LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

ĮSAKYMAS

 

DĖL UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS IR UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. sausio 14 d. Nr. V-19

Vilnius

 

 

Įgyvendindamas Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatymo (Žin., 1996, Nr. 104-2363; 2001, Nr. 112-4069; 2007, Nr. 64-2454) 3 straipsnį ir vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu:

1.1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatus (pridedama).

1.2. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Nustatau, kad šis įsakymas įsigalioja nuo 2009 m. sausio 1 d.

3. Pavedu šio įsakymo vykdymą kontroliuoti ministerijos sekretoriui pagal administruojamą sritį.

 

 

 

SVEIKATOS APSAUGOS MINISTRAS                                  RIMVYDAS TURČINSKAS

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. sausio 14 d. įsakymu
Nr. V-19

 

UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos (toliau – Informacinė sistema) nuostatai reglamentuoja jos steigimo pagrindą, objektą, tikslus, funkcijas, organizacinę, informacinę ir funkcinę struktūras, kaupiamų duomenų šaltinius, tvarkymą ir naudojimą, reikalavimus duomenų saugai, reorganizavimą ir likvidavimą.

2. Informacinė sistema apima dviejų lygmenų (nacionalinio ir teritorinių visuomenės sveikatos centrų bei asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijų) duomenis ir informaciją.

3. Informacinės sistemos paskirtis – kompiuterizuotu būdu realiu laiku tvarkyti ir teikti Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatyme (Žin., 1996, Nr. 104-2363; 2001, Nr. 112-4069) bei šiuose nuostatuose nurodytus duomenis.

4. Informacinės sistemos steigėjas (toliau – Steigėjas) yra Sveikatos apsaugos ministerija.

5. Informacinės sistemos steigimo pagrindas yra Lietuvos Respublikos žmonių užkrečiamųjų ligų profilaktikos ir kontrolės įstatymo 3 straipsnis, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597) 10 straipsnis, Lietuvos Respublikos sveikatos apsaugos ministro 2002 m. gruodžio 24 d. įsakymas Nr. 673 „Dėl privalomojo epidemiologinio registravimo, privalomojo informacijos apie epidemiologinio registravimo objektus turinio ir informacijos privalomojo perdavimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 12-444), Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymas Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972); Lietuvos Respublikos sveikatos apsaugos ministro 2005 vasario 10 d. įsakymas Nr. V-109 „Dėl užkrečiamųjų ligų statistinių ataskaitos ir apskaitos formų patvirtinimo“ (Žin., 2005, Nr. 24-772), Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gegužės 10 d. įsakymas Nr. V-344 „Dėl užkrečiamųjų ligų, išvardytų Europos Komisijos sprendimuose Nr. 2000/96/EB ir 2003/542EB, atvejų apibrėžimų patvirtinimo“ (Žin., 2004, Nr. 82-2958).

6. Informacinės sistemos laukiamas rezultatas yra sergamumo užkrečiamosiomis ligomis ir užkrečiamųjų ligų sukėlėjų rodiklių stebėsena (monitoringas) šalyje, ankstyvas užkrečiamųjų ligų protrūkių nustatymas, šalies teritorijos apsauga nuo užkrečiamųjų ligų protrūkių išplitimo, sumažinant jų įtaką visuomenės sveikatai ir šalies ekonomikai.

7. Informacinė sistema tvarkoma vadovaujantis:

7.1. Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 58-2061);

7.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

7.3. Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2004 m. spalio 15 d. įsakymu Nr. T-131 „Dėl Valstybės informacinių sistemų kūrimo metodinių dokumentų patvirtinimo“ (Žin., 2004, Nr. 155-5679);

7.4. kitais teisės aktais ir šiais Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatais.

 

II. INFORMACINĖS SISTEMOS STEIGIMO TIKSLAI,
FUNKCIJOS, OBJEKTAI

 

8. Informacinės sistemos steigimo tikslai:

8.1. sukurti ir įdiegti vieningą, centralizuotą užkrečiamųjų ligų ir jų sukėlėjų pranešimų sistemą, atvirą integruotis į kitas sistemas, dirbančią realiame laike, kuri užtikrintų ankstyvą ligų protrūkių nustatymą, kaupiant asmens duomenis užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinėje sistemoje bei užkirstų kelią šioms ligoms plisti;

8.2. susieti užkrečiamąją ligą su užkrečiamosios ligos sukėlėju;

8.3. saugiai ir efektyviai automatiniu būdu tvarkyti elektroninę informaciją apie asmenis, susirgusius užkrečiamąja liga ir išskirtus šių ligų sukėlėjus valstybiniu lygiu sveikatos apsaugos tikslais;

8.4. kiek įmanoma anksčiau gauti informaciją apie diagnozuotos užkrečiamosios ligos atvejį;

8.5. operatyviai, valstybiniu lygiu, valdyti užkrečiamųjų ligų protrūkius, savalaikiai taikant užkrečiamųjų ligų prevencines ir kontrolės priemones bei užkertant kelią plisti ligoms;

8.6. užtikrinti operatyvų grįžtamąjį ryšį tarp visuomenės sveikatos priežiūros įstaigų ir užkrečiamųjų ligų priežiūros ir kontrolės nacionalinio lygmens;

8.7. teikti sergamumo duomenis valstybės institucijoms ir įstaigoms teisės aktų nustatytoms funkcijoms vykdyti;

8.8. vengti teikiamų duomenų dubliavimo;

8.9. suteikti užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinei sistemai galimybę realiu laiku ir minimaliomis sąnaudomis tvarkyti asmens duomenis apie užkrečiamųjų ligų atvejus šalyje;

8.10. užtikrinti užkrečiamųjų ligų operatyvios ir retrospektyvios epidemiologinės analizės galimybę.

9. Informacinės sistemos funkcijos:

9.1. registruoti užkrečiamųjų ligų atvejus bei nustatytų užkrečiamųjų ligų sukėlėjų atvejus, tvarkyti jų duomenis ir laikyti archyve;

9.2. užtikrinti Informacinės sistemos duomenų apsaugą;

9.3. teikti Informacinės sistemos duomenų naudotojams informaciją apie Informacinėje sistemoje kaupiamus duomenis šių nuostatų nustatyta tvarka;

9.4. teikti oficialią, apibendrintą sergamumo užkrečiamosiomis ligomis informaciją visuomenei realiu laiku;

9.5. garantuoti, kad Informacinėje sistemoje nebūtų įrašyta klaidingų, nereikalingų arba neišsamių duomenų, kad registravimo duomenys atitiktų faktinius.

10. Informacinės sistemos objektai – asmenų, užsikrėtusių užkrečiamosiomis ligomis, atvejai, asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijose nustatyti užkrečiamųjų ligų sukėlėjų atvejai.

 

III. INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA

 

11. Informacinės sistemos organizacinę struktūrą sudaro: Informacinės sistemos valdytojas (toliau – Valdytojas), Informacinės sistemos tvarkytojas (toliau – Tvarkytojas), Informacinės sistemos duomenų teikėjai ir duomenų gavėjai.

12. Informacinės sistemos valdytojas yra Sveikatos apsaugos ministerijos įgaliota institucija.

13. Valdytojas vykdo šias funkcijas:

13.1. koordinuoja Informacinės sistemos tvarkymo įstaigos ir Informacinės sistemos tvarkytojų darbą, teisės aktų nustatyta tvarka atlieka šios įstaigos priežiūrą;

13.2. priima sprendimus dėl Informacinės sistemos techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;

13.3. užtikrina Informacinės sistemos techninės ir programinės įrangos įdiegimą ir funkcionavimą.

14. Informacinės sistemos tvarkytojas yra Užkrečiamųjų ligų profilaktikos ir kontrolės centras (Kalvarijų g. 153, LT-08221 Vilnius).

15. Tvarkytojas vykdo šias pagrindines funkcijas:

15.1. tvirtina teisės aktus, susijusius su Informacinės sistemos tvarkymu ir Informacinės sistemos duomenų sauga;

15.2. įgyvendina Informacinės sistemos techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;

15.3. užtikrina, kad Informacinė sistema veiktų nepertraukiamai, organizuoja ir koordinuoja arba atlieka Informacinės sistemos techninių programinių priemonių peržiūros ir tobulinimo darbus;

15.4. rengia ir įgyvendina Informacinės sistemos plėtros projektus;

15.5. rengia teisės aktų, susijusių su Informacinės sistemos duomenų tvarkymu ir sauga, projektus;

15.6. atlieka duomenų ir kitos informacijos, reikalingos sergamumui užkrečiamosiomis ligomis ir užkrečiamųjų ligų sukėlėjų plitimui stebėti ir sprendimams priimti, poreikių analizę;

15.7. rengia sergamumo užkrečiamosiomis ligomis statistines ataskaitų formas;

15.8. rengia užkrečiamųjų ligų sukėlėjų, išskirtų asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijose, ataskaitų formas;

15.9. tvarko duomenis;

15.10. teikia apibendrintą informaciją (suminius duomenis, kurie atspindi sergamumą užkrečiamosiomis ligomis šalyje, išskirtų užkrečiamųjų ligų sukėlėjų paplitimą šalyje) visų lygių visuomenės sveikatos priežiūros įstaigoms ir visuomenei;

15.11. Informacinės sistemos duomenų pagrindu rengia ir skelbia tinklalapyje oficialiąsias suvestines (statistines ataskaitas apie sergamumą užkrečiamosiomis ligomis šalyje);

15.12. užtikrina, kad duomenų gavėjai, kuriems perduoti neteisingi, netikslūs, neišsamūs Informacinės sistemos duomenys, būtų informuoti apie ištaisytus netikslumus;

15.13. užtikrina, kad Informacinė sistema būtų tvarkoma, vadovaujantis Užkrečiamųjų ligų ir jų sukėlėjų valstybės Informacinės sistemos nuostatais ir kitais teisės aktais;

15.14. užtikrina duomenų saugą;

15.15. vykdo kitas steigėjo nustatytas funkcijas.

16. Informacinės sistemos duomenų teikėjai yra asmens ir visuomenės sveikatos priežiūros įstaigos.

17. Duomenų teikėjai vykdo šias pagrindines funkcijas:

17.1. atsako už savalaikį teisingų duomenų teikimą;

17.2. privalo per 3 darbo dienas nuo Informacinės sistemos duomenų pasikeitimo dienos apie tai raštu pranešti Informacinės sistemos tvarkymo įstaigai;

17.3. pateikę rašytinį prašymą turi teisę susipažinti su Informacinėje sistemoje tvarkomais į Informacinę sistemą įrašytais duomenimis;

17.4. turi teisę raštiškai reikalauti ištaisyti neteisingus arba patikslinti netikslius, neišsamius duomenis.

18. Informacinės sistemos suminių duomenų gavėjai yra asmens ir visuomenės sveikatos priežiūros įstaigos, valstybės institucijos, kaimyninės šalys, Europos ligų prevencijos ir kontrolės centras, Pasaulio sveikatos organizacija.

 

IV. INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA

 

19. Informacinės sistemos struktūrą sudaro duomenų bazė ir joje kaupiami asmens duomenys, suminių duomenų mainai tarp Informacinės sistemos ir tuberkuliozės registro, ŽIV-AIDS duomenų bazės.

20. Informacinės sistemos duomenys tvarkomi Informacinės sistemos duomenų bazėje, o saugomi – elektroninių dokumentų saugyklose.

21. Visuomenės sveikatos centrai duomenis apie nustatytas užkrečiamąsias ligas gauna iš gydytojo, turinčio licenciją diagnozuoti jas pagal skubaus pranešimo statistikos apskaitos formą Nr. 058-089-151/a (pranešimas apie nustatytą susirgimą), patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972).

22. Duomenys apie ligonį: asmens kodas, lytis, amžius, gyvenamoji vieta, telefonas, darbovietė, profesija.

23. Datos: kreipimosi į gydymo įstaigą, susirgimo, diagnozės nustatymo, hospitalizavimo, paskutinį kartą buvimo darbe ar ugdymo įstaigoje.

24. Diagnozės duomenys: pirminės diagnozės, diagnozės šifras, išaiškinta profilaktiškai, stacionare, mirus, diagnozė patvirtinta kliniškai, bakteriologiniu tyrimu, endoskopiniu, ultragarsu, rentgeno loginiu, izotopiniu metodu, citologiškai, histologiškai, kt. metodais.

25. Epidemiologiniai duomenys gaunami iš epidemiologinių tyrimo protokolų:

25.1. židinio epidemiologinio tyrimo pradžios data;

25.2. susirgimas;

25.3. užsikrėtimo vieta;

25.4. tariamas užsikrėtimo šaltinis;

25.5. užsikrėtimo būdas;

25.6. pažeidimo lokalizacija;

25.7. infekcijos perdavimo veiksniai;

25.8. židinio lokalizavimo ir likvidavimo priemonės;

25.9. židinyje atlikti laboratoriniai tyrimai;

25.10. kita informacija, turinti epidemiologinės reikšmės;

25.11. gyvūnų laboratoriniai tyrimai;

25.12. teritorinė visuomenės sveikatos priežiūros įstaiga;

25.13. gydytojas epidemiologas (kitas specialistas);

25.14. epidemiologinio tyrimo pabaigos data;

25.15. telefonas, elektroninis paštas.

26. Visuomenės sveikatos centrai duomenis apie užkrečiamųjų ligų sukėlėją gauna iš asmens ir visuomenės sveikatos priežiūros įstaigos laboratorijų pagal skubų pranešimą (apskaitos forma Nr. 151-1/a), patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972; 2005, Nr. 13-408; 2007, Nr. 115-4711). Formoje nurodomi duomenys apie asmenį: asmens kodas, diagnozė pagal TLK kodą, gydomas stacionare, ambulatoriškai ar kt.;

26.1. sukėlėjo ėminio duomenys;

26.2. polimerazinės grandininės reakcijos, serologiniai ir mikroskopiniai tyrimai;

26.3. duomenys apie išaugintą užkrečiamųjų ligų sukėlėją: mikroorganizmo gentis, rūšis, fagotipas, biotipas, serotipas, kolicinotipas ir kt.;

26.4. užkrečiamųjų ligų sukėlėjo jautrumas antibiotikams.

27. Informacinė sistema turi būti realizuota taip, kad būtų įmanoma vykdyti duomenų mainus tarp skirtingų informacijos šaltinių.

 

V. INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA

 

28. Informacinės sistemos funkcinę struktūrą sudaro infrastruktūra ir komponentės.

29. Infrastruktūra apima techninę ir programinę įrangą, kompiuterinius tinklus ir sudaro procesą valdančių posistemių pamatą:

29.1. kompiuteriniai tinklai- fizinė aplinka, skirta duomenų mainams atlikti;

29.2. infrastruktūriniai servisai, skirti kompiuteriniams tinklams, sistemoje naudojami techninei įrangai, programinei įrangai prižiūrėti ir valdyti;

29.3. infrastruktūriniai servisai, skirti duomenų bazėms prižiūrėti ir valdyti;

29.4. infrastruktūriniai servisai, leidžiantys duomenis surinkti, apdoroti, kaupti, perduoti.

30. Informacinės sistemos komponentės ir jų atliekamos funkcijos:

30.1. sistemos naudotojų administravimo komponentė, kurios pagrindinės funkcijos – registruoti sistemos naudotojus, jų veiksmus, nustatyti naudotojų prieigos prie sistemos resursų teises įgyvendinant informacijos apsaugos funkcijas;

30.2. informacijos įvedimo į sistemą komponentė, kurios pagrindinės funkcijos – sudaryti sąlygas duomenų teikėjams įvesti informaciją į informacinės sistemos duomenų bazes ir elektroninių dokumentų saugyklą, įkelti reikalingus duomenis iš kitų informacinių sistemų ir integruoti juos į minimoje informacinėje sistemoje esančius duomenis;

30.3. informacijos kontrolės komponentė, kurios pagrindinė funkcija -kad neteisingi ir netikslūs duomenys nebūtų įvedami į sistemos duomenų bazę;

30.4. informacijos platinimo komponentė, kurios pagrindinė funkcija – teikti informaciją duomenų gavėjams;

30.5. informacijos saugojimo komponentė, kurios pagrindinės funkcijos – saugoti į sistemą įvestus duomenis, valdyti sistemos duomenų bazes, archyvuoti duomenis, taip užtikrinant informacinės sistemos nepertraukiamumą;

30.6. informacijos apdorojimo komponentė, kurios pagrindinė funkcija – pertvarkyti ir apdoroti įvedamus ir teikiamus duomenis, sudaryti ataskaitas, dokumentus;

30.7. elektroninio pašto komponentė, kurios pagrindinė funkcija – suteikti galimybę naudotojams operatyviai keistis informacija ir komunikuoti.

 

VI. INFORMACINĖS SISTEMOS DUOMENŲ GAVIMAS, TEIKIMAS

 

31. Informacinės sistemos duomenys teikiami ir gaunami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų teikimą ar gavimą.

32. Norint užtikrinti Informacinės sistemos funkcionavimą, duomenys apie užkrečiamąja liga sergančius žmones gaunami iš visuomenės sveikatos centrų pagal šių Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatų 21–25 punktus.

33. Norint užtikrinti Informacinės sistemos funkcionavimą, duomenys apie nustatytus užkrečiamųjų ligų sukėlėjų atvejus gaunami iš asmens ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijų pagal šių Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatų 26 punktą.

34. Informacinės sistemos suminiai duomenys teikiami:

34.1. valstybės institucijoms ir įstaigoms teisės aktų nustatytoms funkcijoms vykdyti;

34.2. valdytojo nustatyta tvarka juridiniams ir fiziniams asmenims, pateikusiems prašymus, kuriuose turi būti nurodytas duomenų naudojimo tikslas;

34.3. ypatingi asmens duomenys gali būti teikiami tik įstatymų nustatyta tvarka.

 

VII. INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMAS, NAUDOJIMAS IR SAUGA

 

35. Informacinę sistemos duomenų saugą reguliuoja Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymas Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“ (Žin., 2007, Nr. 53-2070).

36. Informacinėje sistemoje asmens duomenys saugomi duomenų bazėse 3 metus, o asmenų, susirgusių vidurių šiltine, duomenys saugomi 50 metų. Vėliau duomenys yra siunčiami į duomenų bazių archyvus. Duomenų saugojimo terminai ir jų naikinimo tvarka nustatyta Informacinės sistemos tvarkytojo vadovo įsakymais patvirtintose Saugaus darbo su duomenimis taisyklėse ir detaliose darbo su duomenimis instrukcijose bei procedūrų aprašymuose.

37. Informacinės sistemos duomenys turi būti tikslūs ir, jei reikia duomenims tvarkyti, nuolat atnaujinami. Neteisingi, netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.

38. Steigiant ir tvarkant informacinę sistemą, turi būti įgyvendintos duomenų apsaugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos užtikrinti informacinės sistemos duomenų konfidencialumą, prieinamumą teisėtiems naudotojams, vientisumą ir apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų informacinės sistemos duomenų pobūdį.

39. Už informacinės sistemos duomenų tvarkymo teisėtumą, duomenų teikimo teisėtumą, duomenų patikimumą ir duomenų apsaugą atsako valdytojas.

40. Už duomenų tvarkymo metu įvedamų duomenų apsaugą atsako duomenų teikėjai.

41. Tvarkytojas, duomenų teikėjai ir gavėjai, tvarkydami informacinės sistemos duomenis, privalo juos saugoti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių saugų duomenų tvarkymą ir teikimą, nustatyta tvarka.

42. Duomenų apsauga užtikrinama vadovaujantis:

42.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

42.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891);

42.3. Lietuvos standartu LST ISO/IEC 17799:2006;

42.4. Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“;

42.5. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos duomenų saugos nuostatais;

42.6. kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą ir duomenų saugos valdymą.

 

VIII. INFORMACINĖS SISTEMOS FINANSAVIMAS

 

43. Informacinė sistema steigiama ir tvarkoma iš šių lėšų:

43.1. Lietuvos Respublikos valstybės biudžeto lėšų;

43.2. tarptautinių paramos fondų ar finansinių mechanizmų lėšų.

 

IX. INFORMACINĖS SISTEMOS REORGANIZAVIMAS IR PANAIKINIMAS

 

44. Informacinė sistema reorganizuojama ir panaikinama Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

45. Panaikinus informacinę sistemą, jos duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

 

X. BAIGIAMOSIOS NUOSTATOS

 

46. Informacinės sistemos naudotojai su šiais nuostatais supažindinami pasirašytinai.

47. Informacinės sistemos naudotojai, pažeidę šių nuostatų reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

 

_________________

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. sausio 14 d. įsakymu
Nr. V-19

 

UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos (toliau – IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato elektroninės informacijos saugumo tikslus, svarbą, informacijos saugumo užtikrinimo prioritetines kryptis, principus ir taisykles, apibrėžiančias saugų IS duomenų tvarkymą automatiniu būdu, ir reglamentuoja automatizuotą IS duomenų apdorojimą. Saugos nuostatai yra privalomi visiems IS duomenų teikėjams, gavėjams ir naudotojams (toliau – IS naudotojas).

2. IS duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas IS, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.

3. Saugos nuostatai yra parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), bei Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).

4. Saugos nuostatai kartu su IS tvarkytojo Užkrečiamųjų ligų profilaktikos ir kontrolės centro (toliau – ULPKC) tvirtinamomis saugaus elektroninės informacijos tvarkymo taisyklėmis, IS veiklos tęstinumo valdymo planu bei IS naudotojų administravimo taisyklėmis apibrėžia IS saugumo politiką (toliau – saugumo politika).

5. Elektroninės informacijos saugumo tikslai, svarba ir esama padėtis:

5.1. užtikrinti saugų IS duomenų tvarkymą ir apdorojimą automatiniu būdu, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597), Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Lietuvos standartais LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibrėžiančiais saugų duomenų tvarkymą;

5.2. ULPKC, kaip IS duomenų tvarkytojo, svarbiausias uždavinys – užtikrinti IS duomenų patikimumą ir saugumą, tinkamą kompiuterinės technikos ir komunikacinės įrangos funkcionavimą, stabilų kompiuterinio vietinio tinklo darbo režimą, saugų darbą interneto tinkle, kompiuterinio ryšio patikimumą elektroniniu būdu priimant ir perduodant duomenis;

5.3. IS duomenų saugą organizuoja ULPKC direktoriaus įsakymu paskirtas asmuo, atsakingas už duomenų saugą;

5.4. ULPKC direktorius įsakymu skiria ULPKC duomenų saugos įgaliotinį (toliau – saugos įgaliotinis), kuris įgyvendina informacijos saugą IS ir atsako už saugos dokumentų reikalavimų vykdymą. Saugos įgaliotinio funkcijos nustatomos ULPKC direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, ULPKC nuostatais bei kitais ULPKC darbo tvarką reglamentuojančiais dokumentais;

5.5. visuomenės sveikatos centruose (toliau – VSC) už duomenų apsaugos priemonių įgyvendinimą atsako VSC direktoriaus įsakymu paskirtas VSC saugos įgaliotinis, kurio funkcijos nustatomos VSC direktoriaus įsakymu patvirtintame saugos įgaliotinio pareigybės aprašyme, parengtame vadovaujantis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais bei VSC nuostatais ir kitais VSC darbo tvarką reglamentuojančiais dokumentais;

5.6. asmens sveikatos priežiūros ir visuomenės sveikatos priežiūros įstaigų mikrobiologijos laboratorijos (toliau – ASPĮ ir VSPĮ ML) pačios nustato duomenų apsaugos priemones ir jas įgyvendina.

6. IS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys: patalpų, kuriose yra tarnybinės stotys, apsauga, kompiuterinės technikos apsauga, programinės įrangos apsauga, ULPKC ir VSC vidaus tinklo apsauga, atsarginių duomenų kopijų darymas, vartotojų autentifikavimas, apsauga nuo galimų tyčinių ULPKC ir VSC darbuotojų veiksmų, administracinės priemonės.

7. IS valdytoja yra Sveikatos apsaugos ministerijos įgaliota institucija, duomenų tvarkymo įstaiga – ULPKC.

8. IS duomenys tvarkomi ir apdorojami, vadovaujantis Lietuvos Respublikos įstatymais, kitais teisės aktais, reglamentuojančiais duomenų tvarkymą, saugojimą bei mainus.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

9. IS priskirtina trečiai informacinių sistemų kategorijai, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 78-3160).

10. Duomenis į IS duomenų bazę teikia VSC, ASPĮ bei VSPĮ ML.

11. Duomenys iš VSC gaunami pagal Lietuvos Respublikos sveikatos apsaugos ministro 2002 m. gruodžio 24 d. įsakymą Nr. 673 „Dėl privalomojo epidemiologinio registravimo, privalomojo informacijos apie epidemiologinio registravimo objektus turinio ir informacijos privalomojo perdavimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 12-444), Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymą Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (Žin., 1999, Nr. 103-2972); Lietuvos Respublikos sveikatos apsaugos ministro 2005 m. vasario 10 d. įsakymą Nr. V-109 „Dėl užkrečiamųjų ligų statistinių ataskaitos ir apskaitos formų patvirtinimo“ (Žin., 2005, Nr. 24-772), Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gegužės 10 d. įsakymą Nr. V-344 „Dėl užkrečiamųjų ligų, išvardytų Europos Komisijos sprendimuose Nr. 2000/96/EB ir 2003/542, atvejų apibrėžimų patvirtinimo“ (Žin., 2004, Nr. 82-2958), 1998 m. rugsėjo 24 d. Europos Parlamento ir Tarybos sprendimą Nr. 2119/98/EB „Dėl užkrečiamųjų ligų epidemiologinės priežiūros ir kontrolės tinklo Bendrijoje sukūrimo“, 1999 m. gruodžio 22 d. Europos Komisijos sprendimas Nr. 2000/57/EB „Dėl užkrečiamųjų ligų prevencijai ir kontrolei pagal Europos Parlamento ir Tarybos sprendimą Nr. 2119/98/EB nustatytos skubaus įspėjimo ir reagavimo sistemos“ (OL 2004 m. Specialusis leidimas, 15 skyrius, 5 tomas, p. 26).

12. IS kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami IS nuostatuose.

13. IS saugomi duomenys pagal viešumo kriterijų skirstomi į viešuosius (agreguoti, statistiniai duomenys) ir viešai neskelbtinus (asmens duomenys).

14. Nustatomi du pagrindiniai duomenų apsaugos lygmenys pagal duomenų kategoriją ir galimus jų pažeidimo padarinius:

14.1. aukštas, kuris taikomas ULPKC centrinės duomenų bazės bei VSC duomenų bazių apsaugai;

14.2. žemas, kuris taikomas atskirų darbo vietų kompiuteriuose sukauptų duomenų apsaugai.

15. Už IS duomenų pažeidimo rizikos įvertinimą atsakingas Informacinės sistemos saugos įgaliotinis.

16. Saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja IS duomenų pažeidimo rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį šios rizikos vertinimą. ULPKC direktoriaus rašytiniu pavedimu IS duomenų pažeidimo rizikos vertinimą gali atlikti pats duomenų saugos įgaliotinis.

17. Atlikus duomenų pažeidimo rizikos vertinimą, parengiama IS duomenų pažeidimo Rizikos vertinimo ataskaita. IS valdytojas prireikus tvirtina IS duomenų pažeidimo Rizikos valdymo priemonių planą, kuriame numatomi techniniai, administraciniai ir kiti ištekliai rizikos valdymo priemonėms įgyvendinti.

 

III. ORGANIZACINIAI IR TECHNINIAI DUOMENŲ
SAUGOS REIKALAVIMAI

 

18. IS duomenų apsaugos techninės ir programinės priemonės:

18.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;

18.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID – 10), nuotolinis serverių valdymas ir gedimų diagnozavimas, užtikrinama gedimų prevencija (centrinio duomenų bazės serverio), įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, avariniai generatoriai, sudaromos reikiamos eksploatavimo sąlygos, įrengiama nuolat veikianti techninio aptarnavimo telefono linija bei kt.;

18.3. programinės įrangos apsauga;

18.4. ULPKC ir VSC vidaus tinklo apsauga;

18.5. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:

18.5.1. duomenų saugumui užtikrinti daromos centrinės duomenų bazės atsarginės duomenų kopijos;

18.5.2. atsarginės kopijos daromos magnetinėse laikmenose – magnetinėse juostose;

18.5.3. atsarginės kopijos magnetinėse juostose daromos reguliariai, kiekvieną darbo dieną;

18.5.4. sukurta atsarginė kopija pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai;

18.5.5. kiekvienos savaitės paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitinė kopija;

18.5.6. kiekvieno mėnesio paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra mėnesinė kopija;

18.5.7. kiekvienų metų paskutinės atsarginės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra metinė kopija;

18.5.8. dokumentų atsargines kopijas turi teisę daryti tik ULPKC Informacinių sistemų eksploatavimo skyriaus specialistas, kurio pareigybės aprašyme numatyta ši funkcija. Jo nesant, jį turi pakeisti kitas šio skyriaus specialistas;

18.5.9. padarius atsargines kopijas, būtina įsitikinti, kad kopija yra kokybiška. Būtina išbandyti kopiją, įrašant duomenis į tam tikslui serveryje sukurtą laikinąjį katalogą. Baigus tikrinimo darbus, laikinąjį katalogą būtina pašalinti iš serverio;

18.5.10. savaitinės atsarginės kopijos magnetinėje laikmenoje saugomos banko seife. Už jų atidavimą saugoti atsako ULPKC Informacinės sistemos eksploatavimo skyriaus specialistas, vykdantis dokumentų kopijavimo funkciją;

18.5.11. atsarginės metinės kopijos saugomos Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatyta tvarka. Atsarginės mėnesinės kopijos saugomos 1 metus nuo jų sukūrimo dienos. Savaitinės kopijos saugomos 1 mėnesį nuo jų sukūrimo dienos;

18.6. IS naudotojų identifikavimas:

18.6.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo (BIOS) iki programos paleidimo ir prisijungimo prie duomenų bazės;

18.6.2. nustatomi specialūs reikalavimai slaptažodžių sistemai (periodinis privalomas slaptažodžių keitimas, slaptažodžio ilgio apribojimai, neleidžiama naudoti senų slaptažodžių);

18.7. apsauga nuo galimų tyčinių ULPKC ir VSC darbuotojų veiksmų:

18.7.1. nustatomi IS naudotojų vaidmenys ir darbuotojams priskiriami konkretūs vaidmenys (darbuotojas gali naudotis tik tomis programomis, kurios padeda vykdyti jam priskirtas funkcijas);

18.7.2. pagrindinės duomenų bazės skirstomos į poaibius ir konkretus IS naudotojas dirba tik su jam priskirtais poaibiais;

18.7.3. ribojama IS naudotojo teisė manipuliuoti duomenimis;

18.7.4. IS naudotojo teisės suteikiamos ir sustabdomos pagal įstaigos, kurioje dirba naudotojas, vadovo įsakymą;

18.7.5. visi IS naudotojo prisijungimai prie IS registruojami IS prisijungimo žurnale;

18.8. nešiojamieji kompiuteriai, jei jie yra prijungti prie IS, negali būti išnešami iš įstaigos, kuriai priskirta IS naudotojo darbo vieta, patalpų; jei būtina kompiuterį išnešti iš minėtų patalpų, įstaigų, išvardytų Saugos nuostatų 7 punkte, vadovai raštiškai patvirtina IS naudotojo asmeninę atsakomybę už duomenų saugą, nurodydami laikotarpį, kuriam kompiuteris išnešamas.

19. IS duomenų apsaugos administracinės priemonės:

19.1. veiksmai, užtikrinantys duomenų apsaugą, nustatomi pareigybių aprašymuose, tvirtinami ULPKC direktoriaus įsakymais;

19.2. IS naudotojai supažindinami su galiojančiais norminiais aktais, reglamentuojančiais duomenų apsaugą;

19.3. IS naudotojų atsakomybę nustato ULPKC direktoriaus įsakymai, vidaus taisyklės ir darbo sutartys;

19.4. pasirašomi asmeniniai IS naudotojų pasižadėjimai;

19.5. parengiamas IS duomenų pažeidimo rizikos valdymo priemonių planas;

19.6. duomenų saugos dokumentai atnaujinami ne rečiau kaip kartą per metus (atlikus IS duomenų pažeidimo rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus ULPKC esminiams organizaciniams, sisteminiams ar kitiems pokyčiams).

20. IS duomenų apsaugos programinės priemonės:

20.1. tarnybinėse stotyse bei darbo vietose naudojama tik licencijuota programinė įranga (nuolat atnaujinama);

20.2. naudojamos užkardos;

20.3. tarnybinėse stotyse bei darbo vietose naudojama antivirusinė programinė įranga, kuri nuolat atnaujinama;

20.4. darbo vietose, kuriose dirbama su IS, neturi būti naudojamos programos ir dokumentai, nesusiję su įstaigos funkcijomis ar IS naudotojo funkcijomis;

20.5. kitos priemonės.

21. Už IS saugumo politikos įgyvendinimą ir kontrolę atsako Informacinės sistemos saugos įgaliotinis.

22. IS duomenų tvarkymo ir saugumo procedūros turi būti aprašytos saugos įgaliotinio parengtose, vadovaujantis Saugos dokumentų turinio gairėmis, ir ULPKC direktoriaus patvirtintose detaliose IS saugaus elektroninės informacijos tvarkymo taisyklėse.

23. Saugos įgaliotinis teikia siūlymus už duomenų saugą atsakingam ULPKC Informacinės sistemos skyriaus vedėjui dėl IS posistemių ar funkcijų administratorių (toliau – administratorius), atsiskaitančių už paskirtų funkcijų vykdymą tiesiogiai saugos įgaliotiniui, skyrimo. IS administratorius turi gebėti dirbti su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą, taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.

24. IS naudotojai turi būti supažindinti su duomenų tvarkymą reglamentuojančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.

25. IS naudotojai, vadovaudamiesi IS saugumo politiką reglamentuojančiais teisės aktais, nuolat rūpinasi IS duomenų saugumu, o pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, išsiaiškinę, kurios duomenų saugos užtikrinimo priemonės yra neveiksmingos, privalo nedelsdami apie tai pranešti už duomenų saugą atsakingam Informacinės sistemos skyriaus vedėjui arba saugos įgaliotiniui.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

26. Konkrečios IS duomenų pažeidimo rizikos valdymo priemonės aprašomos IS duomenų pažeidimo rizikos valdymo veiksmų plane, kurį tvirtinta ULPKC direktorius.

27. Galimi vidiniai ir išoriniai IS duomenų pažeidimo rizikos veiksniai yra šie:

27.1. netyčiniai subjektyvūs veiksniai – duomenų tvarkymo klaidos, technikos gedimai, kompiuterių virusai ir kt.;

27.2. tyčiniai subjektyvūs veiksniai – neteisėtas įsibrovimas į sistemą iš išorės, vidaus darbo taisyklių bei kitų teisės aktų nustatytų duomenų tvarkymo pažeidimai, kompiuterių ar duomenų vagystė ir kt.;

27.3. nenugalima jėga (žaibas, gaisras, potvynis ar kt.).

28. Galimi vidinio ir išorinio duomenų pažeidimo padariniai:

28.1. netyčinių subjektyvių veiksnių padariniai – netikslūs duomenys, prarandama dalis informacijos, sugadinama operacinė sistema, negalima vykdyti kai kurių veiklos funkcijų ir kt.;

28.2. tyčinių subjektyvių veiksnių padariniai – kompiuterinės sistemos darbo sutrikimai nuo funkcionalumo sumažėjimo iki visiško gedimo, duomenys gali patekti neturintiems į juos teisių asmenims ir kt.;

28.3. nenugalimų jėgų padariniai – sugadinama visa techninė kompiuterinė įranga, visiškai sunaikinami duomenys, sugadinamos visos atsarginės kopijos.

29. Duomenų pažeidimo rizikos veiksniai turi būti valdomi, todėl numatomi šie galimų pažeidimų valdymo procesai:

29.1. duomenų pažeidimo rizikos analizė, rizikos šaltinio nustatymas, galimo rizikos masto apskaičiavimas;

29.2. duomenų pažeidimo rizikos įvertinimas;

29.3. pasirengimas galimiems duomenų pažeidimams, numatant duomenų apsaugos priemones, kurios sumažintų duomenų pažeidimo tikimybę ir padėtų likviduoti tokių pažeidimų pasekmes;

29.4. IS naudotojų mokymai ir informavimas apie galimus duomenų pažeidimo rizikos veiksnius;

29.5. asmeninės IS duomenų tvarkytojų bei naudotojų atsakomybės nustatymas.

30. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose dokumentuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę bei siekdamas įvertinti galimą rizikos veiksnių įtaką IS sistemai, ne rečiau kaip vieną kartą per metus organizuoja IS saugumo vertinimą, kurio metu:

30.1. įvertinama realios duomenų saugos situacijos atitiktis saugumo politiką apibrėžiantiems dokumentams;

30.2. inventorizuojama IS techninė ir programinė įranga;

30.3. patikrinama IS tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;

30.4. patikrinama IS duomenis tvarkantiems asmenims suteiktų teisių atitiktis jų vykdomoms funkcijoms;

30.5. įvertinamas IS administratoriaus pasiruošimas atkurti sistemos veikimą įvykus nenumatytoms situacijoms;

30.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir parengiama Rizikos veiksnių ataskaita.

31. Remdamasis atlikto IS saugumo vertinimo rezultatais, saugos įgaliotinis parengia ir ULPKC direktoriui pateikia tvirtinti Rizikos veiksnių ataskaitą bei Pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

 

V. REIKALAVIMAI PERSONALUI

 

32. IS saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais bei kitais dokumentais, ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

33. IS administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

34. IS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti IS duomenis IS nuostatų nustatyta tvarka ir būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.

35. IS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti IS saugos įgaliotiniui ir/arba IS administratoriui.

36. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, IS saugos įgaliotinių, IS administratorių, IS naudotojų veiksmus reglamentuoja IS veiklos tęstinumo valdymo planas.

37. IS saugos įgaliotinis kartą per metus organizuoja IS administratorių, IS naudotojų mokymus kvalifikacijos tobulinimo ir duomenų saugos klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, per internetinę svetainę, atmintinėmis naujai priimtiems darbuotojams ir pan.).

 

VI. IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

38. Už IS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą pagal kompetenciją atsako IS valdytojas ir IS naudotojai. IS naudotojas atsako tik už jam prieinamų IS duomenų tvarkymo teisėtumą ir duomenų saugą.

39. Tvarkyti IS duomenis gali tik IS naudotojai, susipažinę su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

40. Saugos įgaliotinis pasirašytinai supažindina IS naudotojus su Saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.

41. IS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie duomenų saugumo reikalavimų laikymąsi (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimamiems darbuotojams ir pan.).

42. IS naudotojai, pažeidę Saugos nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

43. Saugos įgaliotinis, siekdamas užtikrinti IS duomenų saugumą, teikia siūlymus už duomenų saugą atsakingam Informacinės sistemos skyriaus vedėjui dėl Saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

44. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus, atlikus duomenų pažeidimo rizikos veiksnių vertinimą.

 

VIII. BAIGIAMOSIOS NUOSTATOS

 

45. IS naudotojai raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, kurie reglamentuoja IS duomenų tvarkymą ir saugą.

46. Duomenys apie IS naudotojus ir jų atliktus veiksmus saugomi neterminuotai. Šiuos duomenis tvarko IS administratoriai, vadovaudamiesi įstatymais ir kitais teisės aktais.

47. ULPKC ir VSC privalo įgyvendinti Saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti IS duomenų saugą.

48. Saugos nuostatuose aprašytos ULPKC ir VSC funkcijos vykdomos ir teisės realizuojamos nepažeidžiant įstatymų ir kitų teisės aktų.

49. IS naudotojai, administratoriai, saugos įgaliotiniai ir kiti asmenys, pažeidę Saugos nuostatus arba kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

 

_________________