Projekta ID
21-TA-447Atzinuma sniedzējs
Latvijas Lielo pilsētu asociācija
Atzinums iesniegts
03.11.2021.
Saskaņošanas rezultāts
Saskaņots ar priekšlikumiem
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Informatīvais ziņojums
Priekšlikums
Iestādēm, kas iesaistītas KIAP, iestādes mājaslapā publicējamajā koordinētas ievainojamības atklāšanas aprakstā būtu jāiekļauj vismaz šāda informācija (paraugs 1. attēlā):
Ikvienai valsts pārvaldes institūcijai pirms iesaistīšanās Aizsardzības ministrijas sagatavotajā procesā “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē”, būtu nepieciešams izdot valsts pārvaldes institūcijas iekšējo regulējumu, kurā:
1) Noteiktas KIAP ietvertās valsts pārvaldes institūcijas sistēmas un resursi;
2) Norādīts, kāda veida testus vai pārbaudes drīkst veikt KIAP (vai tieši otrādi – noteikt, ko nedrīkst) 1. punktā norādītajos resursos;
3) Noteikts aizliegums KIAP ziņotājam atklāt trešajām pusēm informāciju par KIAP ietvaros apstrādātiem valsts pārvaldes institūcijas pārziņā esošajiem sensitīvajiem datiem, ierobežotas pieejamības informāciju;
4) Noteikta kārtība, kādā valsts pārvaldes institūcija savā mājaslapā publicē aprakstu, kurā izskaidrots, kā KIAP ziņotājam jāiesniedz ziņojums valsts pārvaldes institūcijai, CERT.LV par KIAP atklātu nepilnību 1.punktā norādītajos resursos.
Valsts pārvaldes institūcijas publicētajā aprakstā būtu nepieciešams iekļaut vismaz:
a) Informāciju par to, uz kādu e-pasta adresi(-ēm) KIAP ziņotājam jānosūta ziņojums, piemēram: cert@cert.lv un/vai valsts pārvaldes institūcijas IT atbalsta struktūrvienības e-pasta adrese u.tml.;
b) Informāciju par atklāto ievainojamību, tās ietekmes smagumu atbilstoši publicētajai informācijai https://cve.mitre.org/ vai https://www.cve.org/, un KIAP ziņotāja priekšlikumiem par valsts pārvaldes institūcijā veicamajiem pasākumiem, lai valsts pārvaldes institūcija varētu atkārtot un analizēt KIAP ziņotāja atklāto ievainojamību;
c) KIAP ziņotāja kontaktinformāciju, paredzot KIAP ziņotājam arī anonīmas ziņošanas iespēju;
d) Informāciju, cik ilgā laikā valsts pārvaldes institūcijai ievainojamība būtu jānovērš* un kādās situācijās ar KIAP ziņotāju sazināsies valsts pārvaldes institūcija, lai iegūtu papildinformāciju vai informētu par atklātās ievainojamības novēršanas termiņa pagarinājumu.
* Regulējums noteikts Informācijas tehnoloģiju drošības likuma 6.1 pantā: Rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā.
Priekšlikuma mērķis ir, lai KIAP ziņotājs sniedz valsts pārvaldes institūcijai pēc iespējas konkrētu informāciju ne tikai par atklāto ievainojamību, bet arī par tās ietekmes smagumu (CVE/CWE), kā arī konkretizēt veicamās darbības KIAP iesaistītajiem dalībniekiem.
Ikvienai valsts pārvaldes institūcijai pirms iesaistīšanās Aizsardzības ministrijas sagatavotajā procesā “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē”, būtu nepieciešams izdot valsts pārvaldes institūcijas iekšējo regulējumu, kurā:
1) Noteiktas KIAP ietvertās valsts pārvaldes institūcijas sistēmas un resursi;
2) Norādīts, kāda veida testus vai pārbaudes drīkst veikt KIAP (vai tieši otrādi – noteikt, ko nedrīkst) 1. punktā norādītajos resursos;
3) Noteikts aizliegums KIAP ziņotājam atklāt trešajām pusēm informāciju par KIAP ietvaros apstrādātiem valsts pārvaldes institūcijas pārziņā esošajiem sensitīvajiem datiem, ierobežotas pieejamības informāciju;
4) Noteikta kārtība, kādā valsts pārvaldes institūcija savā mājaslapā publicē aprakstu, kurā izskaidrots, kā KIAP ziņotājam jāiesniedz ziņojums valsts pārvaldes institūcijai, CERT.LV par KIAP atklātu nepilnību 1.punktā norādītajos resursos.
Valsts pārvaldes institūcijas publicētajā aprakstā būtu nepieciešams iekļaut vismaz:
a) Informāciju par to, uz kādu e-pasta adresi(-ēm) KIAP ziņotājam jānosūta ziņojums, piemēram: cert@cert.lv un/vai valsts pārvaldes institūcijas IT atbalsta struktūrvienības e-pasta adrese u.tml.;
b) Informāciju par atklāto ievainojamību, tās ietekmes smagumu atbilstoši publicētajai informācijai https://cve.mitre.org/ vai https://www.cve.org/, un KIAP ziņotāja priekšlikumiem par valsts pārvaldes institūcijā veicamajiem pasākumiem, lai valsts pārvaldes institūcija varētu atkārtot un analizēt KIAP ziņotāja atklāto ievainojamību;
c) KIAP ziņotāja kontaktinformāciju, paredzot KIAP ziņotājam arī anonīmas ziņošanas iespēju;
d) Informāciju, cik ilgā laikā valsts pārvaldes institūcijai ievainojamība būtu jānovērš* un kādās situācijās ar KIAP ziņotāju sazināsies valsts pārvaldes institūcija, lai iegūtu papildinformāciju vai informētu par atklātās ievainojamības novēršanas termiņa pagarinājumu.
* Regulējums noteikts Informācijas tehnoloģiju drošības likuma 6.1 pantā: Rīcība informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumā.
Priekšlikuma mērķis ir, lai KIAP ziņotājs sniedz valsts pārvaldes institūcijai pēc iespējas konkrētu informāciju ne tikai par atklāto ievainojamību, bet arī par tās ietekmes smagumu (CVE/CWE), kā arī konkretizēt veicamās darbības KIAP iesaistītajiem dalībniekiem.
Piedāvātā redakcija
-