VALSTYBINĖS LIGONIŲ KASOS
PRIE SVEIKATOS APSAUGOS MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS 2017 M. GRUODŽIO 6 D. ĮSAKYMO nR. 1K-234 „DĖL VALSTYBINĖS LIGONIŲ KASOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2020 m. vasario 20 d. Nr. 1K-55
Vilnius
P a k e i č i u Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos valdomų informacinių sistemų duomenų saugos nuostatus, patvirtintus Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2017 m. gruodžio 6 d. įsakymu Nr. 1K-234 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“:
1. Pakeičiu 16 punktą ir jį išdėstau taip:
„16. Informacinių sistemų duomenys tvarkomi ir jų sauga užtikrinama vadovaujantis:
16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
16.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
16.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
16.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
16.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
16.9. Lietuvos standartais – LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
16.10. VLK ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, patvirtintu VLK direktoriaus 2017 m. kovo 9 d. įsakymu Nr. 1K-52 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos ir teritorinių ligonių kasų organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo patvirtinimo“;
2. Pakeičiu 19 punktą ir jį išdėstau taip:
„19. Vadovaujantis Aprašo 9.1 ir 9.3 papunkčiuose nurodytais informacijos svarbos kriterijais, informacija priskirtina vidutinės svarbos informacijos kategorijai, kai ji tvarkoma:
3. Pakeičiu 23 punktą ir jį išdėstau taip:
„23. Informacinių sistemų saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių sistemų rizikos vertinimą, kuris atliekamas vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos (toliau –ARSIS) metodika bei reikalavimais ir Lietuvos bei tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais. Prireikus informacinių sistemų saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą.“
4. Pakeičiu 30 punktą ir jį išdėstau taip:
„30. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas informacinių sistemų valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų priėmimo dienos įkelia į ARSIS, vadovaudamasis šios sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.“
5. Pakeičiu 32 punktą ir išdėstau jį taip:
„32. Informacinių sistemų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo dienos įkelia į ARSIS, vadovaudamasis šios sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.“
6. Pakeičiu 51 punktą ir jį išdėstau taip: