LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

Į S A K Y M A S

DĖL VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS MODERNIZAVIMO, VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2013 m. spalio 15 d. Nr. V-948

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 32 straipsnio 1 ir 2 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 (Žin., 2013, Nr. 23-1122), 32 ir 33 punktais, Lietuvos Respublikos sveikatos sistemos įstatymo 71 straipsnio pakeitimo įstatymu (Žin., 2011, Nr. 153-7196), Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo 6, 12, 15, 41, 43 straipsnių pakeitimo ir papildymo ir įstatymo papildymo 15¹ straipsniu įstatymu (Žin., 2011, Nr. 153-7194):

1. M o d e r n i z u o j u Visuomenės sveikatos saugos informacinę sistemą.

2. T v i r t i n u pridedamus:

2.1. Visuomenės sveikatos saugos informacinės sistemos nuostatus;

2.2. Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatus.

3. P a v e d u Vilniaus visuomenės sveikatos centro direktorei Rolandai Lingienei:

3.1. paskirti Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;

3.2. per 5 mėnesius nuo šio įsakymo įsigaliojimo parengti, teisės aktų nustatyta tvarka suderinti ir Sveikatos apsaugos ministerijai pateikti tvirtinti:

3.2.1. Visuomenės sveikatos saugos informacinės sistemos naudotojų administravimo taisyklių projektą;

3.2.2. Saugaus Visuomenės sveikatos saugos informacinės sistemos elektroninės informacijos tvarkymo taisyklių projektą;

3.2.3. Visuomenės sveikatos saugos informacinės sistemos veiklos tęstinumo valdymo plano projektą.

4. P r i p a ž į s t u netekusiais galios:

4.1. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. liepos 15 d. įsakymą Nr. V-54 „Dėl Visuomenės sveikatos saugos informacinės sistemos nuostatų ir Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2008, Nr. 83-3342);

4.2. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. lapkričio 6 d. įsakymą Nr. V-91 „Dėl Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. liepos 15 d. įsakymo Nr. V-54 „Dėl Visuomenės sveikatos saugos informacinės sistemos nuostatų ir Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2008, Nr. 133-5173);

4.3. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2009 m. rugsėjo 1 d. įsakymą Nr. V-60 „Dėl Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. liepos 15 d. įsakymo Nr. V-54 „Dėl Visuomenės sveikatos saugos informacinės sistemos nuostatų ir Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2009, Nr. 106-4457);

4.4. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2010 m. kovo 9 d. įsakymą Nr. V-15 „Dėl Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. liepos 15 d. įsakymo Nr. V-54 „Dėl Visuomenės sveikatos saugos informacinės sistemos nuostatų ir Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2010, Nr. 31-1483);

4.5. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2011 m. vasario 19 d. įsakymą Nr. V-17 „Dėl Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2008 m. liepos 15 d. įsakymo Nr. V-54 „Dėl Visuomenės sveikatos saugos informacinės sistemos nuostatų ir Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2011, Nr. 23-1139).

SVEIKATOS APSAUGOS MINISTRAS VYTENIS POVILAS ANDRIUKAITIS

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2013 m. rugsėjo 11 d.

raštu Nr. 1D-8139(52)

SUDERINTA

Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos

2013 m. rugpjūčio 30 d.

raštu Nr. S-1309

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2013 m. rugsėjo 3 d. raštu Nr. 2R-3310(3.33)

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2013 m. spalio 15 d. įsakymu Nr. V-948

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos saugos informacinės sistemos nuostatai (toliau – Nuostatai) nustato Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) steigimo pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūrą, reglamentuoja duomenų teikimo ir naudojimo tvarką, duomenų saugą, finansavimą, modernizavimą ir likvidavimą.

2. Šiuose Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos visuomenės sveikatos priežiūros įstatyme (Žin., 2002, Nr. 56-2225), Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarime Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (Žin., 2013, Nr. 23-1122) ir kituose teisės aktuose vartojamas sąvokas.

3. VSSIS kuriama siekiant įgyvendinti Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo (Žin., 2002, Nr. 56-2225, 2011, Nr. 153-7194) 15 straipsnį, Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. liepos 24 d. nutarimu Nr. 926 (Žin., 1998, Nr. 67-1961; 2010, Nr. 123-6280), 9 punktą.

4. VSSIS veiklos sritį reglamentuojantys teisės aktai, kuriais vadovaujantis tvarkoma VSSIS:

4.1. Lietuvos Respublikos administracinių teisės pažeidimų kodeksas (Žin., 1985, Nr. 1-1);

4.2. Lietuvos Respublikos viešojo administravimo įstatymas (Žin., 1999, Nr. 60-1945; 2006, Nr. 77-2975);

4.3. Lietuvos Respublikos produktų saugos įstatymas (Žin., 1999, Nr. 52-1673; 2001, Nr. 64-2324);

4.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

4.5. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymas;

4.6. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

4.7. Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimas Nr. 875 „Dėl Asmenų prašymų nagrinėjimo ir jų aptarnavimo viešojo administravimo institucijose, įstaigose ir kituose viešojo administravimo subjektuose taisyklių patvirtinimo“ (Žin., 2007, Nr. 94-3779);

4.8. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimas Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

4.9. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (Žin., 2013, Nr. 86-4310);

4.10. Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. liepos 13 d. įsakymas Nr. V-632 „Dėl Leidimų-higienos pasų išdavimo taisyklių patvirtinimo“ (Žin., 2010, Nr. 86-4573);

4.11. Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. spalio 28 d. įsakymas Nr. V-946 „Dėl Tiesioginės valstybinės visuomenės sveikatos saugos kontrolės reglamento patvirtinimo“ (Žin., 2010, Nr. 132-6736);

4.12. Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. vasario 27 d. įsakymas Nr. V-144 „Dėl visuomenės sveikatos centrų apskrityse nuostatų patvirtinimo“ (Žin., 2012, Nr. 25-1190).

5. VSSIS tikslas – informacinių technologijų priemonėmis kaupti, sisteminti, apdoroti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultacijų teikimo procedūrų duomenis.

6. VSSIS uždaviniai:

6.1. kaupti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultacijų teikimo duomenis;

6.2. automatizuoti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultacijų teikimo duomenų apskaitą, kontrolę ir informacijos apdorojimą.

7. VSSIS pagrindinės funkcijos:

7.1. kaupti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultacijų teikimo procedūrų duomenis;

7.2. formuoti ataskaitas;

7.3. vykdyti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultacijų teikimo procedūrų duomenų mainus;

7.4. sisteminti, apdoroti ir atnaujinti visuomenės sveikatos saugos kontrolės, leidimų, pažymėjimų išdavimo, notifikavimo, konsultavimo duomenis.

8. Asmens duomenų tvarkymo VSSIS tikslas – grupuoti ir analizuoti tam tikrą veiklą vykdančių, leidimus, pažymėjimus turinčių asmenų duomenis.

II. VSSIS ORGANIZACINĖ STRUKTŪRA

9. VSSIS organizacinė struktūra:

9.1. VSSIS valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija (toliau – Ministerija);

9.2. VSSIS tvarkytojai:

9.2.1. Alytaus visuomenės sveikatos centras;

9.2.2. Klaipėdos visuomenės sveikatos centras;

9.2.3. Kauno visuomenės sveikatos centras;

9.2.4. Marijampolės visuomenės sveikatos centras;

9.2.5. Panevėžio visuomenės sveikatos centras;

9.2.6. Šiaulių visuomenės sveikatos centras;

9.2.7. Telšių visuomenės sveikatos centras;

9.2.8. Tauragės visuomenės sveikatos centras;

9.2.9. Utenos visuomenės sveikatos centras;

9.2.10. Vilniaus visuomenės sveikatos centras (pagrindinis tvarkytojas).

10. VSSIS valdytojas ir VSSIS tvarkytojai vykdo Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.

11. VSSIS pagrindinis tvarkytojas vykdo Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas tvarkytojo ir šias funkcijas:

11.1. rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

11.2. užtikrina, kad VSSIS veiktų nepertraukiamai;

11.3. skiria duomenų teikėjui terminą trūkumams pašalinti, jeigu nustato, kad pateikti duomenys yra netikslūs ar neatitinka teisės aktuose nustatytų reikalavimų;

11.4. numato ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką ir užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

11.5. nustato duomenų tvarkymo organizavimo principus ir tvarką.

12. VSSIS valdytojas yra asmens duomenų valdytojas, o VSSIS tvarkytojas yra asmens duomenų tvarkytojas.

13. VSSIS asmens duomenų valdytojas ir VSSIS asmens duomenų tvarkytojai vykdo Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Nuostatuose ir VSSIS duomenų saugos nuostatuose numatytas, su asmens duomenų tvarkymu susijusias funkcijas, turi šiuose teisės aktuose nustatytas teises ir pareigas.

14. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos VSSIS teikia Integruotos mokesčių informacinės sistemos ir Mokesčių apskaitos informacinės sistemos duomenis.

III. VSSIS INFORMACINĖ STRUKTŪRA

15. VSSIS duomenų bazės:

15.1. Leidimų-higienos pasų duomenų bazė, kurioje kaupiami paraiškų gauti leidimus-higienos pasus, ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymų, leidimų-higienos pasų, sprendimų patikslinti leidimą-higienos pasą, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys. Leidimų-higienos pasų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.1.1. paraiškos gauti leidimą-higienos pasą data;

15.1.2. leidimų-higienos pasų duomenys: registracijos numeris, išdavimo data, ūkinės komercinės veiklos rūšis, galiojimo laikotarpis (leidimų-higienos pasų, išduotų iki 2009 m. gruodžio 28 d.), juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas), išdavimo teisinis pagrindas (priežastis);

15.1.3. ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos registracijos numeris, data;

15.1.4. sprendimų patikslinti leidimus-higienos pasus, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys: prašymo data, sprendimo registracijos numeris, data, teisinis pagrindas (priežastis);

15.2. Valstybinės visuomenės sveikatos saugos kontrolės duomenų bazė, kurioje kaupiami patikrinimo aktų, atliktų laboratorinių tyrimų, administracinių teisės pažeidimų protokolų, nutarimų administracinių teisės pažeidimų bylose, sprendimų dėl rinkos ribojimo priemonių taikymo, produktų saugos įstatymo pažeidimo protokolų duomenys. Valstybinės visuomenės sveikatos saugos kontrolės duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.2.1. patikrinimo aktų duomenys: patikrinimo akto data, registracijos numeris, kontrolės rūšis, veiklos rūšis, veiklos vykdymo adresas, patikrinimo trukmė, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas), verslo liudijimo, jam esant, numeris ir galiojimo laikas, nustatyti visuomenės sveikatos saugą reglamentuojančių teisės aktų pažeidimai, jų pobūdis, pažeidimų pašalinimo terminas, teisės aktai, kurių nuostatos pažeistos, ir pažeisti teisės akto punktai, taikytos poveikio priemonės;

15.2.2. atliktų laboratorinių tyrimų duomenys: laboratorinių tyrimų / matavimų pavadinimas, vertintas rodiklis, tyrimo rezultatas;

15.2.3. administracinių teisės pažeidimų protokolų duomenys: registracijos numeris, data, asmens, kuriam surašytas protokolas, vardas, pavardė, asmens kodas, Administracinių teisės pažeidimų kodekso straipsnis (kuriame numatytus administracinio teisės pažeidimo sudėties požymius atitinka veika), protokolą surašiusio asmens vardas, pavardė; administracinio nurodymo sumokėti pusę minimalios baudos (protokolas su administraciniu nurodymu) duomenys: protokolo įteikimo data, baudos dydis, nurodymo įvykdymas;

15.2.4. nutarimų administracinių teisės pažeidimų bylose duomenys: registracijos numeris, data, asmens, kuriam surašytas nutarimas, vardas, pavardė, asmens kodas, kontaktinis adresas, skirtos nuobaudos rūšis, dydis;

15.2.5. sprendimų dėl rinkos ribojimo priemonių taikymo duomenys: sprendimo registracijos numeris, data, rinkos ribojimo priemonės pavadinimas; sprendimo leisti teikti paslaugą registracijos numeris, data;

15.2.6. Produktų saugos įstatymo pažeidimo protokolų duomenys: Produktų saugos įstatymo pažeidimo protokolo numeris, data;

15.3. Skundų duomenų bazė, kurioje kaupiami duomenys apie visuomenės sveikatos centrų gautus skundus, pranešimus (toliau – skundai). Skundų duomenų bazėje tvarkomi šie duomenys:

15.3.1. skundo registracijos numeris, data; gautas tiesiogiai ar persiųstas kitos institucijos, skundą persiuntusios institucijos pavadinimas, dokumento, kuriuo skundas persiųstas, registracijos numeris;

15.3.2. asmens, pateikusio skundą (toliau – pareiškėjas), duomenys: vardas, pavardė, adresas (jeigu kreipiasi fizinis asmuo) arba pavadinimas, buveinės adresas (jeigu kreipiasi juridinis asmuo) ir duomenys ryšiui palaikyti (pareiškėjo nurodytas kontaktinis adresas, elektroninio pašto adresas, telefono ryšio numeris); pareiškėjų skaičius;

15.3.3. atsakymo į pareiškėjo skundą duomenys: registracijos numeris, data, atsakymą parengusio asmens vardas, pavardė; teisės akto, kurio nuostatos buvo pažeistos, pavadinimas;

15.4. Konsultacijų duomenų bazė, kurioje kaupiami duomenys apie visuomenės sveikatos centrų teiktas viešąsias konsultacijas ūkio subjektams. Konsultacijų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.4.1. konsultacijos suteikimo data, konsultacijos suteikimo būdas, pagrindas, konsultaciją suteikusio asmens vardas, pavardė, konsultuojanti įstaiga, klausimas, į kurį atsakyta, konsultacijos tekstas, ūkio subjekto rūšis; konsultacijos tema; teisės aktas, dėl kurio konsultuojama;

15.4.2. jei prašymas suteikti konsultaciją gautas raštu, gauto rašto data ir registracijos numeris, prašančio konsultacijos ūkio subjekto pavadinimas, adresas, fizinio asmens vardas, pavardė, adresas;

15.4.3. jei prašymas suteikti konsultaciją gautas el. paštu, besikreipusiojo vardas, pavardė (jeigu kreipėsi fizinis asmuo) arba pavadinimas (jeigu kreipiasi juridinis asmuo), el. pašto adresas;

15.4.4. jei konsultacija suteikta viešai, visuomenės informavimo priemonės, kurioje paskelbta konsultacija, pavadinimas;

15.4.5. jei konsultacijos informacija įrašyta patikrinimo akte, patikrinimo akto data ir numeris;

15.5. Notifikuotų maisto papildų duomenų bazė, kurioje kaupiami duomenys apie notifikuotus maisto papildus. Notifikuotų maisto papildų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.5.1. notifikuoto maisto papildo (gaminio) numeris, prašymo numeris ir data;

15.5.2. notifikuoto maisto papildo pavadinimas, forma, gamintojas bei kilmės šalis;

15.5.3. asmens, teikiančio maisto papildą į Lietuvos rinką, duomenys (fizinio asmens vardas, pavardė, adresas, kuriuo galima siųsti korespondenciją; juridinio asmens ar kitos organizacijos, jo filialo pavadinimas, kodas, buveinės adresas) bei kontaktiniai duomenys (telefono ryšio numeris, elektroninio pašto adresas);

15.5.4. notifikuoto maisto papildo etiketės pavyzdys lietuvių kalba;

15.5.5. informacija apie parašytą raštą Valstybinei maisto ir veterinarijos tarnybai dėl notifikuoto maisto papildo etiketės pavyzdyje pateiktos informacijos neatitikties teisės aktų reikalavimams (siunčiamo rašto numeris, data, persiuntimo priežastys);

15.6. Notifikuotų kosmetikos gaminių duomenų bazė, kurioje kaupiami duomenys apie notifikuotus kosmetikos gaminius. Kosmetikos gaminių duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.6.1. notifikuoto kosmetikos gaminio numeris, prašymo notifikuoti numeris ir data;

15.6.2. notifikuoto kosmetikos gaminio pavadinimas lietuvių ir originalo kalbomis;

15.6.3. asmens, pateikiančio kosmetikos gaminį į Lietuvos Respublikos rinką, pavadinimas (jei juridinis asmuo) ar vardas ir pavardė (jei fizinis asmuo), adresas;

15.6.4. kosmetikos gaminio gamybos vieta (jei gaminys pagamintas Lietuvos Respublikoje);

15.6.5. kosmetikos gaminio pirmojo importo į Europos Bendrijos rinką adresas;

15.7. Sanitarinių apsaugos zonų duomenų bazė, kurioje kaupiami duomenys apie ūkio subjektą, kuriam nustatyta sanitarinė apsaugos zona (juridinio asmens pavadinimas, kodas, buveinės adresas), veiklos rūšis, veiklos vykdymo vieta, sanitarinės apsaugos zonos nustatymo teritorijų planavimo dokumentuose būdas, sanitarinės apsaugos zonos ribų dydis, sanitarinės apsaugos zonos ribų dydžio pagrindas, specialiosios žemės naudojimo sąlygos;

15.8. VSSIS naudotojų kontaktinių duomenų bei duomenų tvarkymo problemų duomenų bazė, kurioje kaupiami VSSIS naudotojų kontaktiniai duomenys (vardas, pavardė, el. pašto adresas, darbovietės pavadinimas, pareigos).

16. Iš Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos Integruotos mokesčių informacinės sistemos VSSIS gaunami mokesčių mokėtojų duomenys apie išduotus verslo liudijimus (asmens vardas, pavardė, asmens kodas, verslo liudijimo numeris, veiklos, kuriai išduotas verslo liudijimas, pavadinimas).

17. Iš Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos Mokesčių apskaitos informacinės sistemos VSSIS gaunami mokesčių mokėtojų duomenys apie asmenims išduotas nuolatinio Lietuvos gyventojo individualios veiklos vykdymo pažymas (asmens vardas, pavardė, asmens kodas, Lietuvos gyventojo individualios veiklos vykdymo pažymos numeris, veiklos, kuriai išduota pažyma, pavadinimas), valstybės rinkliavos sumokėjimą, skirtos baudos sumokėjimą (mokėjimo data, mokėtojo pavadinimas, mokėtojo kodas, įmokos kodas, savivaldybės kodas, įmokos suma, mokėjimo paskirtis).

IV. VSSIS FUNKCINĖ STRUKTŪRA

18. VSSIS funkcinę struktūrą sudaro tokios komponentės:

18.1. informacijos įvedimo į sistemą komponentė, kurios pagrindinės funkcijos: įvesti duomenis, koordinuoti duomenų įvedimą;

18.2. informacijos apdorojimo komponentė, kurios pagrindinės funkcijos: pertvarkyti, apdoroti įvedamus ir teikiamus duomenis, formuoti ataskaitas;

18.3. informacijos kontrolės komponentė, kurios pagrindinės funkcijos: vykdyti neteisingų ir netikslių duomenų įvedimo kontrolę, tikrinti į sistemos duomenų bazę teikiamų duomenų atitiktį su kitomis valstybės informacinėmis sistemomis;

18.4. administravimo komponentė, kurios pagrindinės funkcijos: valdyti VSSIS procedūras bei procesus, užtikrinti sąsajas su kitomis informacinėmis sistemomis, archyvuoti duomenis;

18.5. sistemos naudotojų administravimo komponentė, kurios pagrindinės funkcijos: registruoti sistemos naudotojus, jų veiksmus, nustatyti naudotojų prieigos prie sistemos teises, įgyvendinant informacijos apsaugos funkcijas.

V. VSSIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

19. VSSIS duomenys yra vieši ir teikiami Lietuvos Respublikos įstatymuose, Europos Sąjungos teisės aktuose ir (arba) kituose teisės aktuose nustatyta tvarka institucijoms ir kitiems juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos įstatymuose ar Europos Sąjungos teisės aktuose nenustatyta kitaip.

20. Fizinių asmenų asmens duomenys teikiami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

21. VSSIS duomenys teikiami neatlygintinai, jeigu Lietuvos Respublikos įstatymai ar Europos Sąjungos teisės aktai nenustato kitaip.

22. VSSIS duomenys teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atvejais) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atvejais). Kai informacija teikiama pagal duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomos informacijos teikimo ir gavimo teisinis pagrindas, jos naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai informacija duomenų gavėjui teikiama pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teiktinos informacijos apimtis, prašomos informacijos teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, informacijos teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

23. Iš institucijos gauti duomenys negali būti keičiami ir juos naudojant privaloma nurodyti jų šaltinį. Tretiesiems asmenims, turintiems teisę gauti duomenis, iš institucijos gauti duomenys gali būti teikiami tik tokiu tikslu, tokia apimtimi ir tokiu būdu, kokie buvo numatyti juos gaunant, ir tik tada, jeigu dėl tokio duomenų teikimo tretiesiems asmenims buvo nurodyta pateiktame prašyme arba sutartyje.

24. VSSIS duomenys duomenų gavėjui teikiami tokio turinio ir tokios formos, kokie institucijoje jau naudojami ir kurių nereikia papildomai apdoroti.

25. Tais atvejais, kai paprastai teikiamos informacijos turinys ar forma neatitinka prašančios institucijos poreikių arba prašanti institucija neturi techninių galimybių reikiamai apdoroti gaunamų duomenų, taip pat kai paprastai teikiamos informacijos turinys ir forma neatitinka kitų juridinių ar fizinių asmenų, kurie dažniausiai kreipiasi dėl tokios informacijos ir siekia ją pakartotinai panaudoti, poreikių, informaciją teikianti institucija sukuria reikiamas papildomas priemones.

26. Atsižvelgiant į pateiktą prašymą, duomenų gavėjui sudaroma galimybė VSSIS informaciją peržiūrėti leidžiamosios kreipties būdu internetu ar kitais elektroninių ryšių tinklais, duomenys perduodami automatiniu būdu elektroninių ryšių tinklais, teikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis.

27. Visi VSSIS duomenų teikėjai ir fiziniai asmenys, kurių asmens duomenys tvarkomi VSSIS, turi teisę reikalauti, kad būtų ištaisyti neteisingi, neišsamūs, netikslūs duomenys. Gavęs šį reikalavimą, VSSIS tvarkytojas privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai to reikalavusį asmenį.

VI. VSSIS DUOMENŲ SAUGA

28. VSSIS duomenų saugą nustato VSSIS duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka.

29. Už VSSIS duomenų saugą pagal kompetenciją atsako VSSIS valdytojas ir VSSIS tvarkytojai.

30. VSSIS naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Šie asmenys privalo pasirašyti pasižadėjimus, kad saugos asmens duomenis ir nepažeis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo. Pareiga saugoti asmens duomenų paslaptį galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.

31. VSSIS duomenys saugomi tol, kol praranda savo aktualumą, t. y. nebėra reikalingi tikslui, kuriam jie buvo surinkti, pasiekti.

32. Asmens duomenys aktyviojoje VSSIS duomenų bazėje saugomi 5 metus nuo duomenų pateikimo VSSIS datos, bet ne ilgiau negu to reikalauja asmens duomenų tvarkymo tikslai. Pasibaigus aukščiau numatytam terminui, VSSIS asmens duomenys perkeliami į pasyviąją duomenų bazę (archyvą), kurioje saugomi 3 metus. Asmens duomenys, kai jie nebereikalingi jų tvarkymo tikslams ar pasibaigia jų saugojimo terminas, yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.

33. Asmens duomenų saugumas užtikrinamas vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298).

VII. VSSIS FINANSAVIMAS

34. VSSIS kūrimas finansuojamas Lietuvos Respublikos valstybės biudžeto ir / ar Europos Sąjungos struktūrinių fondų lėšomis.

35. VSSIS eksploatacija, palaikymas ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių lėšomis.

VIII. VSSIS MODERNIZAVIMAS IR LIKVIDAVIMAS

36. VSSIS modernizuojama arba likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.

37. Sprendimą dėl VSSIS modernizavimo, techninių ir programinių priemonių kūrimo, plėtros priemonių įgyvendinimo ar likvidavimo priima Ministerija.

38. Likviduojamos VSSIS duomenys perduodami kitai informacinei sistemai arba sunaikinami, perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

IX. BAIGIAMOSIOS NUOSTATOS

39. VSSIS duomenys prieinami tik turintiems VSSIS tvarkytojo suteiktas prieigos teises.

40. VSSIS prieigos teisių lygmuo, nustatantis naudojimosi duomenimis apimtį, VSSIS naudotojui nustatomas atsižvelgiant į jo funkcijas.

41. Ministerijai suteikiama prieiga prie visų visuomenės sveikatos centrų apskrityse VSSIS tvarkomų duomenų (duomenų bazių). Visuomenės sveikatos centrams apskrityse suteikiama prieiga prie savo (visuomenės sveikatos centro apskrityje) VSSIS tvarkomų duomenų (duomenų bazių).

42. Duomenų subjektų teisės ir jų įgyvendinimo tvarka nustatyta Asmens duomenų teisinės apsaugos įstatyme ir kituose Lietuvos Respublikos teisės aktuose.

_________________

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2013 m. spalio 15 d. įsakymu Nr. V-948

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) duomenis, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.

2. Saugos nuostatai apibrėžia VSSIS saugos politiką, kuri įgyvendinama VSSIS veiklos tęstinumo valdymo planu, Saugaus elektroninės informacijos tvarkymo taisyklėmis ir VSSIS naudotojų administravimo taisyklėmis (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai kartu vadinami saugos dokumentais.

3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarime Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (Žin., 2013, Nr. 86-4310), Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 (Žin., 2013, Nr. 23-1122), kituose teisės aktuose bei Lietuvos Respublikos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.

4. VSSIS duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. VSSIS duomenų konfidencialumo užtikrinimas;

4.2. VSSIS reikalaujamo prieinamumo lygio užtikrinimas;

4.3. prieigos prie VSSIS kontrolė;

4.4. VSSIS naudotojų mokymas.

5. VSSIS valdytoja yra Lietuvos Respublikos sveikatos apsaugos ministerija (adresas: Vilniaus g. 33, LT-01506 Vilnius).

6. VSSIS tvarkytojai:

6.1. Alytaus visuomenės sveikatos centras (adresas: Savanorių g. 4, Alytaus);

6.2. Klaipėdos visuomenės sveikatos centras (adresas: Liepų g. 17, Klaipėda);

6.3. Kauno visuomenės sveikatos centras (adresas: K. Petrausko g. 24, Kaunas);

6.4. Marijampolės visuomenės sveikatos centras (adresas: A. Valaičio g. 2, Marijampolė);

6.5. Panevėžio visuomenės sveikatos centras (adresas: Respublikos g. 13, Panevėžio);

6.6. Šiaulių visuomenės sveikatos centras (adresas: Vilniaus g. 229, Šiauliai);

6.7. Tauragės visuomenės sveikatos centras (adresas: Prezidento g. 38, Tauragė);

6.8. Telšių visuomenės sveikatos centras (adresas: J. Biliūno g. 3, Telšiai);

6.9. Utenos visuomenės sveikatos centras (adresas: S. Dariaus ir S. Girėno g. 12, Utena);

6.10. Vilniaus visuomenės sveikatos centras (pagrindinis tvarkytojas) (adresas: Kalvarijų g. 153, Vilnius).

7. VSSIS valdytojo vadovas vykdo šias funkcijas:

7.1. organizuoja teisės aktų, susijusių su VSSIS duomenų sauga, rengimą ir įgyvendinimą;

7.2. atlieka VSSIS duomenų saugos reikalavimų laikymosi priežiūrą;

7.3. užtikrina tinkamą šiuose Saugos nuostatuose nustatytų funkcijų vykdymą;

7.4. priima sprendimus dėl VSSIS techninių ir programinių priemonių, būtinų VSSIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.5. pagal kompetenciją atsako už VSSIS duomenų saugą;

7.6. tvirtina VSSIS saugos įgaliotinio (toliau – Saugos įgaliotinis) parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą;

7.7. kitas VSSIS nuostatais, Saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

8. VSSIS tvarkytojo vadovas vykdo šias funkcijas:

8.1. užtikrina VSSIS duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus VSSIS valdytojui, kaip tobulinti VSSIS duomenų saugą;

8.2. užtikrina, kad VSSIS duomenys būtų perduodami teisėtai, saugiai ir kokybiškai;

8.3. užtikrina, kad paslaugų gavėjams būtų perduodami tik tie duomenys, kuriuos jie turi teisę gauti;

8.4. užtikrina VSSIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

8.5. pagal kompetenciją atsako už VSSIS duomenų saugą;

8.6. atsako už tinkamą šiuose Saugos nuostatuose nustatytų funkcijų vykdymą;

8.7. kitas VSSIS valdytojo vadovo pavestas bei VSSIS nuostatais, Saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

9. VSSIS pagrindinio tvarkytojo vadovas vykdo šias funkcijas:

9.1. vykdo Saugos nuostatų 8 punkte nurodytas funkcijas;

9.2. atlikus rizikos įvertinimą ar informacinių technologijų saugos vertinimą, taip pat gavus Saugos įgaliotinio pasiūlymų, inicijuoja saugos dokumentų pakeitimus;

9.3. teikia VSSIS naudotojams metodinę ir informacinę pagalbą VSSIS saugos klausimais, apibendrina duomenų tvarkymo ar kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas;

9.4. VSSIS valdytojui pavedus, skiria Saugos įgaliotinį, VSSIS duomenų valdymo įgaliotinį ir VSSIS administratorių.

10. Saugos įgaliotinis vykdo šias funkcijas:

10.1. rengia VSSIS duomenų saugos dokumentų projektus;

10.2. registruoja VSSIS duomenų saugos incidentus ir koordinuoja VSSIS duomenų saugos incidentų tyrimą;

10.3. teikia VSSIS administratoriui su VSSIS duomenų saugos užtikrinimu susijusius privalomus vykdyti nurodymus ir pavedimus;

10.4. rengia rizikos vertinimo planą, kasmet organizuoja VSSIS rizikos vertinimą, aprašo VSSIS rizikos vertinimo rezultatus VSSIS rizikos vertinimo ataskaitoje, kurią teikia VSSIS valdytojui;

10.5. prireikus organizuoja neeilinį VSSIS rizikos vertinimą;

10.6. vertina VSSIS informacinių technologijų saugą, teikia vertinimo ataskaitas VSSIS valdytojui;

10.7. periodiškai organizuoja VSSIS naudotojų mokymus informacijos saugos klausimais;

10.8. teikia VSSIS pagrindinio tvarkytojo vadovui pasiūlymus dėl VSSIS administratoriaus paskyrimo;

10.9. teikia VSSIS valdytojo vadovui pasiūlymus dėl saugos dokumentų keitimo, įstaigos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

10.10. kitas VSSIS valdytojo vadovo ir VSSIS tvarkytojo vadovo pavestas ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

11. VSSIS administratorius vykdo šias funkcijas:

11.1. vertina VSSIS naudotojams suteiktas teises ir priskirtas funkcijas;

11.2. rengia ir tikrina VSSIS sudarančių komponentų sąranką;

11.3. informuoja Saugos įgaliotinį apie saugos politikos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

11.4. vykdo Saugos įgaliotinio nurodymus ir pavedimus, susijusius su VSSIS duomenų saugos užtikrinimu;

11.5. nustato VSSIS pažeidžiamas vietas ir informuoja apie jas Saugos įgaliotinį;

11.6. prižiūri VSSIS techninę ir programinę įrangą;

11.7. daro atsargines VSSIS duomenų kopijas;

11.8. vykdo kitas VSSIS nuostatais, Saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

12. Teisės aktai, kuriais vadovaujamasi tvarkant VSSIS, joje tvarkomus duomenis ir užtikrinant jų saugumą:

12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

12.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

12.3. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimas Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

12.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

12.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

12.6. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298);

12.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);

12.8. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

12.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą valstybės institucijose.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių 4.3 ir 5.3 punktais, VSSIS tvarkomų asmens duomenų informacinė sistema yra priskiriama trečiosios kategorijos informacinėms sistemoms.

14. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti VSSIS saugomus asmens duomenis VSSIS priskiriamas antrasis saugumo lygis.

15. VSSIS informacinės saugos rizika nustatoma periodinio rizikos vertinimo metu. VSSIS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką.

16. VSSIS rizikos vertinimą organizuoja saugos įgaliotinis.

17. VSSIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus. Prireikus, Saugos įgaliotinis gali organizuoti neeilinį VSSIS rizikos vertinimą.

18. VSSIS vertinimas atliekamas vadovaujantis:

18.1. Lietuvos Respublikos duomenų saugą reglamentuojančiais teisės aktų reikalavimais;

18.2. Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo technika“ grupės standartuose pateikiamomis rekomendacijomis.

19. VSSIS rizikos vertinimo metu:

19.1. įvertinama VSSIS duomenų saugos atitiktis Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimams;

19.2. inventorizuojama VSSIS techninė ir programinė įranga;

19.3. patikrinamos visose tarnybinėse stotyse įdiegtos programos ir jų sąranka.

20. VSSIS rizikos įvertinimo informacija pateikiama ataskaitoje. VSSIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos VSSIS informacijos saugai. Svarbiausi rizikos veiksniai:

20.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VSSIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

20.3. nenugalima jėga (force majeure).

21. Prireikus, VSSIS valdytojo vadovas, atsižvelgdamas į VSSIS rizikos įvertinimo ataskaitą, tvirtina Saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti, nurodomi atsakingi vykdytojai, priemonių įgyvendinimo terminai.

22. Siekdamas užtikrinti Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų nuostatų įgyvendinimo kontrolę, Saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja VSSIS informacinių technologijų saugos vertinimą, kurio metu:

22.1. įvertinama VSSIS duomenų saugos atitiktis Saugos nuostatams ir kitiems saugos politiką įgyvendinantiems teisės aktams;

22.2. inventorizuojama VSSIS techninė ir programinė įranga;

22.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų VSSIS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

22.4. patikrinamos VSSIS naudotojams suteiktos teisės ir jų vykdomos funkcijos;

22.5. įvertinamas pasirengimas užtikrinti VSSIS veiklos tęstinumą įvykus saugos incidentui.

23. Atlikus VSSIS informacinių technologijų saugos vertinimą, Saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VSSIS valdytojo vadovas.

24. VSSIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius VSSIS duomenų vientisumui, konfidencialumui ir prieinamumui.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

25. Prieigos prie VSSIS užtikrinimo metodai ir priemonės:

25.1. prieigos prie VSSIS teises suteikia VSSIS administratorius. Pasibaigus valstybės tarnybos (darbo) santykiams, pasikeitus VSSIS naudotojo pareigoms ar atliekamoms funkcijoms, prieiga prie VSSIS turi būti nedelsiant panaikinama. VSSIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos teisės prie VSSIS turi būti panaikintos ar pakeistos. Už periodinę VSSIS naudotojų teisių peržiūrą atsako Saugos įgaliotinis;

25.2. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam VSSIS naudotojui;

25.3. prieš suteikiant prieigą, VSSIS naudotojas pasirašytinai supažindinamas su informacijos saugos dokumentais;

25.4. kiekvienas VSSIS naudotojas sistemoje turi būti atpažįstamas pagal jam suteiktą kodą ir atitinkamą slaptažodį;

25.5. VSSIS naudotojų prieigos valdymas apibrėžiamas VSSIS naudotojų administravimo taisyklėse.

26. VSSIS tarnybinėse stotyse turi būti naudojama programinė įranga, skirta kovoti su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas 5 darbo dienas.

27. Pagrindinės programinės įrangos naudojimo nuostatos:

27.1. VSSIS funkcionuoti būtina programinė tarnybinių stočių ir VSSIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos kontrolę atsako VSSIS administratorius;

27.2. VSSIS veikimui būtina serverių srities ir VSSIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimo kontrolę atsako VSSIS administratorius;

27.3. VSSIS naudotojų kompiuteriai turi būti apsaugoti ugniasienėmis;

27.4. VSSIS naudotojų kompiuteriuose turi būti įdiegta antivirusinė programinė įranga, apsauganti nuo kenksmingų programų. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

28. VSSIS tarnybinėse stotyse turi veikti tik su VSSIS duomenų tvarkymu, VSSIS naudotojų ir pačios įrangos administravimu susijusi programinė įranga.

29. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

29.1. VSSIS elektroninės informacijos perdavimo tinklas užkarda turi būti atskirtas nuo viešųjų telekomunikacijos tinklų;

29.2. konfigūruojant VSSIS elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir užkardų prievadai;

29.3. VSSIS saugos įgaliotinis organizuoja VSSIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją;

29.4. VSSIS serverių srities tinklo užkardų konfigūracijos aprašymą (užkardos taisykles) saugo Saugos įgaliotinis. Užkardų konfigūracija tikrinama ne rečiau kaip kartą per metus. Patikrinimą inicijuoja Saugos įgaliotinis.

30. Kompiuterių (įskaitant nešiojamuosius) naudojimo reikalavimai:

30.1. stacionarūs ir nešiojamieji VSSIS naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo VSSIS elektroninė informacija;

30.2. visiems VSSIS naudotojų kompiuteriams turi būti naudojamos papildomos saugos priemonės, kuriomis patvirtinama kompiuterio naudotojo tapatybė ir šifruojami riboto naudojimo duomenys.

31. Metodai, kuriais gali būti užtikrinamas saugus VSSIS elektroninės informacijos teikimas ir (ar) gavimas:

31.1. VSSIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal VSSIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

31.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas Saugos įgaliotinis.

32. Pagrindiniai atsarginių VSSIS duomenų kopijų darymo ir atkūrimo reikalavimai:

32.1. VSSIS veiklos tęstinumui ir funkcionalumui užtikrinti elektroninė informacija turi būti kopijuojama kas 12 valandų ir saugoma taip, kad incidento (avarijos) atveju duomenis iš atsarginių kopijų galima būtų atkurti per 24 valandas;

32.2. VSSIS duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka, kopijuojamų duomenų imtis, atsarginių duomenų kopijų darymo būdai ir dažnumas bei asmens, atsakingo už atsarginių duomenų kopijų darymą, duomenų atkūrimą ir atsarginių duomenų apsaugą, funkcijos, teisės ir pareigos nustatyti Saugaus VSSIS elektroninės informacijos tvarkymo taisyklėse;

32.3. programinėmis priemonėmis registruojamos visos VSSIS esančios informacijos užklausos, visi pakeitimai, juos atlikusio VSSIS naudotojo tapatybė ir pakeitimų atlikimo laikas;

32.4. už atsarginių VSSIS duomenų kopijų darymo ir atkūrimo ir už VSSIS taikomosios programinės įrangos (angl. application) kopijų darymo organizavimą ir priežiūrą atsako Saugos įgaliotinis.

IV. REIKALAVIMAI PERSONALUI

33. VSSIS saugos įgaliotinis turi išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais saugų duomenų tvarkymą, sugebėti prižiūrėti VSSIS saugos politikos įgyvendinimą.

34. VSSIS administratorius privalo išmanyti VSSIS informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais saugos dokumentais.

35. VSSIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais saugos dokumentais.

36. VSSIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių VSSIS duomenų saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti VSSIS administratoriui.

37. VSSIS administratorius apie Saugos nuostatų 36 punkte nurodytus pažeidimus informuoja VSSIS saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią VSSIS saugą (jos konfidencialumą, vientisumą ar prieinamumą), VSSIS saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

38. VSSIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet.

V. VSSIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

39. Visi VSSIS naudotojai turi būti pasirašytinai supažindinti su VSSIS saugos dokumentais, savo pareigomis ir atsakomybe, susijusia su VSSIS informacijos sauga, bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą.

40. Už VSSIS naudotojų supažindinimą su saugos dokumentais, teisės aktais, nurodytais Saugos nuostatų 12 punkte, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybę už saugos dokumentų nuostatų pažeidimus, informacijos saugos mokymą ir žinių atnaujinimą atsako Saugos įgaliotinis.

41. Tvarkyti VSSIS duomenis gali tik įgalioti VSSIS naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Saugos įgaliotinis raštu informuoja VSSIS naudotojus apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios.

VI. BAIGIAMOSIOS NUOSTATOS

42. Saugos įgaliotinis organizuoja saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, pasikeitus Saugos nuostatų 12 punkte nurodytiems teisės aktams.

43. Saugos įgaliotinis, siekdamas užtikrinti VSSIS ir joje tvarkomų duomenų saugumą, teikia siūlymus VSSIS valdytojui dėl Saugos nuostatų keitimo ar kitų saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo.

_________________