1.1. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Europos Sąjungos socialinės apsaugos duomenų mainų informacinės sistemos nuostatus (neskelbiami);

1.2. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Europos Sąjungos socialinės apsaugos duomenų mainų informacinės sistemos duomenų saugos nuostatus.

1. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) Europos Sąjungos socialinės apsaugos duomenų mainų informacinės sistemos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti Europos Sąjungos socialinės apsaugos duomenų mainų informacinės sistemos (toliau – EDMIS) duomenis, teikti juos suinteresuotiems juridiniams ir fiziniams asmenims.

2. Saugos nuostatai parengti pagal Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techninius saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintus Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298).

3. Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 2 punkte išvardintuose teisės aktuose bei Lietuvos standarte LST ISO/IEC 27001: 2006 vartojamas sąvokas.

4. EDMIS saugos politiką (toliau – saugos politika) apima Saugos nuostatai, EDMIS saugaus elektroninės informacijos tvarkymo taisyklės, EDMIS veiklos tęstinumo valdymo planas, EDMIS naudotojų administravimo taisyklės, kiti teisės aktai, reglamentuojantys EDMIS duomenų tvarkymo teisėtumą ir saugos valdymą.

5. EDMIS saugos tikslas – užtikrinti EDMIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. EDMIS duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti elektroninės informacijos saugos principus.

6. EDMIS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

7. Saugos nuostatai taikomi visiems EDMIS tvarkytojų atsakingiems asmenims ir EDMIS naudotojams, saugos įgaliotiniui, administratoriams, EDMIS duomenų gavėjams.

8. EDMIS valdytoja ir pagrindinė tvarkytoja yra VLK, buveinės adresas – Europos aikštė 1, LT-03505 Vilnius.

9. EDMIS tvarkytojai regionuose – TLK:

10. EDMIS tvarkytoja, dirbant su jos kompetencijai priskirtais ES socialinės apsaugos dokumentais, yra SAM, buveinės adresas – Vilniaus g. 33, LT-01506 Vilnius.

11. EDMIS tvarkytojais paslaugų teikimo laikotarpiui gali būti paskirti ir tretieji asmenys, VLK teikiantys EDMIS diegimo, priežiūros ir vystymo paslaugas pagal paslaugų teikimo sutartį.

12. EDMIS valdytojo ir EDMIS tvarkytojų funkcijos nurodytos EDMIS nuostatuose.

13. EDMIS valdytojas rengia ir tvirtina šiuos saugos politiką įgyvendinančius dokumentus:

14. VLK vadovas įsakymu skiria EDMIS saugos įgaliotinį (toliau – Saugos įgaliotinis), tvirtina Saugos nuostatus, suderintus su Lietuvos Respublikos vidaus reikalų ministerija, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. VLK prižiūri EDMIS saugos politiką reglamentuojančių teisės aktų parengimą ir įgyvendinimą.

15. VLK vadovas turi:

16. TLK ir SAM vadovai turi paskirti atsakingus asmenis ir pavesti jiems tvarkyti EDMIS duomenis, užtikrinti EDMIS duomenų saugą saugos politiką reglamentuojančių teisės aktų nustatyta tvarka.

17. EDMIS duomenų saugą organizuoja Saugos įgaliotinis, VLK vadovo įsakymu paskirtas atsakingu už duomenų saugą.

18. Saugos įgaliotinis, įgyvendindamas EDMIS saugą, atlieka šias funkcijas:

19. EDMIS administratorių funkcijos ir atsakomybė:

20. EDMIS naudotojų funkcijos ir atsakomybė:

21. Teisės aktai, kuriais vadovaujantis tvarkomi EDMIS duomenys ir užtikrinama jų sauga:

22. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių 3.2.1 ir 3.2.7 punktais EDMIS priskiriama antrajai informacinių sistemų kategorijai.

23. EDMIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius EDMIS duomenų vientisumui ir prieinamumui.

24. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

25. EDMIS kaupiamų duomenų šaltiniai, apdorojimo tvarka ir aprašymas pateikiami EDMIS nuostatuose.

26. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugojimo priemonėms, atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, EDMIS duomenys priskiriami antram saugumo lygiui.

27. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja EDMIS rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį EDMIS rizikos vertinimą.

28. EDMIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

29. Rizikos įvertinimo ataskaitą tvirtina VLK vadovas. Atsižvelgdamas į rizikos įvertinimo ataskaitą EDMIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

30. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus turi būti organizuojamas EDMIS informacinių technologijų saugos atitikties vertinimas, kurio metu:

31. Atlikus EDMIS informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato EDMIS valdytojas.

32. Saugi prieiga prie EDMIS duomenų yra užtikrinama tokiomis priemonėmis:

33. Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami.

34. Informacinė sistema pasiekiama visą parą.

35. Išorinės duomenų laikmenos, kuriose saugomi gaunami ir teikiami asmens duomenys, registruojamos ir kontroliuojamas jų panaudojimas, ištrinant asmens duomenis po jų panaudojimo perkeliant į duomenų bazes.

36. Kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.

37. Kompiuterinės įrangos gedimai ir avarinio asmens duomenų atkūrimo veiksmai registruojami žurnale.

38. Antivirusinė programa yra valdoma iš pagrindinės tarnybinės stoties. Naudotojų kompiuterių antivirusinės programos turi būti kasdien atnaujinamos iš pagrindinės tarnybinės stoties.

39. EDMIS naudotojams draudžiama diegti bet kokią programinę įrangą. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri administratoriai.

40. Draudžiama naudoti programinę įrangą, nesusijusią su įstaigos veikla.

41. Neteisėtų programų diegimo paieška (apeinant operacinės sistemos apsaugos mechanizmus) atliekama bent kartą per 6 mėnesius.

42. Programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką.

43. EDMIS programinis kodas turi būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

44. Naudojami tarnybinės stoties operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius.

45. Draudžiama prieiga neatpažintiems vartotojams prisijungti prie kompiuterių tinklo iš kompiuterio, nepriklausančio šiam tinklui.

46. Tarnybinių stočių patalpose įrengta oro kondicionavimo įranga ir drėgmės kontrolės įranga.

47. Patekimas prie darbo vietų kontroliuojamas.

48. Kiekvienas kompiuteris priskiriamas atsakingam naudotojui.

49. Draudžiama keisti kabinetuose kompiuterių išdėstymo vietas be administratoriaus leidimo.

50. Kompiuteriai naudojami tik tarnybinėms funkcijoms vykdyti.

51. Nešiojamieji kompiuteriai ne VLK, TLK ir SAM patalpose gali būti naudojami tik tarnybinėms funkcijoms vykdyti.

52. Nešiojamieji kompiuteriai, jei juose yra prisijungimo prie EDMIS duomenų galimybė nesant savos darbo vietos patalpose, iš VLK, TLK ir SAM patalpų gali būti išnešami tik pagal VLK, TLK ar SAM vadovo ar jo įgalioto asmens išrašytą leidimą, raštu patvirtinantį naudotojo asmeninę atsakomybę už informacijos saugą ir nurodantį kompiuterio naudojimo tikslą ir laikotarpį, kuriam kompiuteris išnešamas.

53. Nešiojamuosiuose kompiuteriuose, išnešamuose iš VLK, TLK ir SAM patalpų, esantys duomenys šifruojami priemonėmis, atitinkančiomis duomenų tvarkymo keliamą riziką.

54. Iš nutolusių darbo vietų jungiamasi per IP VPN (virtualus privatus tinklas).

55. EDMIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal EDMIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.

56. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų identifikavimą, suformulavimą ir įgyvendinimo organizavimą atsakingas Saugos įgaliotinis.

57. EDMIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą.

58. Konfigūruojant EDMIS elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir užkardų prievadai.

59. Saugos įgaliotinis organizuoja EDMIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją.

60. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja Saugos įgaliotinis.

61. EDMIS tarnybinėse stotyse esančios informacijos atsarginės duomenų kopijos turi būti daromos kiekvieną darbo dieną.

62. Atkurti informaciją iš atsarginių duomenų kopijų turi būti įmanoma per 1 darbo dieną. Atsarginės duomenų kopijos turi būti saugomos ne mažiau kaip 5 dienas.

63. Atsarginės duomenų kopijos saugomos kitoje patalpoje nei yra įrenginys, kurio informacija buvo nukopijuota.

64. Už atsarginių EDMIS duomenų kopijų darymo ir atkūrimo ir už EDMIS taikomosios programinės įrangos kopijų darymo organizavimą ir peržiūrą yra atsakingas Saugos įgaliotinis.

65. Tvarkyti EDMIS duomenis gali asmenys, susipažinę su EDMIS nuostatais, informacinių sistemų saugos politiką reglamentuojančiais teisės aktais.

66. Saugos įgaliotinis turi turėti informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, gerai išmanyti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus, savo darbe vadovautis Saugos nuostatais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais.

67. EDMIS administratoriai turi išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo taisyklėmis.

68. EDMIS naudotojai turi būti įgiję darbo kompiuteriu įgūdžių, mokėti tvarkyti EDMIS duomenis EDMIS nuostatuose nurodyta tvarka, išmanyti informacinių sistemų saugos politiką reglamentuojančius teisės aktus.

69. EDMIS naudotojai turi dirbti vadovaudamiesi sistemos techninėje dokumentacijoje nustatyta tvarka. EDMIS naudotojai privalo rūpintis tvarkomų duomenų saugumu. Pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, EDMIS naudotojai privalo nedelsdami apie tai pranešti Saugos įgaliotiniui.

70. Saugos įgaliotinis periodiškai inicijuoja informacinės sistemos naudotojų mokymą duomenų saugos klausimais, įvairiais būdais informuoja juos apie duomenų saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams, pagal poreikį organizuojami susitikimai su EDMIS tvarkytojų atsakingais asmenimis).

71. EDMIS naudotojų mokymus Saugos įgaliotinis, EDMIS administratorius arba mokymų paslaugų teikėjas, su kuriuo VLK pasirašo paslaugų sutartį, vykdo ne rečiau nei kartą per 3 metus.

72. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, Saugos įgaliotinio, administratorių ir naudotojų veiksmus reglamentuoja VLK vadovo įsakymu tvirtinamas EDMIS veiklos tęstinumo valdymo planas.

73. Naudotojų supažindinimą pasirašytinai su šiais nuostatais ir kitais saugos politiką reglamentuojančiais dokumentais organizuoja Saugos įgaliotinis ir EDMIS tvarkytojų vadovai.

74. Saugos įgaliotinis reguliariai įvairiais būdais informuoja naudotojus apie informacijos saugos problematiką.

75. Saugos nuostatai ir kiti saugos politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

76. EDMIS tvarkytojai turi įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų EDMIS duomenų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

77. Saugos įgaliotinis ir EDMIS administratoriai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių EDMIS duomenų saugų tvarkymą.

78. Saugos įgaliotinis, EDMIS administratoriai ir informacinės sistemos naudotojai, pažeidę Saugos nuostatų, kitų teisės aktų, reglamentuojančių EDMIS duomenų saugų tvarkymą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.