjų registro naudotoją ir patvirtinus jo tapatybę.

6. Prieigos prie Draudžiamųjų registro teisė suteikiama tik tiems Draudžiamųjų registro naudotojams, kuriems pavedama tvarkyti Draudžiamųjų registro elektroninę informaciją ir kurių funkcijoms vykdyti tokia Draudžiamųjų registro elektroninė informacija yra būtina.

II SKYRIUS

DRAUDŽIAMŲJŲ REGISTRO NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. Draudžiamųjų registro naudotojai gali naudotis tik tomis Draudžiamųjų registro funkcijomis (aplikacijomis) ir tvarkyti tik tą Draudžiamųjų registro elektroninę informaciją, prie kurios prieigą jiems suteikė Draudžiamųjų registro administratorius.

8. Draudžiamųjų registro naudotojai turi teisę:

8.1. gauti informaciją apie Draudžiamųjų registre taikomas elektroninės informacijos apsaugos priemones, teikti siūlymus Draudžiamųjų registro administratoriui arba Draudžiamųjų registro saugos įgaliotiniui dėl papildomų Draudžiamųjų registro elektroninės informacijos apsaugos priemonių taikymo;

8.2. kreiptis į Draudžiamųjų registro administratorių ar Draudžiamųjų registro saugos įgaliotinį dėl netinkamai veikiančių Draudžiamųjų registro funkcijų (aplikacijų).

9. Draudžiamųjų registro naudotojai privalo:

9.1. pasirašyti nustatytos formos Draudžiamųjų registro naudotojo pasižadėjimą (toliau – pasižadėjimas) (2 priedas) prieš pradėdami tvarkyti Draudžiamųjų registro duomenis;

9.2. raštu susipažinti ir laikytis Draudžiamųjų registro saugos nuostatų ir Draudžiamųjų registro saugos politikos įgyvendinamųjų teisės aktų reikalavimų;

9.3. naudoti Draudžiamųjų registro elektroninę informaciją tik tarnybinėms (darbo) funkcijoms atlikti;

9.4. užtikrinti jų naudojamos Draudžiamųjų registro elektroninės informacijos konfidencialumą ir vientisumą, savo veiksmais netrikdyti Draudžiamųjų registro elektroninės informacijos prieinamumo;

9.5. nedelsiant pranešti Draudžiamųjų registro administratoriui arba Draudžiamųjų registro saugos įgaliotiniui apie Draudžiamųjų registro saugos politikos įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones;

9.6. baigiant darbą ar pasitraukiant iš darbo vietos atlikti visus reikiamus veiksmus, užtikrinančius, kad su Draudžiamųjų registro elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo Draudžiamųjų registro, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

9.7. vykdyti kitas pareigas, nustatytas Draudžiamųjų registro saugos politikos įgyvendinamuosiuose teisės aktuose.

10. Draudžiamųjų registro naudotojui draudžiama:

10.1. leisti prisijungti prie Draudžiamųjų registro asmeniui, kuris nėra šio registro naudotojas;

10.2. jungtis prie Draudžiamųjų registro kitais būdais, nenurodytais Draudžiamųjų registro naudotojų administravimo taisyklėse;

10.3. palikti kompiuterį be priežiūros, neatsijungus nuo Draudžiamųjų registro arba neįjungus ekrano užsklandos su slaptažodžiu;

10.4. viešai platinti Draudžiamųjų registre kaupiamą elektroninę informaciją, daryti jos kopijas, įrašinėti į keičiamas laikmenas ar kitu būdu ją dauginti.

11. Draudžiamųjų registro administratoriaus funkcijas pagal kompetenciją vykdo Draudžiamųjų registro sisteminis administratorius ir Draudžiamųjų registro duomenų administratorius. Draudžiamųjų registro administratorių funkcijos reglamentuojamos Draudžiamųjų registro saugos nuostatuose ir kituose Draudžiamųjų registro saugos politikos įgyvendinamuosiuose teisės aktuose.

12. Draudžiamųjų registro administratoriai turi prieigą prie Draudžiamųjų registro elektroninės informacijos (gali skaityti, atnaujinti, skelbti negaliojančia šio registro elektroninę informaciją, redaguoti Draudžiamųjų registro naudotojų duomenis ir panašiai).

13. Draudžiamųjų registro administratoriai turi teisę:

13.1. matyti visų Draudžiamųjų registro naudotojų atpažinties duomenis ir duomenis apie jiems suteiktas teises;

13.2. matyti Draudžiamųjų registro naudotojų atliktus veiksmus su Draudžiamųjų registro elektronine informacija;

13.3. atlikti užklausas Draudžiamųjų registre pagal pasirinktus paieškos kriterijus;

13.4. pagal kompetenciją tvarkyti Draudžiamųjų registro klasifikatorius;

13.5. pagal kompetenciją tvarkyti Draudžiamųjų registro naudotojų duomenis (pagal Draudžiamųjų registro naudotojo prašymą arba Draudžiamųjų registro tvarkytojo pateiktus duomenis);

13.6. pagal kompetenciją tvarkyti Draudžiamųjų registro techninę ir sisteminę programinę įrangą;

13.7. pagal kompetenciją organizuoti ir atlikti Draudžiamųjų registro duomenų bazių, elektroninės informacijos atkūrimo darbus;

13.8. prireikus pagal kompetenciją vykdyti Draudžiamųjų registro techninės priežiūros funkcijas;

13.9. prireikus pagal kompetenciją organizuoti ir vykdyti Draudžiamųjų registro elektroninės informacijos kopijavimo darbus;

13.10. pagal kompetenciją dalyvauti vertinant Draudžiamųjų registrui kylančią riziką ir rengiant šios rizikos įvertinimo ataskaitą, rengiant Draudžiamųjų registro rizikos įvertinimo ir rizikos valdymo priemonių planą, vertinant informacinių technologijų saugos atitiktį jai taikomiems reikalavimams ir rengiant informacinių technologijų saugos atitikties vertinimo ataskaitą, taip pat –rengiant informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą.

14. Draudžiamųjų registro administratoriai privalo:

14.1. pagal kompetenciją užtikrinti nepertraukiamą Draudžiamųjų registro techninės ir programinės įrangos veikimą;

14.2. konsultuoti Draudžiamųjų registro naudotojus dėl Draudžiamųjų registro veikimo ir kitais su Draudžiamųjų registru susijusiais klausimais.

15. Draudžiamųjų registro administratorių įgaliojimai ir teisės leidžia jiems stebėti Draudžiamųjų registro naudotojų atliekamus veiksmus su Draudžiamųjų registro elektronine informacija ir teikti paklausimus Draudžiamųjų registro tvarkymo įstaigai dėl Draudžiamųjų registro naudotojo veiksmų teisingumo ar duomenų tikslinimo.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO DRAUDŽIAMŲJŲ REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

16. Už Draudžiamųjų registro naudotojų registravimą, išregistravimą, teisės į prieigą prie Draudžiamųjų registro suteikimą ir panaikinimą yra atsakingas Draudžiamųjų registro sisteminis administratorius.

17. Norėdamas tapti Draudžiamųjų registro naudotoju, VLK ar TLK darbuotojas (valstybės tarnautojas ar dirbantysis pagal darbo sutartį), kuriam pavesta tvarkyti Draudžiamųjų registro elektroninę informaciją arba kuriam ši informacija reikalinga priskirtoms funkcijoms vykdyti, turi pateikti VLK Informacinių technologijų departamento Draudžiamųjų privalomuoju sveikatos draudimo registro skyriui suderintą su savo tiesioginiu vadovu nustatytos formos prašymą įregistruoti kaip Draudžiamųjų registro naudotoją (toliau – prašymas) (1 priedas). Prašyme jis turi nurodyti savo pareigas, vardą, pavardę ir vykdomas funkcijas, dėl kurių būtina prieiga prie Draudžiamųjų registro. Jei prašymas teikiamas pirmą kartą, kartu su prašymu pateikiamas pasirašytas pasižadėjimas.

18. Draudžiamųjų privalomuoju sveikatos draudimo registro skyriaus darbuotojas, kuriam pavesta tvarkyti Draudžiamųjų registro naudotojų registravimo duomenis, per 2 darbo dienas nuo prašymo gavimo dienos užregistruoja teisingai užpildytą prašymą ir pasirašytą pasižadėjimą (jei prašymas teikiamas pirmą kartą) Draudžiamųjų registro naudotojų prašymų, įsipareigojimų registre.

19. Registruotas prašymas perduodamas Draudžiamųjų registro sisteminiam administratoriui, kuris per 2 darbo dienas nuo prašymo užregistravimo dienos suteikia Draudžiamųjų registro naudotojui teisę į prieigą prie Draudžiamųjų registro elektroninės informacijos.

20. Draudžiamųjų registro sisteminis administratorius, įregistruodamas Draudžiamųjų registro naudotoją, suteikia jam unikalų prisijungimo prie Draudžiamųjų registro vardą ir unikalų laikinąjį slaptažodį, kuriuos išsiunčia Draudžiamųjų registro naudotojui tarnybinio elektroninio pašto adresu.

21. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. VLK kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, jei Draudžiamųjų registro naudotojas neturi galimybės iššifruoti gauto užšifruoto slaptažodžio arba jei nėra techninių galimybių Draudžiamųjų registro naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

22. Draudžiamųjų registro naudotojas, pirmą kartą gavęs Draudžiamųjų registro sisteminio administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Draudžiamųjų registro ir nedelsdamas slaptažodį pakeisti.

23. Draudžiamųjų registro naudotojo slaptažodžiui yra keliami šie reikalavimai:

23.1. slaptažodį turi sudaryti ne trumpesnė kaip 8 simbolių kombinacija iš didžiųjų ir mažųjų raidžių, skaitmenų bei specialiųjų simbolių;

23.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

23.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

23.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

23.5. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. Draudžiamųjų registro naudotojui 5 kartus neteisingai įvedus slaptažodį, Draudžiamųjų registro sistema užsirakina ir Draudžiamųjų registro naudotojui neleidžiama prisijungti.

24. Draudžiamųjų registro dalys, patvirtinančios Draudžiamųjų registro naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

25. Slaptažodžius Draudžiamųjų registro naudotojai turi teisę savarankiškai pasikeisti prisijungę prie Draudžiamųjų registro.

26. Draudžiamųjų registro naudotojas privalo saugoti slaptažodį ir jo neatskleisti tretiesiems asmenims.

27. Draudžiamųjų registro naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje.

28. Draudžiamųjų registro naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

29. Draudžiamųjų registro administratorių slaptažodžiams yra keliami šie reikalavimai:

29.1. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių kombinacija iš didžiųjų ir mažųjų raidžių, skaitmenų bei specialiųjų simbolių;

29.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

29.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

30. Draudžiamųjų registro naudotojų teisę dirbti su Draudžiamųjų registro elektronine informacija gali panaikinti (apriboti) tik Draudžiamųjų registro sisteminis administratorius.

31. Draudžiamųjų registro sisteminis administratorius, gavęs iš Draudžiamųjų registro valdytojo ar Draudžiamųjų registro tvarkytojo rašytinį prašymą panaikinti (apriboti) Draudžiamųjų registro naudotojo teisę į prieigą prie šio registro, nedelsdamas ją panaikina (apriboja).

32. Draudžiamųjų registro naudotojo teisė dirbti su Draudžiamųjų registro elektronine informacija yra sustabdoma, jei šia informacija jis nesinaudoja ilgiau kaip 3 mėnesius arba jei įstatymų nustatytais atvejais Draudžiamųjų registro naudotojas nušalinamas nuo darbo (pareigų).

33. Draudžiamųjų registro naudotoją perkeliant į kitas pareigas, keičiant jo pareigybės aprašymą ir kitais panašiais atvejais jam suteiktos Draudžiamųjų registro naudotojo teisės peržiūrimos ir pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas. Šiuo atveju Draudžiamųjų registro naudotojas turi pateikti prašymą Draudžiamųjų registro naudotojų administravimo taisyklių 17 punkte nustatyta tvarka.

34. Draudžiamųjų registro naudotojui teisė naudotis Draudžiamųjų registru panaikinama nedelsiant arba ne vėliau kaip kitą darbo dieną pagal Draudžiamųjų registro tvarkytojo raštu (el. paštu) pateiktą informaciją apie:

34.1. Draudžiamųjų registro naudotojo tarnybos ar darbo santykių pabaigą;

34.2. Draudžiamųjų registro naudotojo funkcijų pasikeitimą, dėl kurio jis netenka teisės naudotis Draudžiamųjų registro elektronine informacija;

34.3. nustatytą neteisėtą Draudžiamųjų registro elektroninės informacijos naudojimą;

34.4. nustatytą neteisėtą prisijungimą prie Draudžiamųjų registro arba neteisėtą Draudžiamųjų registro elektroninės informacijos atskleidimą.

35. Draudžiamųjų registro naudotojų prieigos prie Draudžiamųjų registro suteikimo, sustabdymo ir panaikinimo veiksmai registruojami Draudžiamųjų registro naudotojų prašymų, įsipareigojimų registre, kuriame pildomos šios skiltys: prašymo pateikimo data, prašymą pateikusio Draudžiamųjų registro tvarkytojo darbuotojo vardas, pavardė ir pareigos, Draudžiamųjų registro tvarkytojo pavadinimas, supažindinimo su Draudžiamųjų registro duomenų saugos politikos įgyvendinamaisiais dokumentais žyma ir supažindinimo data, Draudžiamųjų registro naudotojo įregistravimo (prieigos prie Draudžiamųjų registro suteikimo) data, šio naudotojo prieigos prie Draudžiamųjų registro sustabdymo arba panaikinimo data, pastabos.

36. Draudžiamųjų registro naudotojus su Draudžiamųjų registro naudotojų administravimo taisyklėmis ir kitais Draudžiamųjų registro duomenų saugos politikos įgyvendinamaisiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Draudžiamųjų registro saugos įgaliotinis.

37. Draudžiamųjų registro naudotojo supažindinimo su Draudžiamųjų registro duomenų saugos politikos įgyvendinamaisiais dokumentais žyma ir supažindinimo data įrašoma Draudžiamųjų registro naudotojų prašymų, įsipareigojimų registre.

38. Draudžiamųjų registro naudotojai pagal poreikį gali prisijungti prie Draudžiamųjų registro nuotoliniu būdu. Leistinas nuotolinio Draudžiamųjų registro naudotojų prisijungimo prie Draudžiamųjų registro būdas – pasinaudoti virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV BAIGIAMOSIOS NUOSTATOS

39. Draudžiamųjų registro naudotojai, Draudžiamųjų registro administratorius ir Draudžiamųjų registro saugos įgaliotinis, pažeidę Draudžiamųjų registro naudotojų administravimo taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. gruodžio 20 d. raštu Nr. (4.2) 6K-816

Draudžiamųjų privalomuoju sveikatos draudimu

registro naudotojų administravimo taisyklių

1 priedas

(Prašymo įregistruoti kaip Draudžiamųjų privalomuoju sveikatos draudimu registro naudotoją

forma)

VALSTYBINĖ LIGONIŲ KASA PRIE SVEIKATOS APSAUGOS MINISTERIJOS

(Draudžiamųjų privalomuoju sveikatos draudimo registro tvarkytojo pavadinimas)

(Draudžiamųjų privalomuoju sveikatos draudimo registro tvarkytojo struktūrinio padalinio pavadinimas)

(Draudžiamųjų privalomuoju sveikatos draudimo registro tvarkytojo darbuotojo vardas, pavardė, pareigos)

Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos

Informacinių technologijų departamento

Draudžiamųjų privalomuoju sveikatos draudimo registro skyriui

PRAŠYMAS

ĮREGISTRUOTI KAIP DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO NAUDOTOJĄ

20__ _______________ Nr._______

Prašau mane įregistruoti kaip Draudžiamųjų privalomuoju sveikatos draudimu registro naudotoją ir suteikti prieigą prie šio registro elektroninės informacijos toliau išvardytoms funkcijoms vykdyti (lentelėje nurodykite funkcijas, kurioms vykdyti būtina prieiga):

Eil. Nr.	Vykdomos funkcijos	Teisių sąrašas	Suteikti laikotarpiui*
Eil. Nr.	Vykdomos funkcijos	Teisių sąrašas	nuo	iki

* Pildoma, jei prašoma įregistruoti ribotam laikotarpiui.

(Papildoma informacija)

________________________________________________________________________________

(Draudžiamųjų privalomuoju sveikatos draudimo registro tvarkytojo darbuotojo vardas, pavardė, parašas)

(Draudžiamųjų privalomuoju sveikatos draudimo registro tvarkytojo darbuotojo vadovo pareigos, vardas, pavardė, parašas)

Draudžiamųjų privalomuoju sveikatos draudimo registro naudotojas įregistruotas: ____________________

(Data)

(Draudžiamųjų privalomuoju sveikatos draudimo registro administratoriaus vardas, pavardė, parašas)

Draudžiamųjų privalomuoju sveikatos draudimu

registro naudotojų administravimo taisyklių

2 priedas

(Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojo pasižadėjimo formos pavyzdys)

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO NAUDOTOJO PASIŽADĖJIMAS

1. Aš suprantu, kad:

1.1. savo darbe tvarkysiu elektroninę informaciją, kurią sudaro asmens duomenys ir kuri negali būti atskleista ar perduota neįgaliotiesiems asmenims ar institucijoms;

1.2. man draudžiama perduoti neįgaliotiesiems asmenims slaptažodžius ir kitus duomenis, įgalinančius programinėmis ir techninėmis priemonėmis sužinoti elektroninę informaciją ar kitaip sudaryti sąlygas susipažinti su Draudžiamųjų privalomuoju sveikatos draudimu registre tvarkomais asmens duomenimis;

1.3. netinkamas elektroninės informacijos tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

2. Aš įsipareigoju:

2.1. tvarkyti asmens duomenis vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas, toliau – Reglamentas (ES) 2016/679), Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą;

2.2. neatskleisti, neviešinti, neperduoti tvarkomos elektroninės informacijos ir nesudaryti sąlygų sužinoti jos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įstaigos viduje, tiek už jos ribų;

2.3. pranešti Draudžiamųjų privalomuoju sveikatos draudimu registro saugos įgaliotiniui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę asmens duomenų saugumui.

3. Aš žinau, kad:

3.1. už šio įsipareigojimo nesilaikymą, Reglamento (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą pagal Lietuvos Respublikos įstatymus kyla drausminė, tarnybinė, civilinė, administracinė arba baudžiamoji atsakomybė;

3.2. asmuo, patyręs žalą dėl neteisėto duomenų tvarkymo arba kitų duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;

3.3. duomenų tvarkytojas atlygina asmeniui padarytą žalą ir išreikalauja sumokėtą sumą iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės buvo padaryta ši žala;

3.4. šis pasižadėjimas galios visą mano darbo laiką šioje įstaigoje, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams (ne trumpiau nei 1 (vienus) metus).

Esu susipažinusi (-ęs) su Draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatais, Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisyklėmis, Draudžiamųjų privalomuoju sveikatos draudimu registro saugaus elektroninės informacijos tvarkymo taisyklėmis ir Draudžiamųjų privalomuoju sveikatos draudimu registro veiklos tęstinumo valdymo planu.


(Darbuotojo vardas, pavardė, pareigos)	(Parašas)	(Data)
Šis pasižadėjimas buvo pasirašytas dalyvaujant:

(Saugos įgaliotinio arba darbuotojo vadovo vardas, pavardė, pareigos)	(Parašas)	(Data)

PATVIRTINTA

Valstybinės ligonių kasos prie Sveikatos

apsaugos ministerijos direktoriaus

2019 m. sausio 21 d. įsakymu Nr. 1K-21

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Draudžiamųjų privalomuoju sveikatos draudimu registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Draudžiamųjų registro tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – Draudžiamųjų registras) techninės ir programinės įrangos funkcionavimą, saugų šio registro elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Draudžiamųjų registro tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. rugsėjo 11 d. nutarimu Nr. 968 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro steigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“ (toliau – Draudžiamųjų registro nuostatai), ir Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatais, patvirtintais Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) direktoriaus 2008 m. balandžio 1 d. įsakymu Nr. 1K-50 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatų patvirtinimo“ (toliau – Draudžiamųjų registro saugos nuostatai).

3. Draudžiamųjų registro tvarkymo taisyklėse vartojamos sąvokos:

3.1. Draudžiamųjų registro valdytojas – VLK.

3.2. Draudžiamųjų registro tvarkytojai – VLK ir Vilniaus, Kauno, Klaipėdos, Panevėžio bei Šiaulių teritorinės ligonių kasos.

3.4. Draudžiamųjų registro duomenų valdymo įgaliotinis – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, atsakingas už Draudžiamųjų registro veiklą reglamentuojančiuose teisės aktuose nustatytų funkcijų vykdymą.

3.5. Draudžiamųjų registro saugos įgaliotinis – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, koordinuojantis ir prižiūrintis Draudžiamųjų registro elektroninės informacijos saugos politikos įgyvendinimą.

3.6. Draudžiamųjų registro naudotojas – Draudžiamųjų registro tvarkytojo valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, arba kitas asmuo, pagal kompetenciją naudojantis ir (ar) tvarkantis Draudžiamųjų registro elektroninę informaciją Draudžiamųjų registro veiklą reglamentuojančių teisės aktų nustatyta tvarka.

3.7. VLK kibernetinio saugumo vadovas – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, atsakingas už kibernetinį saugumą ir jį organizuojantis.

3.8. Kitos Draudžiamųjų registro tvarkymo taisyklėse vartojamos sąvokos atitinka Draudžiamųjų registro tvarkymo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Draudžiamųjų registre tvarkomos, kaupiamos ir saugomos elektroninės informacijos sąrašai nurodyti Draudžiamųjų registro nuostatų 18–25 punktuose.

5. Draudžiamųjų registro elektroninę informaciją tvarko Draudžiamųjų registro tvarkytojai, kurių teises ir pareigas, taip pat Draudžiamųjų registro elektroninės informacijos tvarkymą, šios informacijos taisymą, Draudžiamųjų registro sąveiką su kitais registrais ir valstybės informacinėmis sistemomis, Draudžiamųjų registro elektroninės informacijos teikimą ir naudojimą bei pan. reglamentuoja Draudžiamųjų registro nuostatai.

6. Už Draudžiamųjų registro elektroninės informacijos tvarkymą atsako Draudžiamųjų registro naudotojai ir Draudžiamųjų registro administratoriai. Draudžiamųjų registro naudotojai už Draudžiamųjų registro elektroninės informacijos tvarkymą atsako pagal jiems priskirtus įgaliojimus.

7. Draudžiamųjų registro administratorių funkcijos nurodytos Draudžiamųjų registro saugos nuostatų 16–18 punktuose. Draudžiamųjų registro administratoriai pagal kompetenciją atsako už Draudžiamųjų registro taikomosios programinės įrangos, duomenų bazės ir tvarkomos elektroninės informacijos administravimą, prieigų ir teisių Draudžiamųjų registro naudotojams suteikimą, pakeitimą ar panaikinimą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

8. Saugiam Draudžiamųjų registro elektroninės informacijos tvarkymui užtikrinti naudojama kompiuterinė įranga, programinė (sisteminė ir taikomoji) įranga, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų bei informacijos saugumo priemonės.

9. Bendrieji Draudžiamųjų registro elektroninės informacijos saugos techniniai reikalavimai:

9.1. Draudžiamųjų registro priežiūros funkcijos atliekamos naudojant atskirą tam skirtą Draudžiamųjų registro administratoriaus paskyrą, kuria naudojantis negalima atlikti Draudžiamųjų registro naudotojo funkcijų;

9.2. Draudžiamųjų registro naudotojams negali būti suteikiamos Draudžiamųjų registro administratoriaus teisės;

9.3. kiekvienas Draudžiamųjų registro naudotojas Draudžiamųjų registre unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip Draudžiamųjų registro naudotojo identifikatorius);

9.4. Draudžiamųjų registro naudotojas ar Draudžiamųjų registro administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

9.5. Draudžiamųjų registro neveikimo laikotarpis negali būti ilgesnis nei 12 val.;

9.6. Draudžiamųjų registro prieinamumas per metus turi būti užtikrinamas ne mažiau kaip 96 proc. paros laiko.

10. Kompiuterinės įrangos saugos priemonės:

10.1. prieigos prie Draudžiamųjų registro tarnybinių stočių (serverių) kontrolė užtikrinama VLK direktoriaus įsakymu tvirtinamo įėjimo į tarnybinių stočių patalpas tvarkos aprašo nustatyta tvarka;

10.2. kompiuterinė įranga centralizuotai valdoma VLK;

10.3. kompiuterinės įrangos būklė nuolat stebima programinėmis priemonėmis;

10.4. kompiuterinės įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

10.5. kompiuterinės įrangos gedimus registruoja VLK darbuotojas, atsakingas už jų registravimą;

10.6. Draudžiamųjų registro naudotojų darbo vietose naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (USB, CD/DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu Draudžiamųjų registro tvarkymu;

10.7. svarbiausia kompiuterinė įranga turi rezervinį maitinimo šaltinį, užtikrinantį ne trumpesnį kaip 30 minučių šios įrangos veikimą.

11. Draudžiamųjų registro programinės įrangos saugos priemonės:

11.1. naudojama legali ir įteisinta Draudžiamųjų registro programinė įranga;

11.2. teisė dirbti su Draudžiamųjų registro programine įranga suteikiama Registro naudotojams Draudžiamųjų privalomuoju sveikatos draudimu registro naudotojų administravimo taisyklių nustatyta tvarka;

11.3. Draudžiamųjų registro programinės įrangos diegimą atlieka kvalifikuoti specialistai, turintys teisę tai atlikti;

11.4. Draudžiamųjų registro programinės įrangos programinis kodas yra apsaugotas nuo neteisėtos prieigos – jam taikomos tos pačios saugos priemonės kaip ir Draudžiamųjų registro elektroninei informacijai;

11.5. neautorizuotos programinės įrangos įdiegimas į Draudžiamųjų registro naudotojų kompiuterius ribojamas;

11.6. naudojamos antivirusinės programos, kurios atnaujinamos ne rečiau kaip kartą per mėnesį;

11.7. Draudžiamųjų registro naudotojui 15 minučių neatliekant jokių veiksmų Draudžiamųjų registre, Draudžiamųjų registro programinė įranga užsirakina; toliau naudotis Draudžiamųjų registru šio registro naudotojas gali tik pakartotinai patvirtinęs savo tapatybę.

12. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

12.1. Draudžiamųjų registro naudotojas internetu prisijungia prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra Draudžiamųjų registras, naudodamas unikalius atpažinties prisijungimo duomenis;

12.2. Draudžiamųjų registro duomenų perdavimo tinklas yra atskirtas užkarda nuo viešųjų ryšių tinklų;

12.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant virtualųjį privatųjį tinklą (toliau – VPN; angl. virtual private network);

12.4. nuotolinis prisijungimas prie Draudžiamųjų registro vykdomas per VPN;

12.5. naudojami tik saugūs ir patikimi Draudžiamųjų registro duomenų perdavimo tinklais protokolai;

12.6. kontroliuojamas išorinis prisijungimas prie vidinio Draudžiamųjų registro duomenų perdavimo tinklo.

13. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

13.1. bendrose patalpose turi būti įrengta langų ir durų fizinė apsauga bei signalizacija, turi būti įdiegta patekimo į patalpas kontrolės sistema;

13.2. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių (šios priemonės kasmet turi būti tikrinamos);

13.3. VLK tarnybinių stočių patalpose turi būti reikiama oro kondicionavimo ir drėgmės kontrolės įranga;

13.4. VLK tarnybinių stočių patalpos, kuriose yra Draudžiamųjų registro tarnybinės stotys, turi būti atskirtos nuo bendrojo naudojimo patalpų. Į šias patalpas turi būti patenkama tik VLK nustatyta tvarka;

13.5. duomenų perdavimo tinklo kabeliai turi būti apsaugoti nuo neteisėto prisijungimo ir pažeidimo.

14. Draudžiamųjų registro darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

14.1. Draudžiamųjų registre įrašomi duomenys apie Draudžiamųjų registro tarnybinių stočių, Draudžiamųjų registro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus prisijungti prie Draudžiamųjų registro tarnybinės stoties (Draudžiamųjų registro taikomosios programinės įrangos), visus Draudžiamųjų registro naudotojų vykdomus veiksmus, nurodant Draudžiamųjų registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką;

14.2. Draudžiamųjų registro darbo apskaitos duomenys saugomi ne toje pačioje sistemoje, kurioje jie įrašomi; šie duomenys analizuojami ne rečiau kaip kartą per savaitę;

14.3. Draudžiamųjų registro darbo apskaitos duomenys saugomi sistemoje ne trumpiau kaip 1 metus;

14.4. Draudžiamųjų registro naudotojams suteikiama teisė į prieigą prie Draudžiamųjų registro su sąlyga, kad jie gali dirbti tik su jiems priskirta elektronine informacija.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

15. Saugaus elektroninės informacijos įrašymo, atnaujinimo, keitimo ir naikinimo tvarka:

15.1. Draudžiamųjų registro elektroninę informaciją įrašyti, atnaujinti, keisti ir naikinti gali tik Draudžiamųjų registro naudotojai, turintys teisę tai atlikti;

15.2. Draudžiamųjų registro elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Draudžiamųjų registro nuostatais ir Draudžiamųjų registro saugos nuostatais.

16. Draudžiamųjų registro naudotojų veiksmų registravimo tvarka:

16.1. Draudžiamųjų registro naudotojų tapatybė ir veiksmai su Draudžiamųjų registro elektronine informacija įrašomi automatiniu būdu šios sistemos duomenų bazės veiksmų žurnale, kuris sisteminėmis priemonėmis yra apsaugotas nuo neteisėto jame kaupiamų duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

16.2. Draudžiamųjų registro duomenų bazės veiksmų žurnalo duomenys prieinami Draudžiamųjų registro administratoriui.

17. Prarasti, iškraipyti ar sunaikinti Draudžiamųjų registro duomenys (elektroninė informacija) atkuriami pagal atsargines Draudžiamųjų registro duomenų kopijas. Atsarginės Draudžiamųjų registro duomenų kopijos daromos VLK įsakymu tvirtinamo elektroninių duomenų kopijų darymo tvarkos aprašo nustatyta tvarka.

18. Draudžiamųjų registro elektroninės informacijos perkėlimo ir teikimo susijusiems registrams bei kitoms informacinėms sistemoms ir duomenų gavimo iš jų tvarka:

18.1. už Draudžiamųjų registro naudotojų administravimą ir iš susijusių registrų bei kitų informacinių sistemų teikiamų duomenų atnaujinimą Draudžiamųjų registre pagal kompetenciją yra atsakingas Draudžiamųjų registro administratorius;

18.2. duomenų ir informacijos mainai tarp Draudžiamųjų registro ir susijusių registrų bei kitų informacinių sistemų vykdomi duomenų teikimo sutartyse numatytais būdais, terminais ir laikantis numatytos duomenų apimties;

18.3. reorganizuojant arba likviduojant Draudžiamųjų registrą, jo elektroninė informacija turi būti saugiai perduota kitai informacinei sistemai, valstybės archyvams arba sunaikinama Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

19. Draudžiamųjų registro elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

19.1. Draudžiamųjų registro naudotojas, įtaręs, kad su Draudžiamųjų registro elektronine informacija buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai Draudžiamųjų registro administratoriui. Draudžiamųjų registro administratorius, atsiradus įtarimų dėl neteisėtų veiksmų su Draudžiamųjų registro elektronine informacija, pagal Draudžiamųjų registro duomenų bazės veiksmų žurnalo įrašus nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su Draudžiamųjų registro elektronine informacija;

19.2. Draudžiamųjų registro administratorius, įtaręs, kad su Draudžiamųjų registro elektronine informacija vykdomi neteisėti veiksmai, privalo apie tai pranešti Draudžiamųjų registro saugos įgaliotiniui ir VLK kibernetinio saugumo vadovui;

19.3. Draudžiamųjų registro saugos įgaliotinis ar VLK kibernetinio saugumo vadovas, gavęs Draudžiamųjų registro administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su Draudžiamųjų registru arba Draudžiamųjų registre tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras VLK nustatyta tvarka.

20. Draudžiamųjų registro pokyčių (toliau – pokyčiai) valdymo gairės:

20.1. pokyčių planavimą, apimantį pokyčių identifikavimą, suskirstymą į grupes pagal pokyčio tipą (administracinis, organizacinis ar techninis), pokyčio įtakos vertinimą, apimantį pokyčio svarbos (maža, vidutinė arba didelė) bei dydžio (mažas, vidutinis, didelis) nustatymą, taip pat prioritetų (žemas, vidutinis, aukštas) suteikimą pokyčiams organizuoja Draudžiamųjų registro valdytojas;

20.2. pokyčiai numatomi įvertinus su Draudžiamųjų registro veikla susijusių teisės aktų pakeitimus, taip pat nustačius Draudžiamųjų registro naudotojų, Draudžiamųjų registro administratorių ar kitų suinteresuotųjų šalių poreikius, identifikavus Draudžiamųjų registro priežiūros problemas ir atsižvelgus į atitinkamus gerosios praktikos pavyzdžius;

20.3. administraciniai ir organizaciniai pokyčiai gali būti inicijuojami VLK vadovybės (struktūrinių padalinių vadovų) ir įgyvendinami tik gavus rašytinį Draudžiamųjų registro valdytojo vadovo arba jo paskirto asmens sutikimą (patvirtinimą);

20.4. techniniai pokyčiai, t. y. Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimai (atnaujinimai), atliekami Draudžiamųjų registro tvarkymo taisyklių 21 punkto nustatyta tvarka.

21. Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimo (atnaujinimo) tvarka:

21.1. Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimą (atnaujinimą) organizuoja, atsižvelgiant į konkretų atvejį, Draudžiamųjų registro duomenų valdymo įgaliotinis Draudžiamųjų registro sisteminis administratorius arba kitas Draudžiamųjų registro valdytojo paskirtas darbuotojas, arba toks keitimas (atnaujinimas) turi būti aprašomas paslaugų, susijusių su Draudžiamųjų registro programinės ir (arba) techninės įrangos keitimu (atnaujinimu), teikimo sutartyse;

21.2. planuojant Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimą (atnaujinimą), kurių metu galimi Draudžiamųjų registro veikimo sutrikimai, ne vėliau kaip prieš 2 (dvi) darbo dienas iki planuojamų keitimų (atnaujinimų) pradžios Draudžiamųjų registro naudotojai el. paštu arba duomenų gavėjai (per VLK Help Desk sistemą) informuojami apie šių darbų pradžią ir galimus Draudžiamųjų registro veikimo sutrikimus;

21.3. prieš atliekant Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimą (atnaujinimą) turi būti numatytos Draudžiamųjų registro veiklos atkūrimo procedūros, taikomos nesėkmingo šios įrangos keitimo (atnaujinimo) atveju;

21.4. visi numatomi Draudžiamųjų registro programinės įrangos keitimai (atnaujinimai) detalizuojami užpildant Draudžiamųjų registro techninio pakeitimo aprašymo formą (1 priedas);

21.5. visi aprašyti Draudžiamųjų registro programinės įrangos keitimai (atnaujinimai) registruojami Draudžiamųjų privalomuoju sveikatos draudimu registro pakeitimų registre (toliau – Pakeitimų registras), kuriame pildomos šios skiltys: pakeitimo registravimo numeris, registravimo data, pakeitimo pavadinimas, pakeitimo iniciatorius, pakeitimo svarba (maža, vidutinė arba didelė), pakeitimo dydis (mažas, vidutinis, didelis), suteiktas prioritetas (žemas, vidutinis, aukštas), pakeitimo data, pakeitimo vykdytojas;

21.6. Draudžiamųjų registro programinės įrangos keitimai (atnaujinimai) įgyvendinami tik Draudžiamųjų registro duomenų valdymo įgaliotiniui įvertinus detalizuoto ir Pakeitimų registre užregistruoto pakeitimo poreikį, pakeitimo svarbą ir dydį, jam suteiktą prioritetą ir priskirtą pakeitimo vykdytoją;

21.7. prieš diegiant į gamybinę aplinką Draudžiamųjų registro programinį keitimą (atnaujinimą), dėl kurio gali kilti grėsmė Draudžiamųjų registro elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, turi būti atliktas šio keitimo (atnaujinimo) testavimas;

21.8. Draudžiamųjų registro programinės įrangos keitimai (atnaujinimai) testuojami bandomojoje aplinkoje, kurioje nėra konfidencialios elektroninės informacijos bei asmens duomenų ir kuri yra atskirta nuo eksploatuojamo Draudžiamųjų registro;

21.9. įgyvendintas Draudžiamųjų registro programinės ir (ar) techninės įrangos pakeitimas (atnaujinimas), jei reikia, dokumentuojamas; atnaujinta techninė informacija turi parodyti esamą Draudžiamųjų registro sąrankos būklę;

21.10. Draudžiamųjų registro naudotojus, esant poreikiui, supažindina su Draudžiamųjų registro programinės ir (ar) techninės įrangos keitimais (atnaujinimais) Draudžiamųjų registro duomenų valdymo įgaliotinis arba Draudžiamųjų registro duomenų administratorius.

22. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), skirtų Draudžiamųjų registro naudotojų tarnybinėms (darbo) funkcijoms vykdyti, naudojimo tvarka:

22.1. išnešti iš Draudžiamųjų registro valdytojo ar Draudžiamųjų registro tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose;

22.2. kelionės metu mobilieji įrenginiai turi būti saugomi;

22.3. iš Draudžiamųjų registro valdytojo ar Draudžiamųjų registro tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

22.4. mobilusis įrenginys, kuriuo nesinaudojama 10 minučių, turi automatiškai užsirakinti;

22.5. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninių galimybių turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (ar) asmens duomenų informaciją;

22.6. prieš perduodant mobilųjį įrenginį Draudžiamųjų registro naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

22.7. už mobiliųjų įrenginių ir juose kaupiamų ar tvarkomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.

IV SKYRIUS

REIKALAVIMAI DRAUDŽIAMŲJŲ REGISTRO KŪRIMO, DIEGIMO, PRIEŽIŪROS, KONSULTAVIMO IR DUOMENŲ TVARKYMO PASLAUGOMS BEI JŲ TEIKĖJAMS

23. Reikalavimai Draudžiamųjų registro kūrimo, diegimo, priežiūros, konsultavimo ir duomenų tvarkymo paslaugoms bei jų teikėjams nustatomi šių paslaugų teikimo sutartyse.

24. Paslaugų teikimo sutartyje nurodoma, kad jų teikėjas kuria, diegia, prižiūri, konsultuoja ir (ar) tvarko Draudžiamųjų registro elektroninę informaciją, ir (ar) modifikuoja Draudžiamųjų registro taikomąją programinę įrangą naudodamas:

24.1. elektroninės informacijos saugos priemones, apsaugančias nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

24.2. sertifikuotą sisteminę programinę įrangą.

25. Paslaugos teikėjui gali būti suteikta tik tokia prieiga prie Draudžiamųjų registro, kokia yra būtina paslaugų teikimo sutartyje numatytiems įsipareigojimams vykdyti.

26. Teisę į prieigą prie Draudžiamųjų registro išteklių Draudžiamųjų registro sisteminis administratorius suteikia tik paslaugų teikėjo įgaliotiems darbuotojams paslaugų teikimo sutartyje nustatytoms funkcijoms per atitinkamą laikotarpį atlikti.

27. Prieš suteikiant prieigą prie Draudžiamųjų registro, paslaugų teikėjas privalo pasirašyti nustatytos formos įsipareigojimą dėl Draudžiamųjų registro duomenų apsaugos (2 priedas), o kiekvienas paslaugų teikėjo įgaliotas darbuotojas raštu pateikti prašymą dėl atitinkamos prieigos prie Draudžiamųjų registro elektroninės informacijos suteikimo.

28. Pasibaigus teisės į prieigą prie Draudžiamųjų registro išteklių galiojimui ar atsiradus kitų aplinkybių, Draudžiamųjų registro sisteminis administratorius nedelsdamas panaikina paslaugų teikėjo įgalioto darbuotojo teisę į prieigą prie Draudžiamųjų registro elektroninės informacijos ir apie tai jį informuoja (raštu, el. paštu).

29. Reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, Draudžiamųjų registro priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, turi atitikti Draudžiamųjų registro tvarkymo taisyklių II skyriuje nustatytus reikalavimus.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

30. Draudžiamųjų registro naudotojai, Draudžiamųjų registro saugos įgaliotinis ar Draudžiamųjų registro administratoriai, pažeidę Draudžiamųjų registro tvarkymo taisyklių ir kitų saugos politikos įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

____________________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. gruodžio 20 d. raštu Nr. (4.2) 6K-816

Draudžiamųjų privalomuoju sveikatos draudimu

registro duomenų tvarkymo taisyklių

1 priedas

(Draudžiamųjų privalomuoju sveikatos draudimu registro pakeitimo aprašymo forma)

VALSTYBINĖ LIGONIŲ KASA PRIE SVEIKATOS APSAUGOS MINISTERIJOS

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO PAKEITIMO APRAŠYMAS

Nr.

(Data)

Vilnius

Draudžiamųjų privalomuoju sveikatos draudimu registro pakeitimo (toliau – pakeitimas) inicijavimas

1. Draudžiamųjų privalomuoju sveikatos draudimu registro pakeitimo pavadinimas.

2. Trumpas pakeitimo aprašymas.

3. Pakeitimo iniciatorius (vardas, pavardė, pareigos, parašas, data).

Pakeitimo įvertinimas

4. Poveikis veiklai.

5. Draudžiamųjų privalomuoju sveikatos draudimu registro dokumentai, kurie dėl pakeitimo turėtų būti atitinkamai koreguojami.

6. Draudžiamųjų privalomuoju sveikatos draudimu registro komponentai, kurie bus paveikti šio registro pakeitimo.

7. Pakeitimo eigos aprašymas.

8. Pakeitimo svarba (maža, vidutinė, didelė).

9. Pakeitimo apimties įvertinimas (maža, vidutinė, didelė).

10. Pakeitimui suteiktas prioritetas (žemas, vidutinis, aukštas).

11. Pakeitimo vykdytojas (vardas, pavardė, pareigos arba paslaugų vykdytojo pavadinimas).

12. Numatomos laiko sąnaudos (val., pagal poreikį).

13. Pakeitimo įvertintojas (vardas, pavardė, pareigos, parašas, data).

14. Pakeitimo aprašymo priedai (pridedamų lapų skaičius).

Pakeitimo įgyvendinimas

15. Pakeitimo įgyvendinimo žyma: atlikta arba neatlikta (nurodyti priežastis).

16. Pakeitimą įgyvendinęs asmuo (vardas, pavardė, pareigos, parašas, data).

17. Pakeitimo įgyvendinimo data.

Draudžiamųjų privalomuoju sveikatos draudimu

registro duomenų tvarkymo taisyklių

2 priedas

(Įsipareigojimo dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos informacinės sistemos duomenų apsaugos forma)

VALSTYBINĖ LIGONIŲ KASAS PRIE SVEIKATOS APSAUGOS INISTERIJOS

ĮSIPAREIGOJIMAS DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ APSAUGOS

20__ m. ______________ ____ d. Nr. ______

Vilnius

_______________________________________________________________, atstovaujamas (-a)

(Juridinio asmens pavadinimas)

___________________________________________________________________________, pasirašo šį įsipareigojimą,

(juridinio asmens vadovo arba įgaliotojo asmens pareigos, vardas, pavardė)

vykdydamas (-a) _______________________________________________________________________________________

(vykdomos paslaugų teikimo sutarties pavadinimas)

(toliau – Sutartis), ir įsipareigoja:

1. Vadovautis Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. rugsėjo 11 d. nutarimu Nr. 968 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro steigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“, Draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatais, patvirtintais Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) direktoriaus įsakymu, ir kitais VLK direktoriaus įsakymais patvirtintais teisės aktais, įgyvendinančiais Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninės informacijos saugą.

2. Užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1) nuostatų vykdymą tvarkant Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninę informaciją.

3. Įgyvendinti tinkamas organizacines ir technines priemones, skirtas Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

4. Užtikrinti ir garantuoti, kad šios įmonės (įstaigos) deleguoti darbuotojai, kurie teiks su Sutarties vykdymu susijusias paslaugas, saugos Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninės informacijos paslaptį tiek Sutarties vykdymo metu, tiek Sutarčiai pasibaigus (ne trumpiau nei 1 (vienus) metus).

5. Užtikrinti, kad Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninė informacija būtų tvarkoma tik tokiu mastu, koks yra būtinas Sutarčiai įvykdyti (t. y. kad būtų tvarkoma tik tada ir tik tiek, kiek tai yra reikalinga Sutarties vykdymo tikslais).

6. Užtikrinti, kad Draudžiamųjų privalomuoju sveikatos draudimu registro elektroninė informacija nebūtų platinama, viešinama ar kitaip perduodama tretiesiems asmenims.

Šis įsipareigojimas galios visą Sutarties galiojimo laiką tiek darbo metu (vykdant Sutartį), tiek ir nedarbo metu.

_______________________________________________________________

(Juridinio asmens vadovo arba įgaliotojo asmens pareigos, vardas, pavardė, parašas)

PATVIRTINTA

Valstybinės ligonių kasos prie Sveikatos apsaugos

ministerijos direktoriaus

2019 m. sausio 21 d. įsakymu Nr. 1K-21

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Draudžiamųjų privalomuoju sveikatos draudimu registro veiklos tęstinumo valdymo planas (toliau – Draudžiamųjų registro veiklos tęstinumo valdymo planas) nustato Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – Draudžiamųjų registras) saugos įgaliotinio, Draudžiamųjų registro administratorių, Draudžiamųjų registro tvarkytojų ir kitų asmenų veiksmus įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, dėl kurio kyla pavojus Draudžiamųjų registro elektroninei informacijai, Draudžiamųjų registro techninės ir (ar) programinės įrangos funkcionavimui.

2. Draudžiamųjų registro veiklos tęstinumo valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2007 m. rugsėjo 11 d. nutarimu Nr. 968 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro steigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“, ir Draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatais, patvirtintais Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) direktoriaus 2008 m. balandžio 1 d. įsakymu Nr. 1K-50 „Dėl Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenų saugos nuostatų patvirtinimo“.

3. Draudžiamųjų registro naudotojų administravimo taisyklėse vartojamos sąvokos:

3.1. Draudžiamųjų registro valdytojas – VLK.

3.2. Draudžiamųjų registro tvarkytojai – VLK ir Vilniaus, Kauno, Klaipėdos, Panevėžio bei Šiaulių teritorinės ligonių kasos.

3.3. Draudžiamųjų registro sisteminis administratorius – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, prižiūrintis Draudžiamųjų registrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą.

3.6. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis ar veiksmas, dėl kurio gali atsirasti neteisėto prisijungimo prie Draudžiamųjų registro galimybė, sutrikti ar pasikeisti Draudžiamųjų registro veikla, būti sunaikinta ar pakeista Draudžiamųjų registro elektroninė informacija, panaikinta ar apribota galimybė naudotis Draudžiamųjų registro elektronine informacija, sudarytos sąlygos neteisėtai pasinaudoti Draudžiamųjų registro elektronine informacija arba ją pasisavinti.

3.7. VLK kibernetinio saugumo vadovas – VLK direktoriaus įsakymu paskirtas valstybės tarnautojas arba pagal darbo sutartį dirbantis darbuotojas, atsakingas už kibernetinį saugumą ir jį organizuojantis.

3.8. Kitos Draudžiamųjų registro veiklos tęstinumo valdymo plane vartojamos sąvokos atitinka Draudžiamųjų registro veiklos tęstinumo valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Draudžiamųjų registro veiklos tęstinumo valdymo planas įsigalioja įvykus elektroninės informacijos (kibernetiniam) saugos incidentui.

5. Draudžiamųjų registro veiklos tęstinumo valdymo planas privalomas Draudžiamųjų registro valdytojui, Draudžiamųjų registro tvarkytojams, VLK kibernetinio saugumo vadovui, Draudžiamųjų registro saugos įgaliotiniui, Draudžiamųjų registro administratoriams, Draudžiamųjų registro naudotojams.

6. Draudžiamųjų registro naudotojai, pastebėję Draudžiamųjų registro veiklos sutrikimus, neveikiančias ar netinkamai veikiančias Draudžiamųjų duomenų saugos užtikrinimo priemones, turi nedelsdami apie tai pranešti Draudžiamųjų registro saugos įgaliotiniui, Draudžiamųjų registro sisteminiam administratoriui arba VLK kibernetinio saugumo vadovui.

7. VLK kibernetinio saugumo vadovo, Draudžiamųjų registro saugos įgaliotinio ir Draudžiamųjų registro sisteminio administratoriaus atliekami veiksmai įvykus Draudžiamųjų registro elektroninės informacijos saugos (kibernetiniam) incidentui yra nurodyti Draudžiamųjų registro veiklos atkūrimo detaliajame plane (1 priedas).

8. Draudžiamųjų registro elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš VLK biudžeto lėšų (veiklos išlaidų).

9. Per metus Draudžiamųjų registro prieinamumas užtikrinamas ne mažiau kaip 96 proc. darbo laiko darbo dienomis.

10. Draudžiamųjų registro veiklos tęstinumo valdymo planas grindžiamas nuostata, kad Draudžiamųjų registro neveikimo laikotarpis negali būti ilgesnis kaip 12 valandų.

11. Kriterijai, pagal kuriuos nustatoma, kad Draudžiamųjų registro veikla atkurta:

11.1. veikia Draudžiamųjų registro naudotojo sąsaja – atliekama draudžiamųjų paieška ir Draudžiamųjų registro elektroninės informacijos tvarkymas;

11.2. atnaujinama Draudžiamųjų registro elektroninė informacija ir išsaugojama Draudžiamųjų registro duomenų bazėje;

11.3. registruojami ir išregistruojami Draudžiamųjų registro objektai, išregistruotų Draudžiamųjų registro objektų duomenys automatiniu būdu perkeliami į Draudžiamųjų registro duomenų bazės archyvą;

11.4. veikia Draudžiamųjų registro integracines duomenų mainų sąsajos, keičiamasi duomenimis su Draudžiamųjų registro duomenų teikėjais;

11.5. Draudžiamųjų registro duomenys teikiami Draudžiamųjų registro duomenų gavėjams.

II SKYRIUS

BENDROSIOS NUOSTATOS

12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti ir veiklos atkūrimui organizuoti VLK direktoriaus įsakymu tvirtinamos Draudžiamųjų registro veiklos tęstinumo valdymo grupė (toliau – Veiklos tęstinumo valdymo grupė) ir Draudžiamųjų registro veiklos atkūrimo grupė (toliau – Veiklos atkūrimo grupė).

13. Veiklos tęstinumo valdymo grupės tikslai – gavus tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, jį ištirti, ieškoti priemonių ir būdų šio incidento padariniams bei žalai likviduoti, užtikrinti Draudžiamųjų registro veiklos tęstinumą.

14. Veiklos tęstinumo valdymo grupę sudaro VLK Informacinių technologijų departamento (toliau – ITD) direktorius (darbo grupės pirmininkas), VLK ITD Informacinių sistemų plėtros skyriaus vedėjas (darbo grupės pirmininko pavaduotojas), Draudžiamųjų registro saugos įgaliotinis, Draudžiamųjų registro tvarkytojų informacijos saugos įgaliotiniai ir VLK valdomų informacinių sistemų saugos įgaliotiniai.

15. Veiklos tęstinumo valdymo grupės funkcijos:

15.1. situacijos analizė ir sprendimų Draudžiamųjų registro veiklos tęstinumo valdymo klausimais priėmimas;

15.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

15.3. bendravimas su susijusių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

15.4. bendravimas su teisėsaugos institucijų, kitų institucijų darbuotojais ir kitomis interesų grupėmis;

15.5. finansinių ir kitų išteklių, būtinų Draudžiamųjų registro veiklai atkurti įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

15.6. elektroninės informacijos fizinė sauga įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

15.7. logistika (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

15.8. Draudžiamųjų registro veiklos atkūrimo priežiūra ir koordinavimas;

15.9. kitos Veiklos tęstinumo valdymo grupei pavestos funkcijos.

16. Veiklos atkūrimo grupę sudaro VLK ITD Informacinės sistemos eksploatavimo skyriaus vedėjas (darbo grupės pirmininkas), VLK ITD Informacinės sistemos eksploatavimo skyriaus vyriausiasis specialistas (darbo grupės pirmininko pavaduotojas), Draudžiamųjų registro sisteminis administratorius, Draudžiamųjų registro tvarkytojų informatikos skyrių vedėjai ir fizinės saugos įgaliotiniai, kiti Draudžiamųjų registro valdytojo deleguoti ir VLK direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis.

17. Veiklos atkūrimo grupės funkcijos:

17.1. Draudžiamųjų registro tarnybinės stoties veikimo atkūrimo organizavimas;

17.2. Draudžiamųjų registro tinkamo veikimo atkūrimo organizavimas;

17.3. Draudžiamųjų registro elektroninės informacijos atkūrimo organizavimas;

17.4. kompiuterių tinklo veikimo atkūrimo organizavimas;

17.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

17.6. žalos Draudžiamųjų registro duomenims, Draudžiamųjų registro techninei ir (ar) programinei įrangai vertinimo organizavimas ir laisvos formos žalos vertinimo atskaitos rengimas;

17.7. kitos Veiklos atkūrimo grupei pavestos funkcijos.

18. Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė tarpusavyje bendrauja telefonu, el. paštu ir (ar) tiesiogiai susitikdamos. Šių grupių posėdžiai organizuojami kartą per metus arba įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, taip pat – jei prireikia dėl kitų priežasčių.

19. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

19.1. Draudžiamųjų registro naudotojai privalo nedelsdami žodžiu ar raštu (el. paštu) pranešti Draudžiamųjų registro saugos įgaliotiniui, Draudžiamųjų registro sisteminiam administratoriui arba VLK kibernetinio saugumo vadovui apie elektroninės informacijos saugos (kibernetinį) incidentą. Patys Draudžiamųjų registro naudotojai neturi teisės imtis jokių veiksmų;

19.2. Elektroninės informacijos saugos (kibernetinis) incidentas aprašomas, nurodant jo vietą, laiką, pobūdį bei kitą su juo susijusią informaciją, ir registruojamas Informacinių technologijų ir informacinių sistemų pagalbos tarnybos informacinėje sistemoje;

19.3. Draudžiamųjų registro sisteminis administratorius, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis reikiamų veiksmų elektroninės informacijos saugos (kibernetiniam) incidentui sustabdyti;

19.4. Draudžiamųjų registro sisteminis administratorius pagal kompetenciją atkuria Draudžiamųjų registro tarnybinės stoties bei programinės įrangos veikimą ir apie atliktus veiksmus nedelsdamas informuoja Draudžiamųjų registro saugos įgaliotinį;

19.5. Draudžiamųjų registro sisteminis administratorius, įvertinęs elektroninės informacijos saugos (kibernetinio) incidento reikšmingumą, turi teisę inicijuoti Veiklos atkūrimo grupės posėdį būtiniems Draudžiamųjų registro veiklos atkūrimo veiksmams aptarti, suderinti arba organizuoti. Apie Veiklos atkūrimo grupės posėdį Draudžiamųjų registro sisteminis administratorius raštu (el. paštu) informuoja Draudžiamųjų registro saugos įgaliotinį arba VLK kibernetinio saugumo vadovą;

19.6. VLK kibernetinio saugumo vadovas nustato elektroninės informacijos saugos (kibernetinio) incidentų valdymo, tyrimo, šalinimo prioritetus ir apie juos informuoja Nacionalinį kibernetinio saugumo centrą VLK direktoriaus įsakymu tvirtinamo VLK ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo nustatyta tvarka.

20. Techninė, sisteminė ir taikomoji programinė įranga, kuria turi būti pakeista elektroninės informacijos saugos (kibernetinio) incidento metu sunaikinta ar sugadinta įranga, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo ir (ar) VLK direktoriaus įsakymu tvirtinamų supaprastintų viešųjų pirkimų taisyklių nustatyta tvarka.

21. Atsarginėms patalpoms, naudojamoms Draudžiamųjų registro veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:

21.1. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

21.2. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

21.3. atsarginėse patalpose turi būti įrengtas rezervinis Draudžiamųjų registro techninės įrangos elektros energijos šaltinis, užtikrinantis šios įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 10 minučių;

21.4. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

21.5. patalpoje turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema) ir turi būti palaikoma + 22 (± 5) ºC temperatūra.

22. Atsarginių patalpų, naudojamų Draudžiamųjų registro veiklai atkurti kilus elektroninės informacijos saugos (kibernetiniam) incidentui, adresas - Liauksmino g. 6, Vilnius.

23. Nuvykimo į atsargines patalpas schema pateikiama Draudžiamųjų registro veiklos tęstinumo valdymo plano 2 priede.

II SKYRIUS

APRAŠOMOSIOS NUOSTATOS

24. Informacija apie Draudžiamųjų registro techninę ir programinę įrangą (šios įrangos parametrus) pateikiama Draudžiamųjų registro projektinėje dokumentacijoje, kurios rengia, atnaujina ir saugo (organizuoja) VLK Draudžiamųjų privalomuoju sveikatos draudimu skyrius.

25. Minimalaus funkcionalumo informacinių technologijų įrangos (šios įrangos parametrų), reikiamos Draudžiamųjų registro veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikacija atitinka pagrindinę Draudžiamųjų registro techninės ir programinės įrangos specifikaciją.

26. VLK pastato, kuriame yra Draudžiamųjų registro įranga, patalpų brėžiniai (juose pažymėtos tarnybinės stotys, kompiuterių tinklo ir telefonų tinklo mazgai, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietos, taip pat elektros įvedimo pastate vietos) rengiami, atnaujinami ir saugomi VLK Bendrųjų reikalų skyriuje.

27. Kompiuterinės ir techninės įrangos priežiūros sutartys, kompiuterių tinklo fizinio ir loginio sujungimo schemos, taip pat programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo informacija rengiama, atnaujinama ir saugoma VLK Informacinės sistemos eksploatavimo skyriuje.

28. Draudžiamųjų registro elektroninės informacijos teikimo, gavimo ir programinės įrangos priežiūros sutartys, duomenys apie atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigas, kita su Draudžiamųjų registro veikimu, priežiūra bei plėtra susijusi informacija rengiama, atnaujinama ir saugoma VLK Draudžiamųjų registro skyriuje.

29. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės narių sąrašai su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu, rengiami, atnaujinami ir saugomi VLK Informacinių sistemų plėtros skyriuje.

30. VLK darbuotojų sąrašas, kuriame nurodyti darbuotojų darbo telefonai, skelbiamas VLK interneto svetainėje www.vlk.lt

III SKYRIUS

DRAUDŽIAMŲJŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMAS

31. Draudžiamųjų registro veiklos tęstinumo valdymo plano veiksmingumas išbandomas kartą per dvejus metus.

32. Draudžiamųjų registro veiklos tęstinumo valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinis) incidentas. Šio incidento metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus; iš atsarginių Draudžiamųjų registro duomenų kopijų atkuriami Draudžiamųjų registro duomenys ir Draudžiamųjų registro elektroninė informacija.

33. Jeigu Draudžiamųjų registro veiklos tęstinumo valdymo plano veiksmingumo išbandymo metu nustatoma incidentų valdymo ir šalinimo, taip pat VLK nepertraukiamos veiklos užtikrinimo trūkumų, tikslinamas Draudžiamųjų registro veiklos tęstinumo valdymo planas.

34. Pagal bandymų rezultatus parengiama Draudžiamųjų registro veiklos tęstinumo valdymo plano veiksmingumo išbandymo įvertinimo ataskaitą, kurioje aprašomi atliktų bandymų rezultatai. Ataskaitą tvirtina VLK Informacinių technologijų departamento direktorius.

35. Draudžiamųjų registro veiklos tęstinumo valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

35.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. Draudžiamųjų registro saugos įgaliotinis nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

35.2. veiksmingumo – trūkumų šalinimas laikomas veiksmingu, jei pavyksta sumažinti konkretaus trūkumo daromą neigiamą poveikį Draudžiamųjų registrui;

35.3. ekonomiškumo – pašalinti visus trūkumus taupiai naudojant turimus išteklius.

_______________________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. gruodžio 20 d. raštu Nr. (4.2) 6K-816

Draudžiamųjų privalomuoju sveikatos draudimu registro

veiklos tęstinumo valdymo plano

1 priedas

DRAUDŽIAMŲJŲ PRIVALOMUOJU SVEIKATOS DRAUDIMU REGISTRO VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Padarinių likvidavimo veiksmai	Už padarinių likvidavimą atsakingi darbuotojai
1. Oro sąlygos	1.1. Elektroninės informacijos saugos (kibernetinio) incidento padarinių įvertinimas, pavojaus pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	Draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – Draudžiamųjų registras) veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		1.1.2. Pavojaus pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	Draudžiamųjų registro sisteminis administratorius
	1.2. Elektroninės informacijos saugos (kibernetinio) incidento padarinius likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	1.3. Oro prognozės sekimas	1.3.1 Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	1.4. Rekomenduojama dirbančiųjų pavojaus vietoje elgsena	1.4.1. Elektroninės informacijos saugos (kibernetinio) incidento padarinius likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
		1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
		1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas (jei yra tokia rekomendacija)	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	2.1. Ugniagesių tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus išsiaiškinimas (jei yra tokia rekomendacija)	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą (jei yra tokia rekomendacija)	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Ankstyvosios stadijos gaisro gesinimas (jei yra rekomendacija dirbti pavojaus zonoje)	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis, Draudžiamųjų registro sisteminis administratorius
3. Patalpų užgrobimas	3.1.Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	3.1.Teisėsaugos tarnybos informavimas	3.1.2. Galimybių evakuoti darbuotojus išsiaiškinimas (jei yra tokia rekomendacija)	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	3.2. Darbuotojų evakavimas (jei yra tokia rekomendacija)	3.2.1. Darbuotojų informavimas apie evakavimą	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	3.3. Patalpų užrakinimas (jei yra tokia galimybė)	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	3.4. Teisėsaugos tarnybos nurodymų vykdymas (jei yra tokia rekomendacija)	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Draudžiamųjų registro saugos įgaliotinis, Draudžiamųjų registro sisteminis administratorius
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį)	4.1.1. Rekomendacijų iš suinteresuotosios tarnybos gavimas apie galimybę dirbti pavojaus zonoje	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
		4.1.2. Darbuotojų informavimas apie rekomendacijas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	4.2. Atsarginių patalpų įrengimas	4.2.1. Darbuotojų informavimas apie darbą patalpose	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų pašalinimo organizavimas	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus pašalinimas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis, Draudžiamųjų registro sisteminis administratorius
		5.3.2. Padarytos žalos įvertinimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		5.4.3. Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.3. Darbuotojų informavimas apie rekomendacijas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo pašalinimas ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreipimasis į ryšio paslaugų teikėją	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
	7.2. Ryšio tarnybų informavimas, paklausimo dėl prognozuojamos sutrikimo trukmės ir jo pašalinimo galimybių	7.1.2. Priemonių, užtikrinančių, kad sutrikimai nesikartotų, pasirinkimas ir įgyvendinimas
	7.3. Sutrikimo pašalinimas
7.1.3. Kreipimasis į kitą ryšio paslaugų teikėją, jei sutrikimas nebuvo pašalintas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Teisėsaugos tarnybos, draudimo bendrovės informavimas apie įvykį	8.1.1. Saugos incidento padarinius likviduojančių darbuotojų paskyrimas, instruktavimas, jų veiksmų nustatymas	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas
8.2. Elektroninės informacijos saugos (kibernetinio) incidento padarinių šalinimas	8.2.1. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinio) incidento padarinių įvertinimas, priemonių pavojui sustabdyti ir padarytai žalai likviduoti numatymas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) kibernetinio saugumo vadovas, Draudžiamųjų registro saugos įgaliotinis, Draudžiamųjų registro sisteminis administratorius
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas
	9.2. Elektroninės informacijos saugos (kibernetinio) incidento padarinius likviduojančių darbuotojų paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	VLK kibernetinio saugumo vadovas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
		9.2.2. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	VLK kibernetinio saugumo vadovas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, Draudžiamųjų registro saugos įgaliotinis
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Elektroninės informacijos saugos (kibernetinio) incidento padarinių įvertinimas	Prarastų dokumentų gavimas	Draudžiamųjų registro saugos įgaliotinis
11. Darbuotojų praradimas	11.1 Elektroninės informacijos saugos (kibernetinio) incidento padarinių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Draudžiamųjų registro veiklos tęstinumo valdymo grupės pirmininkas, Draudžiamųjų registro veiklos atkūrimo grupės pirmininkas, VLK Teisės ir personalo skyrius

Draudžiamųjų privalomuoju sveikatos draudimu

registro veiklos tęstinumo valdymo plano

2 priedas

NUVYKIMO Į ATSARGINES PATALPAS BŪDAS SCHEMA

(LIAUKSMINO G. 6, VILNIUS)

________________________________