IS FOXUS Duomenų saugos nuostatai

PATVIRTINTA
UAB Ąžuolo šeimos klinika
2019 m. rugsėjo 10 d.
direktoriaus įsakymu Nr. 7

INFORMACINĖS SISTEMOS FOXUS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

  1. UAB „SOFTDENT“ informacinės sistemos Foxus (toliau – „IS Foxus“) duomenų saugos nuostatai (toliau – „Saugos nuostatai“) nustato principus ir taisykles, užtikrinančias saugų IS Foxus elektroninės informacijos tvarkymą.
  2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti IS Foxus esančią elektroninę informaciją, užtikrinti jos konfidencialumą, tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionalumą. IS Foxus duomenų saugai užtikrinti kompleksiškai naudojamos organizacinės, fizinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo į saugos incidentus, atsakomybės, elektroninės informacijos saugos supratimo bei saugos priemonių projektavimo ir diegimo principus.
  3. Pagrindinės Saugos nuostatose vartojamos sąvokos:
    1. Bendrovė – UAB „SOFTDENT“, pagal Lietuvos Respublikos įstatymus įsteigta bendrovė, kurios juridinio asmens kodas 110799112, registruota buveinė Drobės g. 62, LT-45181 Kaunas, Lietuvos Respublika, duomenys apie kurią kaupiami ir saugomi Juridinių asmenų registre. Bendrovė yra IS Foxus valdytojas.
    2. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
    3. Saugos įgaliotinis – Bendrovės direktoriaus paskirtas darbuotojas, atsakantis už IS Foxus elektroninės informacijos saugos priemonių bei saugą reglamentuojančių reikalavimų įgyvendinimą.
    4. Administratoriai – Bendrovės direktoriaus paskirti darbuotojai, dirbantys Bendrovėje pagal darbo sutartis ar kitais pagrindais, bei atliekantys IS Foxus kasdienę priežiūrą.
    5. Naudotojai – UAB „Ąžuolo šeimos klinika“, pagal Lietuvos Respublikos įstatymus įsteigta bendrovė, kurios kodas 304078120, registruota buveinė Romainių g. 47B, Kaunas, Lietuvos Respublika, duomenys apie kurią kaupiami ir saugomi Juridinių asmenų registre. Bendrovė yra duomenų valdytojas. Sveikatos priežiūros įstaiga, sudariusios sutartį su Bendrove dėl asmens duomenų tvarkymo IS Foxus, darbuotojai (sveikatos priežiūros specialistai, įgalioti administracijos darbuotojai), turintis teisę naudotis IS Foxus ištekliais jų numatytoms funkcijoms atlikti.
    6. Vartotojai – fiziniai asmenys, kurie registruojasi E-pacientas.lt portale ir kurių asmens duomenis tvarko Bendrovė.
    7. Sveikatos priežiūros įstaigos – asmens sveikatos priežiūros paslaugas teikiantys juridiniai asmenys, sudarę su Bendrove sutartis dėl duomenų tvarkymo IS Foxus.
    8. Duomenų teikėjai/gavėjai – Naudotojai bei valstybės institucijos, kuriomis Sveikatos priežiūros įstaigos teikia bei gauna duomenis per IS Foxus teisės aktų nustatyta tvarka.
  4. Saugos nuostatai privalomi visiems IS Foxus Naudotojams, Vartotojams, Administratoriams, Saugos įgaliotiniui bei kitiems asmenims, kurie teisėtais pagrindais naudojasi IS Foxus.
  5. Pagrindinės IS Foxus elektroninės informacijos saugumo užtikrinimo kryptys:
    1. organizacinių saugaus darbo su duomenimis priemonių įgyvendinimas ir kontrolė;
    2. fizinė elektroninės informacijos apdorojimo priemonių apsauga;
    3. techninės ir programinės elektroninės informacijos apsaugos priemonės.
  6. Bendrovės vadovo funkcijos ir atsakomybė:
    1. vadovauja ir organizuoja IS Foxus veiklą, skirdamas Saugos įgaliotinį, Administratorius bei kitus atsakingus darbuotojus;
    2. kontroliuoja, kad IS Foxus būtų tvarkomas vadovaujantis teisės aktų reikalavimais bei šiais Saugos nuostatai.
  7. Saugos įgaliotinio funkcijos:
    1. teikia Bendrovės vadovui pasiūlymus dėl Administratorių paskyrimo;
    2. teikia Administratoriams bei Naudotojams nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
    3. teikia pasiūlymus dėl Saugos nuostatų pakeitimo ar kitų saugos dokumentų priėmimo;
    4. koordinuoja Elektroninės informacijos saugos incidentų, įvykusių IS Foxus, tyrimą bei esant reikalui informuoja kompetentingas institucijas dėl galimai neteisėtų veikų, susijusių su informacijos saugumo incidentais;
    5. organizuoja IS Foxus sistemos rizikos įvertinimą;
    6. kitas funkcijas, kurios reikalingos užtikrinti IS Foxus elektroninės informacijos saugą.
  8. Administratoriaus funkcijos ir atsakomybė:
    1. atsako už IS Foxus tinkamą funkcionavimą;
    2. įvertina Naudotojų pasirengimą dirbti su informacine sistema ir suteikia Naudotojams teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;
    3. prižiūri Vartotojų tinkamą prisiregistravimą prie IS Foxus posistemės E.pacientas.lt.
    4. teikia pasiūlymus IS Foxus palaikymo, priežiūros ir duomenų saugumo klausimais;
    5. atlieka IS Foxus sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;
    6. registruoja ir informuoja Saugos įgaliotinį apie Elektroninės informacijos saugos incidentus ir teikia pasiūlymus.
    7. vykdo kitas Administratoriui prisikirtas funkcijas.

II. DUOMENŲ SAUGOS VALDYMAS

  1. IS Foxus duomenys nėra vieši ir prienami tik:
    1. Naudotojams – Sveikatos priežiūros įstaigos darbuotojams tik šios įstaigos IS Foxus tvarkomi duomenys. Naudotojui yra priskiriamos tik tos funkcijos, kurios priklauso naudotojui pagal darbo sritį.
    2. Vartotojams – IS Foxus posistemėje esantys jų asmens duomenys.
  2. IS Foxus duomenys teikiami Duomenų gavėjams pagal Sveikatos priežiūros įstaigų sudarytas duomenų teikimo sutartis.
  3. Saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja IS Foxus rizikos įvertinimą, atsižvelgdamas į LR vidaus reikalų ministerijos išleistą metodologinę priemonę „Rizikos analizės vadovas“. Prireikus Saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.
  4. IS Foxus rizikos įvertinimas išdėstomas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos IS Foxus elektroninės informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
    1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);
    2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
    3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kt.);
    4. nenugalima jėga (force majeure).
  5. Atsižvelgdama į rizikos įvertinimo ataskaitą, prireikus Bendrovės vadovas ar jo įgaliotas asmuo tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir (ar) kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
  6. Siekdamas užtikrinti Saugos nuostatuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
    1. įvertina Saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų bei realios duomenų saugos situacijos atitiktis;
    2. inventorizuoja IS Foxus techninę ir programinę įrangą (pasirinktinai);
    3. tikrina visose IS Foxus serveriuose (tarnybinėse stotyse), administratoriaus bei ne mažiau kaip 10 % Naudotojų (Sveikatos priežiūros įstaigų darbuotojų) kompiuterinėse darbo vietose įdiegtą programinę įrangą ir jos sąranką;
    4. peržiūri Administratoriams ir Naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
    5. įvertina pasirengimą užtikrinti IS Foxus veiklos tęstinumą įvykus saugos incidentui;
    6. analizuoja rizikos veiksnius, galimas jų pašalinimo arba neigiamo poveikio sumažinimo priemones ir jei reikalinga koreguoja rizikos įvertinimo ataskaitą.
  7. Atlikus informacinių technologijų saugos atitikties vertinimą, esant poreikiui rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Bendrovės vadovas ar jo įgaliotas asmuo.
  8. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad, patiriant kuo mažiau išlaidų būtų užtikrintas IS Foxus veiklos tęstinumas ir saugus Naudotojų darbas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

  1. IS Foxus Naudotojams tiesioginė prieiga prie duomenų suteikiama įgyvendinus jų autentifikavimo priemones:
    1. Naudotojai (Sveikatos priežiūros įstaigų darbuotojai) prie jiems skirtos IS Foxus prieigos jungiasi gali prisijungti tik iš savo darbo vietos (identifikuojama pagal IP adresą) su unikaliu vartotojo vardu ir slaptažodžiu, prisijungimui iš išorės naudojamas el. parašas;
    2. Naudotojo unikalus slaptažodis unikaliu slaptažodžiu susideda ne mažiau, kaip iš 8 simbolių (raidžių ir skaičių), kurie turi būti atnaujinami ne rečiau, kaip kas 60 (šešiasdešimt) kalendorinių dienų.
  2. Naudotojų prisijungimo teisių suteikimo procedūros:
    1. Suteikiant prisijungimo duomenis naujai prie IS Foxus prisijungiančiai Sveikatos priežiūros įstaigai, Sveikatos priežiūros įstaigos administracija atsiunčia sąrašą visų įstaigoje dirbančių asmenų, kuriems reikalingas prisijungimas prie sistemos, sąrašą su savo darbuotojų, kuriems reikalingas prisijungimas prie sistemos, duomenis: vardą, pavardę, gimimo datą, spaudo numerį ir seriją, darbo ir pacientų priėmimo laikų informaciją (reikalinga sudaryti darbo grafikams), kontaktinį telefoną. Administratorius sukuria Sveikatos priežiūros įstaigos nurodytiems darbuotojams prisijungimus ir darbo aplinkas IS Foxus. Bendrovės įgalioti asmenys nuvyksta į Sveikatos priežiūros įstaigą ir apmokymų darbo su IS Foxus sistemos metu asmeniškai kiekvienam Naudotojui įteikia individualius prisijungimo vardus ir slaptažodžius, atspausdintus ant popieriaus lapo.
    2. Suteikiant prisijungimo duomenis IS Foxus naudojančios Sveikatos priežiūros įstaigos darbuotojams, šios įstaigos administracija susiekia su Administratoriais telefonu arba el. paštu ir pateikia savo darbuotojo, kuriam reikalingas prisijungimas prie sistemos, duomenis: vardą, pavardę, gimimo datą, spaudo numerį ir seriją, darbo ir pacientų priėmimo laikų informaciją (reikalinga sudaryti darbo grafikams), kontaktinį telefoną. Administratorius sukuria Sveikatos priežiūros įstaigos nurodytam darbuotojui prisijungimus ir darbo aplinką IS Foxus bei žodžiu informuoja darbuotojo apie jo asmeninį prisijungimo vardą ir laikinąjį slaptažodį.
  3. Naudotojų prisijungimo teisių panaikinimo procedūra: Sveikatos priežiūros įstaigos administracija susiekia su Administratoriumi el. paštu ir informuoja apie Naudotojo prisijungimo teisių panaikinimą. Ne vėliau kaip kitą darbo dieną Administratorius deaktyvuoja Naudotojo prisijungimo duomenis. Naudotojo prisijungimo duomenys neatkuriamai ištrinami per 5 (penkias) darbo dienas nuo deaktyvavimo dienos.
  4. Vartotojų prisijungimo duomenis susikuria pats Vartotojas registruojantis E-pacientas.lt interneto tinklalapyje. Vartotojo prisijungimo duomenys: registracijos metu nurodytas el. pašto adresas bei sukurtas slaptažodis iš ne mažiau, kaip iš 8 simbolių (žodžių ir skaičių). Vartotojas, ištrindamas savo paskyrą, panaikina savo prisijungimo duomenis.
  5. Duomenų apsikeitimas tarp Sveikatos priežiūros įstaigos administracijos ir Bendrovės valdomų serverių vyksta šifruotu kanalu (SSL su naudojamais algoritmais: SHA1 žinutėms ir RSA raktų apsikeitimui, naudojamas 128 bitų ilgio raktas). SSL sertifikatas yra išduotas StartCom Ltd. sertifikavimo agentūros. Naudotojo prisijungimas prie E.pacientas.lt ar Sveikatos priežiūros įstaigoms skirta IS Foxus prieiga apsaugoti unikaliu slaptažodžiu, kuris susideda ne mažiau, kaip iš 8 simbolių (raidžių ir skaičių).
  6. Nepavykę Naudotojų ar Administratorių prisijungimai yra automatiškai registruojami elektroniniame žurnale, maksimalus leistinas neteisingų prisijungimų bandymų skaičius 3 (trys). Vėlesnis bandančiojo IP adresas įtraukiamas į ugniasienės sąrašus iki kol Administratorius šio IP adreso nepašalina iš šio sąrašo. Maksimalus neteisingas prisijungimo laikas yra 3 sekundės. Administratorių prisijungimas prie duomenų bazių yra užtikrinamas ir privačiais raktais (128bitų ilgio).
  7. Naudotojų bei Administratorių prisijungimo duomenys: prisijungimo identifikatorius, data, laikas, jungimosi rezultatas (sėkmingas, nesėkmingas), bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti duomenų tvarkymo veiksmai) fiksuojami elektroniniame žurnale. Naudotojų (Sveikatos priežiūros įstaigų darbuotojų) elektroniniai žurnalai peržiūrimi ne rečiau, kaip kas 3 (tris) darbo dienas. Ne rečiau, kaip kas mėnesį Sveikatos priežiūros įstaigoms elektroniniu būdu siunčiamos ataskaitos apie jų darbuotojų prisijungimo duomenis. Esant būtinybei Administratorių prisijungimo duomenis peržiūri Saugos įgaliotinis.
  8. IS Foxus sistemoje prisijungimo duomenys saugomi 1 (vienerius) metus.
  9. IS Foxus duomenys Naudotojams, Duomenų gavėjams perduodami automatiniu būdu naudojant TCP/IP protokolą realiame laike („On-line“ režimu). Visi duomenys Naudotojams siunčiami šifruotu SSL kanalu, šifruojant ne trumpesniu, kaip 128bitų ilgio raktu. Duomenų gavėjams (į valstybines informacines sistemas) duomenys teikiami šifruotu VPN kanalu, kitiems privatiems Duomenų gavėjams duomenys teikiami šifruoti SSL kanalu, šifruojant ne trumpesniu, kaip 128bitų ilgio raktu.
  10. IS Foxus duomenų saugai užtikrinti yra taikomos tam tikros programinės įrangos naudojimo nuostatos:
    1. IS Foxus serveriuose, Administratorių, Naudotojų kompiuterinėse darbo vietose įdiegiama legali ir saugi (su naujausiais pataisymais) programinė įranga;
    2. IS Foxus serverių, Administratorių, Naudotojų kompiuterinių darbo vietų operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis;
    3. IS Foxus serverių, administratoriaus, naudotojų kompiuterinėse darbo vietose turi būti diegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Programinė atnaujinama periodiškai, užtikrinant nepertraukiamą apsaugą;
    4. IS Foxus programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims;
    5. kompiuterinis tinklas, prie kurio prijungti serveriai, nuo viešojo interneto turi būti atskirti tinklo užkarda (angl. Firewall);
    6. Naudotojų, naudojančių nešiojamus kompiuterius savo funkcijoms vykdyti ne savo darbo vietoje, kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas vartotojo tapatybės patvirtinimas. Nešiojamuose kompiuteriuose įdiegta slaptažodžiu apsaugota ekrano užsklanda, kuri aktyvuojama automatiškai, jei nėra vykdomi jokie veiksmai su kompiuteriu 15 (penkiolika) minučių.
  11. IS Foxus programinės, techninės įrangos saugos priemonių įgyvendinimą organizuoja Administratoriai.
  12. Už atsarginių IS Foxus duomenų kopijų darymą ir saugojimą atsako trečiasis asmuo, su kuriuo Bendrovė yra sudariusi sutartį dėl duomenų kopijavimo bei duomenų saugojimo. Duomenų kopijos turi būti daromos automatiškai kasdien. Detalios duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka išdėstomi Asmens duomenų tvarkymo taisyklėse bei kitose Bendrovės vadovo patvirtintuose dokumentuose.

IV. REIKALAVIMAI ASMENIMS, NAUDOJANTIEMS IS FOXUS

  1. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe turi būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika.
  2. Administratorius privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais, taip pat kitais Bendrovės patvirtintais su elektroninės informacijos ar duomenų sauga susijusiais dokumentais.
  3. Naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.
  4. Naudotojai, pastebėję saugos politikos pažeidimus, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Bendrovei.
  5. Saugos įgaliotinis esant poreikiui organizuoja IS Foxus Naudotojų mokymus kvalifikacijos tobulinimo ir duomenų saugos klausimais, taip pat periodiškai Naudotojams primena saugumo problemas (elektroniniu paštu, per internetinę svetainę, atmintinėmis naujiems Naudotojams ir pan.).

V. ASMENŲ, NAUDOJANČIŲ IS FOXUS ATSAKOMYBĖ

  1. Asmenys, naudojantys IS Foxus, privalo savo kompetencijos ribose privalo rūpintis sistemos bei joje tvarkomos elektroninės informacijos bei duomenų saugumu.
  2. Tvarkyti sistemos duomenis gali tik tie Naudotojai, kurie yra susipažinę su šiuose nuostatuose jiems aktualiais reikalavimais.
  3. Administratorių supažindinimą su šiais nuostatais ir bei kitais Bendrovės saugos politiką reglamentuojančiais dokumentais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja Saugos įgaliotinis. Naudotojai supažindinami elektroniniu būdu prieš jiems suteikiant teises tvarkyti sistemos duomenis.
  4. Asmenys, naudojantys IS Foxus ir pažeidę šiuose nuostatuose ar kituose Bendrovės turimuose saugos politiką reglamentuojančiais dokumentuose nustatytus reikalavimus (su kuriais asmenys buvo supažindinti), atsako įstatymų nustatyta tvarka.

VI. NUOSTATŲ ATNAUJINIMO TVARKA

  1. Saugos įgaliotinis, siekdamas užtikrinti sistemos ir joje tvarkomų duomenų saugumą, teikia siūlymus Bendrovės vadovui dėl nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
  2. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių nuostatų II skirsnyje nurodytą vertinimą.