Noteikumu projekts

22-TA-3183
Noteikumi par minimālajām kiberdrošības prasībām
Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 29. pantu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu un Elektronisko sakaru likuma 8. panta pirmo un otro daļu.
1.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
1.2.
kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
1.3.
prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
1.4.
IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;
1.5.
publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
1.6.
prasības subjekta kiberdrošības pārvaldniekam;
1.7.
veidu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
1.8.
subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību;
1.9.
kiberincidentu nozīmīguma kritērijus;
1.10.
kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
1.11.
agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un ziņojuma iesniegšanas kārtību;
1.12.
kritērijus un kārtību subjekta tīklu un informācijas sistēmu drošības skenēšanai;
1.13.
kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus;
1.14.
nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
1.15.
subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti;
1.16.
subjektiem kiberhigiēnas pasākumu pamatelementus un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
1.17.
kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību;
1.18.
kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
1.19.
kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
1.20.
prasības kiberincidentu novēršanas institūcijām.
2.
Noteikumos lietotie termini:
2.1.
auditācijas pieraksti – analīzei pieejami pieraksti, kurās serveris automatizēti reģistrē datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);
2.2.
autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte;
2.3.
autorizācija – process, kurā lietotājam pēc veiksmīgas autentifikācijas tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā;
2.4.
ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu vai veic citu darbību subjekta uzdevumā;
2.5.
datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete, datu uzglabāšanas risinājums, kas izmanto mākoņdatošanas pakalpojumu vai citu IKT resursu;
2.6.
drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim;
2.7.
IKT resursi – tīklu un informācijas sistēmu sastāvdaļa. IKT resursu kopums ietver tehniskos resursus un informācijas resursus, kā arī fizisko infrastruktūru, kurā uztur minētos resursus.
2.8.
informācijas resurss – strukturēta digitālo datu vienība, kas tiek elektroniski apstrādāta, izmantojot tehniskos resursus;
2.9.
informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus;
2.10.
integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums;
2.11.
konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem;
2.12.
konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts);
2.13.
lietotāja konts – konts, kas ir piesaistīts konkrētam lietotājam;
2.14.
lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu vai informācijas sistēmu;
2.15.
mašīnlasāms formāts – datnes formāts, kas ir strukturēts tā, lai lietojumprogrammas var automatizēti nolasīt datni, kā arī viegli identificēt, atpazīt un iegūt no tās specifiskus datus, tostarp atsevišķas vienības un to iekšējo struktūru. Mašīnlasāmi dati var tikt elektroniski apstrādāti bez manuālas apstrādes no lietotāja puses;
2.16.
pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu;
2.17.
pieejamība – iespēja lietotājam lietot IKT resursu noteiktā laikā un vietā;
2.18.
piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autentificētām un autorizētām personām;
2.19.
sistēmkonts – konts, kas nodrošina IKT funkciju vai procesu, un kurš nav piesaistāms nevienai fiziskajai personai;
2.20.
šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē;
2.21.
tehniskais resurss
2.21.1.
aparatūra (hardware), tostarp tīkla darbību nodrošinošās iekārtas, darbstacijas, serveri, datu nesēji un citas saistītas iekārtas,
2.21.2.
programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
2.22.
tehniskā resursa administrators – tehniskā resursa privileģēts lietotājs, kura amata pienākumos ir nodrošināt tehniskā resursa darbību atbilstoši tā uzdevumiem;
2.23.
4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;
2.24.
5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls.
3.
Noteikumi attiecas uz subjektiem un to īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde;
4.
Noteikumi attiecas uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.
2.Statusa paziņošanas kārtība
5.
Būtisko vai svarīgo pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):
5.1.
Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam;
5.2.
Nacionālās kiberdrošības likuma 22. panta otrajā daļā noteiktajā termiņā – par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās;
5.3.
par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.
6.
Domēnu vārdu reģistrācijas pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):
6.1.
Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam;
6.2.
Nacionālās kiberdrošības likuma 23. panta otrajā daļā noteiktajā termiņā – par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās;
6.3.
par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.
3.Pamatprasības subjektiem
3.1.Kiberdrošības pārvaldnieks
7.
Subjekts paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi, un Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikums):
7.1.
Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā – par jauna kiberdrošības pārvaldnieka noteikšanu;
7.2.
Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – par izmaiņām šo noteikumu 7.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās.
8.
Par kiberdrošības pārvaldnieku var būt fiziska persona:
8.1.
kurai ir Latvijas pilsonība;
8.2.
kura ir pilngadīga;
8.3.
kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.4.
kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta;
8.5.
pār kuru nav nodibināta aizgādnība;
8.6.
kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs;
8.7.
kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas;
8.8.
kurai pēdējo piecu gadu laikā nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība;
8.9.
kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma, vai pie nevalstiskās organizācijas vai nevalstisko organizāciju apvienības, kas uzsākusi darbību (juridisko) pirms tās reģistrācijas vai turpina darboties pēc tam, kad tās darbība ir apturēta vai izbeigta ar tiesas nolēmumu.
9.
Par kiberdrošības pārvaldnieku var būt fiziska persona, kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība, ja tā atbilst šo noteikumu 8.2.8.9. apakšpunkta prasībām, un ja ir saņemts Satversmes aizsardzības biroja atzinums, ka personas noteikšana par kiberdrošības pārvaldnieku nav pretrunā ar nacionālās drošības interesēm.
10.
Sagatavojot šo noteikumu 9. punktā minēto atzinumu, kompetentā valsts drošības iestāde vērtē šādu informāciju un apsvērumus:
10.1.
iespējamību, ka persona varētu būt pakļauta tādas valsts ietekmei:
10.1.1.
kas nav NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts,
10.1.2.
kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti,
10.1.3.
kas ir iekļauta publiskā kiberincidenta attiecināšanas paziņojumā, kuru Latvija ir iniciējusi vai kuram ir pievienojusies,
10.1.4.
kurā nepastāv demokrātiska pārvaldes forma vai ar kuru nav nolīguma drošības vai datu aizsardzības jomā;
10.2.
ja attiecināms, citu informāciju par personu, kas varētu liecināt par drošības riskiem saistībā ar kiberdrošības pārvaldnieka pienākumu pildīšanu.
3.2.Kiberdrošības pārvaldības dokumentācija
11.
Subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido:
11.1.
kiberdrošības politika;
11.2.
IKT resursu un informācijas sistēmu katalogs;
11.3.
kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
11.4.
kiberincidentu žurnāls.
12.
Subjekts katru kiberdrošības pārvaldības dokumentācijas kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu.
13.
Subjekts var noteikt informācijas pieejamības ierobežojumus kiberdrošības pārvaldības dokumentācijas kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju (piemēram, noteikt, ka kiberincidentu žurnālam var piekļūt tikai personas, kuras ir pilnvarotas veikt ierakstus minētajā žurnālā).
14.
Subjekta kiberdrošības pārvaldības dokumentāciju veido un uztur elektroniskā formātā.
15.
Subjekts kiberdrošības pārvaldības dokumentāciju uzglabā drošā veidā un vietā, kas ir tā valdījumā. Subjekts nodrošina, ka dokumentācijas kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no to oriģināliem un ir pieejamas kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā).
3.3.Kiberdrošības politika
16.
Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trijos gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku, ņemot vērā identificētos kiberriskus, veiktos kiberdrošības auditus, pārbaudes un ielaušanās testus, tajos konstatētās neatbilstības, ievainojamības un kiberapdraudējumus un to novēršanas gaitu, kā arī Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotos lēmumus, pieprasījumus un subjektam uzliktos tiesiskos pienākumus un to izpildi.
17.
Kiberdrošības politikā iekļauj:
17.1.
vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
17.2.
subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
17.3.
informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
17.4.
informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
17.5.
informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu, standartu un sertifikācijas shēmu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem.
3.4.IKT resursu un informācijas sistēmu katalogs
18.
Subjekts identificē un uzskaita visus tā īpašumā, valdījumā, turējumā un lietošanā esošos IKT resursus un informācijas sistēmas.
19.
Subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai un tajā elektroniski apstrādājamo informācijas resursu kategorijai.
20.
Subjekts tā turējumā vai lietošanā esošās informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi saskaņo ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju.
21.
Šo noteikumu izpratnē informācijas sistēmu uzskata par:
21.1.
A kategorijas (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A konfidencialitātes, integritātes vai pieejamības drošības klase;
21.2.
B kategorijas (pamata drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena B konfidencialitātes, integritātes vai pieejamības drošības klase, bet nav noteikta neviena A konfidencialitātes, integritātes vai pieejamības drošības klase;
21.3.
C kategorijas (minimālās drošības) informācijas sistēmu, ja tai ir noteiktas tikai C konfidencialitātes, integritātes un pieejamības drošības klases.
22.
Subjekts izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu.
3.5.Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
23.
Subjekts uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu.
24.
Subjekts var izstrādāt vairākus kiberrisku pārvaldības un IKT darbības nepārtrauktības plānus dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Šādā gadījumā par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu uzskatāms šo plānu kopums.
25.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
25.1.
kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
25.2.
kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
25.3.
kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
25.4.
rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, atjaunošanas punkta mērķis (RPO), atjaunošanas laika mērķis (RTO), maksimāli pieļaujamais dīkstāves laiks (MTD)), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
26.
Plānojot kiberrisku mazināšanas pasākumus, subjekts:
26.1.
apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
26.2.
paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
26.3.
A kategorijas informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) interneta protokola (turpmāk – IP) adreses vai adrešu apgabalus.
27.
Subjekts nosaka atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
28.
Subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli.
29.
Subjekta vadītājs nodrošina, ka kiberdrošības pārvaldniekam un, ja attiecināms, citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai, kiberincidentu risināšanai vai kiberuzbrukuma seku novēršanai.
3.6.Kiberincidentu pārvaldība un kiberincidentu žurnāls
30.
Subjekts ievieš pārvaldības procesus, lai identificētu, risinātu un novērstu kiberincidentus, gandrīz notikušus kiberincidentus un ievainojamības, nosakot vismaz:
30.1.
nodarbināto lomas un atbildību kiberincidenta pazīmju konstatēšanas gadījumā vai informācijas saņemšanas gadījumā par iespējamo kiberincidentu;
30.2.
procedūras kiberincidentu identificēšanai, reģistrēšanai, ietekmes novērtēšanai un mazināšanai, risināšanai un seku likvidēšanai, pamatcēloņu (root cause) atklāšanai, analīzei un novēršanai, pierādījumu saglabāšanai; 
30.3.
iekšējās un ārējās komunikācijas plānus, procedūras saziņai ar kompetento kiberincidentu novēršanas institūciju, citām kompetentajām institūcijām, citiem subjektiem un pakalpojumu saņēmējiem;
30.4.
procedūras drošības pasākumu uzlabošanai, ņemot vērā kiberincidentu pārvaldības procesā gūtās atziņas.
31.
Subjekts izstrādā un uztur kiberinicidentu žurnālu, kurā reģistrē ziņas par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Subjekts nodrošina ziņu reģistrēšanu žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš žurnālā norādītajās ziņās.
32.
Kiberincidentu žurnālā iekļauj vismaz šādu informāciju par kiberincidentiem:
32.1.
kiberincidenta konstatēšanas datumu un laiku, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
32.2.
kiberincidenta veida kodu vai kodus atbilstoši šo noteikumu 5. pielikumā ietvertajai tipoloģijai;
32.3.
kiberincidenta vispārīgo aprakstu;
32.4.
kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
32.5.
kiberincidenta ietekmes novērtējumu;
32.6.
atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
32.7.
atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
32.8.
aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts").
3.7.Lietotāju un piekļuves tiesību pārvaldība
33.
Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi.
34.
Subjekta katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai:
34.1.
identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam;
34.2.
nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi;
34.3.
piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja vien tas ir tehniski iespējams.
35.
Subjekts nodrošina, ka:
35.1.
lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, vienlaikus nodrošinot katra lietotāja veikto darbību informācijas sistēmā uzskaiti citā veidā (piemēram, manuāli veicot ierakstus žurnālā);
35.2.
sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu;
35.3.
informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;
35.4.
standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības), tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;
35.5.
administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu;
35.6.
pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
36.
Ja vien tas ir tehniski iespējams, subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu:
36.1.
A kategorijas informācijas sistēmas kontam;
36.2.
B kategorijas informācijas sistēmas administratora lietotāja kontam;
36.3.
B kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai.
37.
Subjekts nodrošina, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Subjekta pienākumi ir:
37.1.
informēt reģistrētu informācijas sistēmas lietotāju par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas;
37.2.
nodrošināt, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētam informācijas sistēmas lietotājam visā informācijas sistēmas lietošanas laikā.
38.
Subjekta kiberdrošības pārvaldniekam ir tiesības:
38.1.
nepieciešamības gadījumā pārbaudīt lietotāju kontus, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas.
38.2.
pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām;
38.3.
kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
38.4.
pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu;
38.5.
ja informācijas sistēmu vai tās daļu neuztur subjekta īpašumā vai valdījumā esošajā IKT infrastruktūrā – pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas auditācijas pierakstus.
3.8.Tīklu pārvaldība
39.
Subjekts ievieš procesus sava īpašumā un valdījumā esošo tīklu pārvaldībai, nodrošinot, ka:
39.1.
iekšējais tīkls ir nodalīts no ārējā tīkla;
39.2.
iekšējais tīkls ir sadalīts loģiskos segmentos atbilstoši subjekta darbības specifikai un elektroniski apstrādājamo informācijas resursu drošības klasēm;
39.3.
iekšējā tīklā tehnisko resursu administrēšanai paredzētās datu plūsmas (administratīvais segments) ir nodalītas no lietotāju ikdienas darbam ar informācijas sistēmu paredzētās datu plūsmas (lietotāju segments);
39.4.
datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem notiek caur kontrolējamām iekārtām (piemēram, ugunsmūriem, starpniekserveriem), kas ļauj uzraudzīt un ierobežot neatļautu datu plūsmu (piemēram, izmantojot reāllaika kiberuzbrukumu novēršanas un atklāšanas sistēmu);
39.5.
piekļuve iekšējā tīklā esošajiem informācijas resursiem ārpus iekšējā tīkla ir iespējama tikai, izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar stingru autentifikāciju;
39.6.
ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;
39.7.
tīkla iekārtas un cita aparatūra, kas nav paredzēta tiešai lietotāju izmantošanai, ir loģiski atdalīta, izmantojot atsevišķus virtuālos tīklus, nodrošinot tai piekļuvi tikai pilnvarotam IKT personālam;
39.8.
iekšējos bezvadu tīklos tiek izmanoti bezvadu drošības protokoli un datu pārraides drošības protokoli.
3.9.Auditācijas pierakstu pārvaldība
40.
Subjekts nodrošina informācijas sistēmu auditācijas pierakstu un tīkla plūsmas auditācijas pierakstu veidošanu un uzglabāšanu. Auditācijas pierakstus uzglabā:
40.1.
A kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas;
40.2.
B kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 12 mēnešus pēc pēdējā ieraksta izdarīšanas;
40.3.
C kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 6 mēnešus pēc pēdējā ieraksta izdarīšanas.
41.
Informācijas sistēmas auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas notikumiem, tostarp:
41.1.
informācijas sistēmas ieslēgšanu un izslēgšanu;
41.2.
kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
41.3.
kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem;
41.4.
datu pievienošanu, izmaiņām un dzēšanu;
41.5.
tehnisko resursu konfigurāciju izmaiņām;
41.6.
informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par iespējamo kiberincidentu vai citu apdraudējumu informācijas sistēmas vai informācijas resursa drošībai.
42.
Informācijas sistēmas auditācijas pierakstos fiksē IKT notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, IP adresi, no kuras veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
43.
Tīkla plūsmas auditācijas pierakstos ietver informāciju par datu pakešu nosūtīšanas un saņemšanas notikumiem. Tīkla plūsmas auditācijas pierakstos fiksē vismaz šādu informāciju:
43.1.
datu paketes nosūtīšanas vai saņemšanas datums un laiks, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti;
43.2.
datu paketes nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses;
43.3.
avota un galamērķa izmantotie tīkla porti, kas norāda, kādi pakalpojumi vai lietojumprogrammas bija iesaistītas datu pārsūtīšanā (piemēram, HTTP, HTTPS, FTP);
43.4.
avota unikālais identifikators (MAC adrese);
43.5.
izmantotais tīkla protokols (piemēram, TCP, UDP);
43.6.
pārsūtīto (pārraidīto) datu apjoms;
43.7.
datu pārsūtīšanas sesijas ilgums;
43.8.
interneta plūsmas veids (piemēram, datu plūsma no iekšējā tīkla vai no ārējiem avotiem);
44.
Ja informācijas sistēmas vai tīkla uzbūves dēļ tehniski nav iespējams nodrošināt IKT notikuma koordinētā pasaules laika (UTC) fiksēšanu ar vienas sekundes precizitāti, subjektam ir pienākums nodrošināt citu laika fiksēšanas metodi (piemēram, izmantojot privāto tīkla laika protokola serveri), to saskaņojot ar Nacionālo kiberdrošības centru vai Satversmes aizsardzības biroju.
45.
Auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjekts ievēro sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi.
46.
Subjekts nodrošina auditācijas pierakstu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus.
47.
Subjekts nosaka par auditācijas pierakstu pārvaldību atbildīgās personas, kā arī iekšējos normatīvajos aktos nosaka auditācijas pierakstu pārvaldības kārtību, tostarp auditācijas pierakstu analīzes, pārbaužu kārtību un regularitāti, kā arī auditācijas pierakstu aizsardzības prasības.
3.10.Rezerves kopiju pārvaldība
48.
Subjekts katrai tā īpašumā un valdījumā esošajai A un B kategorijas informācijas sistēmai nodrošina šādu rezerves kopiju veidošanu:
48.1.
informācijas resursu rezerves kopijas;
48.2.
ja vien tas ir tehniski iespējams, tehnisko resursu konfigurāciju rezerves kopijas;
48.3.
auditācijas pierakstu rezerves kopijas.
49.
Subjekts iekšējos normatīvajos aktos nosaka rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību.
50.
Subjekts nosaka par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgo personu vai personas (turpmāk – par rezerves kopijām atbildīgais personāls)
51.
Veidojot rezerves kopijas, subjekts nodrošina, ka:
51.1.
rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes;
51.2.
rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
51.2.1.
A kategorijas informācijas sistēmai – iepriekšējā dienā, iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
51.2.2.
B kategorijas informācijas sistēmai – iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
51.2.3.
C kategorijas informācijas sistēmai – iepriekšējā mēnesī, iepriekšējā gadā.
51.3.
rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
51.3.1.
informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
51.3.2.
informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
51.3.3.
informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas;
51.4.
par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos;
51.5.
par rezerves kopijām atbildīgais personāls un kiberdrošības pārvaldnieks tiek nekavējoties brīdināti, ja kārtējā rezerves kopijas izveide nav izdevusies;
51.6.
A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma.
52.
Uzglabājot rezerves kopijas, subjekts nodrošina, ka:
52.1.
rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt tikai par rezerves kopijām atbildīgais personāls un kiberdrošības pārvaldnieks;
52.2.
rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību;
52.3.
A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski nodalītā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
52.4.
A kategorijas informācijas sistēmai pēc rezerves kopijas pārvietošanas citā datu nesējā tiek pārbaudīta rezerves kopijas integritāte (piemēram, pārbaudot tās satura kontrolsummu).
53.
Subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.
54.
Subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajos noteikumos.
3.11.Kiberhigiēnas pasākumi
55.
Subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:
55.1.
visu subjekta nodarbināto klātienes vai attālinātās instruktāžas, tai skaitā:
55.1.1.
sākotnējās instruktāžas – visiem nodarbinātajiem, uzsākot darba (dienesta) attiecības,
55.1.2.
kārtējās instruktāžas – visiem nodarbinātajiem vismaz reizi kalendārajā gadā,
55.1.3.
ārkārtas instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
55.2.
subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai (turpmāk – IKT personāla apmācības);
55.3.
citas apmācības kiberdrošības jomā, ko subjekts uzskata par nepieciešamām.
56.
Subjekts nodrošina, ka apmācību saturs tiek pārskatīts un nepieciešamības gadījumā aktualizēts vismaz reizi gadā vai, mainoties apstākļiem (piemēram, izceļoties jauniem kiberapdraudējumiem, mainoties kiberriska līmenim, notiekot kiberincidentam).
57.
Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē kiberdrošības pārvaldnieku un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža.
58.
Sākotnējo instruktāžu veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža.
59.
Subjekts nodrošina, ka visiem tā nodarbinātajiem ir pieejams kārtējo instruktāžu kalendārais plāns, kā arī aktuālie instruktāžu materiāli (piemēram, prezentācijas datne, izdales materiāli).
60.
IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku.
61.
Subjekts uzskaita organizētās apmācības, kā arī ievieš procesus, lai novērtētu nodarbināto zināšanas kiberdrošības jautājumos un īstenoto apmācību efektivitāti.
62.
Subjekts iekšējos normatīvajos aktos nosaka apmācību plānošanas un organizēšanas kārtību.
4.Papildu prasības būtisko pakalpojumu sniedzējiem
4.1.Šifrēšanas prasības
63.
Ja vien tas ir tehniski iespējams, būtisko pakalpojumu sniedzējs pielieto šifrēšanas risinājumus vismaz:
63.1.
A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajā vidē un iekšējos IKT infrastruktūras bezvadu tīklos;
63.2.
A konfidencialitātes klases informācijas resursu glabāšanai (at-rest).
64.
Būtisko pakalpojumu sniedzējs ņem vērā Nacionālā kiberdrošības centra sadarbība ar Satversmes aizsardzības biroju izstrādātās vadlīnijas šifrēšanas risinājumu izmantošanai. Vadlīnijas Nacionālais kiberdrošības centrs publicē savā mājaslapā internetā, vismaz reizi gadā tās pārskata un nepieciešamības gadījumā aktualizē.
65.
Būtisko pakalpojumu sniedzējs iekšējos normatīvajos aktos nosaka:
65.1.
minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un Nacionālā kiberdrošības centra šifrēšanas vadlīniju aktuālos ieteikumus;
65.2.
šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
65.3.
prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.
4.2.Prasības IKT infrastruktūrai, kura pilda datu centra funkcijas
66.
Ja būtisko pakalpojumu sniedzējs tā īpašumā vai valdījumā esošās informācijas sistēmas uzturēšanai neizmanto datu centru, kurš atbilst normatīvajiem aktiem par datu centru drošību, būtisko pakalpojumu sniedzējs nodrošina, ka tā IKT infrastruktūra vai izmantotais datu centrs, kurā uztur A vai B kategorijas informācijas sistēmu, atbilst vismaz šādām prasībām:
66.1.
aparatūra ir izvietota atsevišķā slēdzamā telpā vai slēdzamās statnēs (skapjos);
66.2.
katrai telpai vai statnei , kurā ir izvietota aparatūra, ir apmeklētāju žurnāls;
66.3.
būtisko pakalpojumu sniedzēja vadītājs vai vadītāja pilnvarotā persona (piemēram, drošības daļas vadītājs) apstiprina sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām un statnēm;
66.4.
telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem;
66.5.
telpās netiek glabāti ugunsnedrošas mantas vai atkritumi;
66.6.
telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;
66.7.
atbildīgie nodarbinātie ir informēti par kārtību un rīcību ugunsgrēka gadījumā;
66.8.
ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
66.9.
kabelējums ir aizsargāts pret nejaušu bojāšanu;
66.10.
IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmu, ir aprīkota ar:
66.10.1.
nepārtrauktās elektrības barošanas iekārtu;
66.10.2.
rezerves elektrības pieslēgumu;
66.10.3.
alternatīvu elektrības padeves rezerves risinājumu (piemēram, izmantojot elektrības ģeneratoru).
66.11.
atbildīgie nodarbinātie ir informēti par kārtību un rīcību neparedzētu notikumu gadījumā, nodarbinātajiem ir zināmi apsardzes, ugunsdzēsības, elektroapgādes un klimata kontroles apkalpojošā personāla vai pakalpojuma sniedzēja kontaktinformācija.
4.3.Prasības publiskajiem elektronisko sakaru tīkliem
67.
Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs:
67.1.
identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu​ 6. pielikumu. Publiskā elektronisko sakaru tīkla īpašnieks var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas;
67.2.
iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem saskaņā ar šo noteikumu 7. pielikumu;
67.3.
informē Satversmes aizsardzības biroju par izmaiņām šo noteikumu 67.2. apakšpunktā minētajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas, izņemot, ja:
67.3.1.
iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta;
67.3.2.
tiek uzstādīti esošās programmatūras atjauninājumi;
67.3.3.
tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām;
67.4.
kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai;
68.
Publiskā elektronisko sakaru tīkla kritiskajās daļās neizmanto tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai.
69.
Sagatavojot šo noteikumu 68. punktā minēto atzinumu, Satversmes aizsardzības birojs vērtē vismaz vienu no šādiem kritērijiem:
69.1.
iespējamību, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzējs varētu būt pakļauts tādas valsts ietekmei:
69.1.1.
kas nav NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts,
69.1.2.
kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti,
69.1.3.
kura ir iekļauta publiskā kiberincidenta attiecināšanas paziņojumā, kuru Latvija ir iniciējusi vai kuram ir pievienojusies,
69.1.4.
kurā nepastāv demokrātiska pārvaldes forma vai ar kuru nav nolīguma drošības vai datu aizsardzības jomā,
69.1.5.
kuras tiesību akti paredz pienākumu iekārtas vai programmatūras izstrādātājam, ražotājam, izplatītājam vai ārpakalpojuma sniedzējam sadarboties ar attiecīgās valsts valdību,
69.1.6.
kura spēj veikt jebkāda veida ietekmēšanu, tostarp attiecībā uz iekārtas vai programmatūras ražošanas vai izstrādes vietu;
69.2.
iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja:
69.2.1.
patieso labuma guvēju un īpašnieku struktūru,
69.2.2.
saikni ar valsti, kas atbilst šo noteikumu 69.1. apakšpunktā minētajiem kritērijiem,
69.2.3.
spēju nodrošināt piegādi vai sniegt pakalpojumu,
69.2.4.
kiberdrošības praksi, tostarp piegādes ķēžu kontroli un to, vai drošības pasākumiem tiek piešķirta pienācīga prioritāte;
69.3.
no partnerdienestiem vai kiberincidentu novēršanas institūcijām saņemto informāciju par iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja atbilstību vienam vai vairākiem šo noteikumu 69.1. un 69.2.  apakšpunktā minētajiem kritērijiem.
70.
Satversmes aizsardzības birojs:
70.1.
uzrauga šajos noteikumos publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu;
70.2.
izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību;
70.3.
var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.
4.4.Ārpakalpojumu prasības
4.4.1.Vispārīgās ārpakalpojumu prasības
71.
Slēdzot ārpakalpojuma līgumu par IKT produktu vai pakalpojumu iegādi, būtisko pakalpojumu sniedzējs iepirkuma specifikācijā (ja attiecināms) un ārpakalpojuma līgumā iekļauj ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par kiberincidentiem un atklātajām produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
72.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam (turpmāk – apakšuzņēmējs), apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību.
73.
Izmantojot ārpakalpojumu, tai skaitā mākoņdatošanas ārpakalpojumu, būtisko pakalpojumu sniedzējam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Būtisko pakalpojumu sniedzēja klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
74.
Informācijas sistēmas vai publiskā elektronisko sakaru tīkla drošības līmenis, ja to attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par būtisko pakalpojumu sniedzēja noteikto. Ārpakalpojuma saņemšana neatbrīvo būtisko pakalpojumu sniedzēju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības, un būtisko pakalpojumu sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
75.
Pirms lēmuma pieņemšanas par ārpakalpojuma iegādi būtisko pakalpojumu sniedzējs izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
76.
Ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par jaunas informācijas sistēmas izstrādi, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības, kā arī paredz:
76.1.
noteiktu informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
76.2.
informācijas sistēmas programmatūras koda un tā izmantošanas tiesību nodošanu būtisko pakalpojumu sniedzējam ne vēlāk kā pēc šo noteikumu 76.1. apakšpunktā noteiktā laikposma beigām, kā arī pēc katru izmaiņu vai uzlabojumu veikšanas tajā;
76.3.
iespēju šo noteikumu 76.1. apakšpunktā noteiktajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma (piemēram, operētājsistēma, datubāžu vadības sistēma, interpretators) jaunākām versijām.
77.
Ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par esošās informācijas sistēmas uzlabojumiem, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības.
78.
Ja būtisko pakalpojumu sniedzējs slēdz ārpakalpojuma līgumu par tīkla vai informācijas sistēmas uzturēšanu, līgumā iekļauj kiberdrošības prasības, kuras nav zemākas par šajos noteikumos noteiktajām prasībām. Ārpakalpojuma līgumā iekļauj:
78.1.
ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
78.2.
būtisko pakalpojumu sniedzēja un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
78.2.1.
būtisko pakalpojumu sniedzēja tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
78.2.2.
būtisko pakalpojumu sniedzēja tiesības dot ārpakalpojuma sniedzējam obligāti izpildāmus norādījumus jautājumos, kas saistīti ar godprātīgu, kvalitatīvu, savlaicīgu un normatīvo aktu prasībām atbilstošu ārpakalpojuma izpildi,
78.2.3.
būtisko pakalpojumu sniedzēja tiesības iesniegt ārpakalpojuma sniedzējam pamatotu rakstisku pieprasījumu nekavējoties izbeigt ārpakalpojuma līgumu, ja būtisko pakalpojumu sniedzējs konstatējis, ka ārpakalpojuma sniedzējs nepilda ārpakalpojuma līgumā noteiktās prasības attiecībā uz ārpakalpojuma apjomu vai kvalitāti,
78.2.4.
ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības,
78.2.5.
ārpakalpojuma sniedzēja pienākumu informēt būtisko pakalpojumu sniedzēju par apakšuzņēmēju un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
78.3.
tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras būtisko pakalpojumu sniedzējs ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
78.4.
piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu ārpakalpojuma sniedzējam pēc līguma termiņa beigām pēc subjekta izvēles dzēst ārpakalpojuma sniedzēja rīcībā nonākušos datus vai tos atdot subjektam, dzēšot visas esošās kopijas, izņemot, ja līgums tiek pagarināts.
79.
Būtisko pakalpojumu sniedzējs nodrošina, ka pirms ārpakalpojuma līguma slēgšanas par tīkla vai informācijas sistēmas uzturēšanu tas tiek saskaņots ar kiberdrošības pārvaldnieku. Būtisko pakalpojumu sniedzējs nosaka atbildīgo personu vai personas par līguma izpildes uzraudzību.
4.4.2.Īpašās ārpakalpojumu prasības
80.
Līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi B kategorijas informācijas sistēmām, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
80.1.
juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
80.1.1.
tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
80.1.2.
tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis (izņemot, ja patieso labuma guvēju nav iespējams noskaidrot);
80.1.3.
tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
80.1.4.
tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām;
80.2.
fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
80.3.
citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
81.
A kategorijas informācijas sistēmas vai tās elementu izvietošana ārpakalpojuma sniedzēja nodrošinātos tehniskajos resursos ir atļauta tikai tad, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek:
81.1.
NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā;
81.2.
citas valsts teritorijā, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
82.
Ja attiecināms, būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver norādi uz šo noteikumu 80. un 81. punktā noteiktajiem ierobežojumiem, kas piemērojami, vienošanās ietvaros slēdzot iepirkuma līgumus šajā punktā minēto preču vai pakalpojumu iegādei.
83.
Būtisko pakalpojumu sniedzējs ārpakalpojuma līgumā nosaka ārpakalpojuma sniedzēja pienākumu līguma darbības laikā nekavējoties informēt būtisko pakalpojumu sniedzēju par jebkurām izmaiņām, kas var ietekmēt ārpakalpojuma sniedzēja un apakšuzņēmēju atbilstību šo noteikumu 80. un 81. punkta prasībām.
84.
Ārpakalpojuma līgumu izbeidz:
84.1.
ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām;
84.2.
ja ir saņemts kompetentās valsts drošības iestādes atzinums, ka līguma turpināšana ir pretrunā ar nacionālās drošības interesēm;
85.
Slēdzot ārpakalpojuma līgumu par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, subjekts paredz, ka:
85.1.
auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst šo noteikumu 80. punkta prasībām;
85.2.
auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību;
85.3.
auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā.
5.Papildu prasības IKT kritiskajai infrastruktūrai
86.
Uz visiem IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem attiecas šo noteikumu 4. nodaļā noteiktās papildu prasības būtisko pakalpojumu sniedzējiem, kā arī šajā nodaļā noteiktās papildu prasības.
87.
Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Pamatojoties uz pārbaudes rezultātiem, Satversmes aizsardzības birojs sniedz IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus par drošības pasākumu veikšanu.
88.
IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors.
89.
Ielaušanās testus IKT kritiskajā infrastruktūrā veic ar Satversmes aizsardzības biroju saskaņots ielaušanās testu veicējs.
6.Papildu prasības kiberincidentu novēršanas institūcijām
90.
Kiberincidentu novēršanas institūcija:
90.1.
nodrošina savu saziņas kanālu (e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni, izvairoties no situācijām, kad viena kļūme izraisa visu saziņas kanālu darbības pārtraukumu, un tai ir vairāki saziņas kanāli, kas jebkurā laikā ļauj ar to sazināties;
90.2.
nodrošina piekļuvei telpām atbilstošu apmeklētāju kontroli, un nodrošina, ka ēkai, kurā tā atrodas, tiek apsargāta;
90.3.
nodrošina, ka tās informācijas sistēmu darbības nodrošināšanai paredzētā aparatūra ir izvietota telpās ar dublētiem elektroenerģijas un interneta pieslēgumiem;
90.4.
nodrošina, ka tā ir aprīkota ar piemērotu sistēmu atbalsta pieprasījumu pārvaldībai un novirzīšanai, lai atvieglotu efektīvu un lietpratīgu pieprasījumu apstrādi;
90.5.
nodrošina savu darbību konfidencialitāti un uzticamību;
90.6.
nodrošina, ka tai ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nodrošinātu savu uzdevumu izpildi un darbības nepārtrauktību;
90.7.
nodrošina rezerves informācijas sistēmas un rezerves darba telpas vai iespējas pāriet uz attālinātu darbu, lai nodrošinātu kiberincidentu novēršanas institūcijas darbības nepārtrauktību;
90.8.
nodrošina, ka tās rīcībā ir piemērota, droša un noturīga saziņas un IKT infrastruktūra, lai nodrošinātu informācijas apmaiņu ar subjektiem un citām personām, tai skaitā, lai nodrošinātu dalību starptautiskos sadarbības tīklos, veicinot drošu kopīgošanas rīku ieviešanu;
90.9.
sadarbojoties ar citām privāto un publisko tiesību juridiskajām personām, tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, veicina vienotas vai standartizētas prakses, klasifikācijas shēmas un taksonomiju pieņemšanu un izmantošanu attiecībā uz incidentu risināšanas procedūrām, krīžu pārvaldību un koordinētu ievainojamību atklāšanu.
91.
Kiberincidentu novēršanas institūcijas vadītājs izvērtē tās atbilstību šo noteikumu 90. punktā minētajām prasībām vismaz reizi piecos gados un par to informē Nacionālo kiberdrošības centru.
7.Kiberincidentu vadība
7.1.Kiberincidentu nozīmīguma kritēriji
92.
Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:
92.1.
kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
92.2.
kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām vismaz 500 000 euro vai 5% apmērā no subjekta pēdējā finanšu gada apgrozījuma (atkarībā no tā, kura summa ir mazāka);
92.3.
kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
92.4.
kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
92.5.
kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
92.6.
kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.
7.2.Kiberincidentu ziņošanas kārtība
93.
Konstatējot kiberincidentu, subjekts nekavējoties novērtē kiberincidenta nozīmīgumu.
94.
Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu:
94.1.
agrīnā brīdinājuma veidlapu (8. pielikums);
94.2.
sākotnējā ziņojuma veidlapu (9. pielikums);
94.3.
progresa ziņojuma veidlapu (10. pielikums), ja attiecināms;
94.4.
starpposma ziņojuma veidlapu (11. pielikums), ja attiecināms;
94.5.
galaziņojuma veidlapu (12. pielikums).
95.
Par kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjekts ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās tīmekļa vietnē internetā norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā. Ja subjekts ir Aizsardzības ministrija, tās padotības iestāde vai Nacionālie bruņotie spēki, kiberincidenta aprakstu nosūta uz subjekta iekšējos normatīvajos aktos noteikto kompetentās kiberinicidentu novēršanas institūcijas elektroniskā pasta adresi.
8.Subjektu kiberdrošības uzraudzība
8.1.Atbilstības audits
96.
Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā (turpmāk – auditoru saraksts) reģistrē auditoru, kurš atbilst šādām prasībām:
96.1.
auditors ir juridiska vai fiziska persona, kura atbilst šo noteikumu 80. punkta prasībām;
96.2.
auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
96.3.
auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
96.4.
auditora reģistrācija nav pretrunā ar valsts drošības interesēm.
97.
Lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai:
97.1.
aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu (13. pielikums);
97.2.
šo noteikumu 96.2. apakšpunktā minēto sertifikātu kopijas.
98.
Auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību šo noteikumu 96. punkta prasībām.
99.
Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
99.1.
saņemts auditora iesniegums par izslēgšanu no saraksta;
99.2.
konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
99.3.
auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
99.4.
pastāv objektīvas bažas par auditora zināšanām kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
99.5.
saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
99.6.
publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
99.7.
publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.
100.
Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts.
101.
Auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.
8.2.Ielaušanās testi
102.
Ielaušanās testus veic šādos gadījumos:
102.1.
A kategorijas informācijas sistēmai:
102.1.1.
pirms informācijas sistēmas nodošanas ekspluatācijā,
102.1.2.
vismaz reizi trīs gados informācijas sistēmas ekspluatācijas laikā;
102.2.
jebkuras kategorijas informācijas sistēmai – pēc subjekta iniciatīvas;
102.3.
jebkuras kategorijas informācijas sistēmai – Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pārbaudes ietvaros.
103.
Šo noteikumu 102.1. un 102.2. apakšpunktā minētos ielaušanās testus veic:
103.1.
subjekta nodarbinātais personāls, kurš pēdējo trīs gadu laikā nav bijis iesaistīts informācijas sistēmas izstrādē vai uzturēšanā, vai
103.2.
cita persona, kura:
103.2.1.
atbilst šo noteikumu 80. punkta prasībām;
103.2.2.
ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP), vai kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā;
103.2.3.
pēdējo trīs gadu laikā nav bijusi iesaistīta informācijas sistēmas izstrādē vai uzturēšanā.
104.
Šo noteikumu 102.3. apakšpunktā minētos ielaušanās testus veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
8.3.Drošības skenēšana
105.
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
105.1.
pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros;
105.2.
pēc subjekta pieprasījuma.
106.
Vērtējot drošības skenēšanas nepieciešamību, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs ņem vērā vismaz vienu no šādiem apsvērumiem:
106.1.
subjekta veidu un darbības jomu;
106.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
106.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
106.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
106.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
106.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
107.
Ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm.
108.
Drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
8.4.Agrās brīdināšanas sensori
109.
Kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.
110.
Agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija.
111.
Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību:
111.1.
IKT kritiskā infrastruktūra;
111.2.
būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmas;
111.3.
pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra;
111.4.
svarīgo pakalpojumu sniedzēju IKT infrastruktūra.
112.
Vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, kiberincidentu novēršanas institūcija ņem vērā vismaz vienu no šādiem apsvērumiem:
112.1.
subjekta veidu un darbības jomu;
112.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
112.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
112.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
112.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
112.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
113.
Subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga.
114.
Kiberincidentu novēršanas institūcija savlaicīgi informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu.
115.
Pēc kiberncidentu novēršanas institūcijas pieprasījuma subjekts nodrošina tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.
8.5.Pašvērtējums
116.
Subjekts veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:
116.1.
reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma;
116.2.
reizi trijos gados – subjekts, kura īpašumā, valdījumā, turējumā un lietošanā nav nevienas A kategorijas informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk.
117.
Veicot pašnovērtējumu, subjekts sagatavo un līdz attiecīgā kalendārā gada 1. oktobrim iesniedz Nacionālajam kiberdrošības centram (IKT kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji – Satversmes aizsardzības birojam) elektroniski aizpildītu pašvērtējuma ziņojuma veidlapu (14. pielikums).
8.6.Neatbilstību novēršana valsts un pašvaldību institūcijās
118.
Ja subjekts, kurš ir tiešās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam.
119.
Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē vides aizsardzības un reģionālās attīstības ministru.
120.
Ja subjekts, kurš ir iepriekšējos divos punktos neminēta valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par konstatēto neatbilstību ziņo Ministru kabinetam. Ministru kabinets lemj par turpmāko rīcību neatbilstības novēršanai.
8.7.Piekļuves slēgšana elektronisko sakaru tīklam
121.
Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs paziņo elektronisko sakaru komersantam, kura pakalpojumus lietotājs izmanto, un lietotājam, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu informē Valsts policiju.
122.
Pēc piekļuves slēgšanas pieprasījuma saņemšanas elektronisko sakaru komersants nekavējoties atslēdz lietotāju no elektronisko sakaru tīkla un veic darbības, ko noteicis Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs (piemēram, novirza lietotāja IP adreses vai domēna vārda pieprasījumus uz piekļuves slēgšanas pieprasījumā norādīto vietni).
123.
Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.
124.
Pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām elektronisko sakaru komersants atjauno lietotājam piekļuvi elektronisko sakaru tīklam, ja vien nepastāv objektīvi iemesli piekļuves neatjaunošanai (piemēram, līgumisko attiecību izbeigšanās starp elektronisko sakaru komersantu un lietotāju).
9.Noslēguma jautājumi
125.
Atzīt par spēku zaudējušiem šādus Ministru kabineta noteikumus:
125.1.
Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (Latvijas Vēstnesis, 2015, 149. nr.);
125.2.
Ministru kabineta 2011. gada 1. februāra noteikumus Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība" (Latvijas Vēstnesis, 2011, 25. nr.);
125.3.
Ministru kabineta 2019. gada 15. janvāra noteikumus Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu" (Latvijas Vēstnesis, 2019, 12. nr.);
125.4.
Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (Latvijas Vēstnesis, 2023, 46. nr.);
125.5.
Ministru kabineta 2011. gada 26. aprīļa noteikumus Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem" (Latvijas Vēstnesis, 2011, 69. nr.);
126.
Noteikumi stājas spēkā 2024. gada 17. oktobrī.
127.
Šo noteikumu 11.63., 65. un 66. punktā noteiktās prasības piemēro no 2025. gada 1. jūlija.
128.
Ārpakalpojumu līgumi, kas noslēgti pirms šo noteikumu stāšanās spēkā un neatbilst šajos noteikumos noteiktajām ārpakalpojumu prasībām, var palikt spēkā ne vēlāk kā līdz 2030. gada 1. janvārim.
129.
Šajos noteikumos noteiktās ārpakalpojumu prasības var nepiemērot publiskajiem iepirkumiem, kuri ir uzsākti pirms noteikumu stāšanās spēkā, bet ne vēlāk kā līdz 2030. gada 1. janvārim.
130.
Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 68. punktā minēto prasību piemēro no 2030. gada 1. janvāra.
131.
Kiberincidentu novēršanas institūcijas vadītājs pirmreizēji par kiberincidentu novēršanas institūcijas atbilstību šo noteikumu 90. punktā noteiktajām prasībām informē Nacionālo kiberdrošības centru līdz 2024. gada 31. decembrim.
132.
Nacionālais kiberdrošības centrs līdz 2025. gada 1. jūlijam izstrādā šo noteikumu 64. punktā minētās vadlīnijas.
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds
1.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapa
2.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapa
3.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Paziņojuma par kiberdrošības pārvaldnieku veidlapa
4.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Metodika informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klases noteikšanai pēc tajā elektroniski apstrādājamajiem informācijas resursiem
Drošības klase Pazīmes
Konfidencialitātes klase Integritātes klase Pieejamības klase

A klase

(augstākais riska līmenis,

var būt tikai būtisko pakalpojumu sniedzējam)

(a) informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus;

(a) informācijas resurss ļauj informācijas sistēmā veikt darbības ar personai piederošo nekustamo īpašumu vai transportlīdzekļu īpašumtiesību reģistrāciju;

(a) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 0,1% kalendārā gada ietvaros; 

(b) informācijas resurss satur vismaz 50% Latvijas Republikas valstspiederīgo īpašu kategoriju personas datus;

(b) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību; (b) informācijas resursa nepieejamība var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību;
(c) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu nacionālās drošības interesēm; (c) informācijas resursa integritātes pārkāpums var izraisīt katastrofu; (c) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta A pieejamības klase;

B klase

(vidējais riska līmenis)

(d) informācijas resurss satur ierobežotas pieejamības informāciju vai īpašu kategoriju personas datus; (d) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt subjekta darbību vai tā būtiskā vai svarīgā pakalpojuma sniegšanu; (d) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 1% kalendārā gada ietvaros;
(e) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu Latvijas Republikas, subjekta vai citu subjektu reputācijai (e) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt citu subjektu darbību vai to sniegto būtisko un svarīgo pakalpojumu sniegšanu; (e) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta B pieejamības klase;

C klase

(zemākais riska līmenis)

(f) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde nekaitētu Latvijas Republikas, subjekta vai citu subjektu reputācijai. (f) informācijas resursa integritātes pārkāpums neietekmē subjekta vai citu subjektu pamatfunkciju īstenošanu, būtisko vai svarīgo pakalpojumu sniegšanu. (f) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri drīkst pārsniegt 1% kalendārā gada ietvaros.

 

5.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Kiberinicidentu tipoloģija
Kods Kiberincidenta veids
01 Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs)
02 Ļaundabīgs kods
03 Informācijas vākšana
04 Ielaušanās mēģinājums
05 Ielaušanās
06 Pieejamības traucējums
07 Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana)
08 Krāpniecība
09 Ievainojamība
10 Cits kiberincidenta veids
99 Pārbaude (mācības)
6.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Publisko elektronisko sakaru tīklu kritiskās daļas

1. Par publiskā elektronisko sakaru tīkla (turpmāk – sakaru tīkls) kritisko daļu tiek atzīta tāda daļa, ar kuru pilnībā vai daļēji īsteno vismaz vienu no šādām funkcijām:

1.1. galvenās maršrutēšanas funkcijas un cita veida galalietotāju datplūsmas kontrole vai vadīšana sakaru tīklā, kas var būtiski ietekmēt datplūsmu sakaru tīklā (piemēram, sakaru tīkla vai pakalpojuma sastāvdaļas, ja tās kontrolē vai vada būtisku datplūsmas daļu visā tīklā);

1.2. galalietotāju piekļuves pārvaldība, verifikācija un apstiprināšana, tīkla IKT resursu piešķiršana galalietotājiem un galalietotāju savienojumu un sesiju pārvaldība;

1.3. sakaru tīkla un pakalpojumu funkciju reģistrācija, verifikācija un apstiprināšana;

1.4. infrastruktūras pakalpojumi, kas vajadzīgi sakaru tīkla un pakalpojumu darbībai un tā darbības atbalstam;

1.5. funkcijas, ko izmanto, lai īstenotu saskarnes starp sakaru tīkliem vai pakalpojumiem, tostarp viesabonēšanu;

1.6. funkcijas, kas savstarpēji savieno sakaru tīklus vai pakalpojumus, ja šāda funkcija var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu caur tīklu;

1.7. galvenās drošības funkcijas (piemēram, centralizēta sakaru tīkla, tā funkciju un galalietotāju šifrēšanas un atslēgu pārvaldība);

1.8. tīkla pārvaldības un tīkla uzraudzības sistēmas, ja tās attiecas uz sakaru tīkla kritisko daļu pārvaldību vai uzraudzību vai ja tās citādi var būtiski ietekmēt piekļuvi tīklam vai datplūsmu tīklā, kā arī citas rēķinu sagatavošanas, atbalsta un aizmugursistēmas, kas var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu tīklā;

1.9. funkcijas, kas veic telekomunikāciju pārtveršanu vai uzraudzību tiesībaizsardzības iestāžu vajadzībām;

1.10. virtualizācija, ja to izmanto tādas funkcijas vai pasākuma īstenošanai, ko uzskata par kritisku sakaru tīkla daļu;

1.11. jebkura cita funkcija vai pasākums, ja to īsteno, izmantojot virtualizāciju, ko uzskata par kritisku sakaru tīkla daļu, kas minēta šā pielikuma 1.10. apakšpunktā;

1.12. galvenās funkcijas un pasākumi, kas ļauj piekļūt datiem par sakaru tīklā apstrādātās saskarnes vai galiekārtas ģeogrāfisko atrašanās vietu vai ļauj noteikt atrašanās vietu, izmantojot sakaru tīklu.

2. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 4G tīkla pamatfunkcijām ir pakotņu komutācijas funkcijas tādā apmērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 1. tabulā norādītajām 4G tīkla funkcijām.

 

1. tabula

4G tīkla kritiskās daļas

Nr. p. k. Funkcijas Apraksts
2.1. Mājas abonentu serveris (HSS) Abonentu reģistrs, kurā glabā datus, lai apstrādātu lietotāja sesijas un savienojumus
2.2. Iekārtu identifikatoru reģistrs (EIF) Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces
2.3. Abonementa atrašanās vietas noteikšanas funkcija (SLF) Funkcija, kas uz citām tīkla funkcijām pārraida centrālās datubāzes nosaukumu, kurā ir lietotāja dati (HSS)
2.4. Mobilo sakaru pārvaldības struktūra (MME) Struktūrvienība, kas atbild par galiekārtas savienojumu un mobilitātes pārvaldību
2.5. Apkalpojošā vārteja (SGW) Apkalpojošā vārteja, kas atbild par datplūsmas maršrutēšanu lietotāja līmenī
2.6. Pakešdatu tīkla vārteja (PDN GW) Komutējama pakešu tīkla vārteja starp operatora iekšējo IP tīklu un ārējo IP tīklu
2.7. Paplašināta pakešdatu vārteja (EPDG) Vārteja lietotāju savienošanai ārpus mobilā tīkla
2.8. 3GPP AAA serveris un 3GPP AAA starpniekserveris Serveris un starpniekserveris, kas atbild par lietotāju verifikāciju un apstiprināšanu ārpus mobilā tīkla
2.9. Piekļuves tīkla noteikšana un atlases funkcija (ANDSF) Funkcija, kas kontrolē lietotāja datplūsmu starp mobilo sakaru tīklu un fiksēto sakaru tīklu
2.10. Politikas un maksas noteikumu funkcija (PCRF) Lietotāja saskarnes politika un rēķinu izrakstīšanas funkcija

 

3. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 5G pamattīkla funkcijām ir arī citas funkcijas tādā mērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā.

4. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 2. tabulā norādītajām 5G tīkla funkcijām.

 

2. tabula

5G tīkla kritiskās daļas

Nr. p. k. Funkcijas Apraksts
4.1. Piekļuves un mobilo sakaru pārvaldības funkcija (AMF) Atbild par lietotāju kontroles datplūsmas terminoloģiju, galiekārtu reģistrāciju un mobilo sakaru pārvaldību
4.2. Lietotāja plaknes funkcija (UPF) Atbild par lietotāja datplūsmas maršrutēšanu, vadīšanu un pārvaldību
4.3. Politikas kontroles funkcija (PCF) Atbild par datplūsmas kontroli un piekļuves pārvaldības politikas īstenošanu
4.4. Autentifikācijas servera funkcija (AUSF) Atbild par lietotāju galiekārtu verificēšanu
4.5. Vienota datu pārvaldība (UDM) Atbild par lietotāju piekļuves pārvaldību un šifrēšanas atslēgu izveidi un pārvaldību
4.6. Lietojumprogrammas funkcija (AF) Tiešsaistē atbalsta maršrutēšanas lēmumus
4.7. Tīkla ekspozīcijas funkcija (NEF) un vidējā NEF (I-NEF) Ļauj nodrošināt 5G pamattīkla funkcijas trešajām personām un ārējām lietojumprogrammām
4.8. Tīkla repozitorija funkcija (NRF) Atbild par tīkla pakalpojumu pieejamību, reģistrēšanu un apstiprināšanu
4.9. Tīkla sadaļu atlases funkcija (NSSF) Atbild par tīkla sadalīšanas pakalpojumiem un specifikācijām
4.10. Tīkla sadaļu īpašās autentifikācijas un apstiprināšanas funkcija (NSAAF) Atbild par tīkla sadaļu verifikāciju un apstiprināšanu
4.11. Sesiju pārvaldības funkcija (SMF) Atbild par lietotāja sesiju pārvaldību
4.12. Drošmalu aizsardzības starpniekserveris (SEPP) Starpniekserveris, kas ļauj nodrošināt savienojumu ar citiem tīkliem
4.13. Nestrukturētu datu glabāšanas funkcija (UDSF) Funkcija, ko izmanto, lai glabātu un izgūtu nestrukturētus datus
4.14. Vienotais datu repozitorijs (UDR) Repozitorijs, kas spēj glabāt un izgūt cita starpā abonenta informāciju
4.15. UE radio iespēju pārvaldības funkcija (UCMF) Funkcija, kas glabā un saglabā galiekārtu ID radio iespējas datus
4.16. Funkcija mijiedarbībai ārpus 3GPP tīkla (N3IWF) Funkcija, kas lietotājiem ārpus mobilā tīkla ļauj piekļūt tīkla funkcijām
4.17. 5G iekārtu identifikatoru reģistrs (5G-EIR) Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces
4.18. Pakalpojuma sakaru starpniekserviss (SCP) Maršrutē ziņojumus uz citām tīkla funkcijām
4.19. Tīkla datu analīzes funkcija (NWDAF), izņemot dalīto funkciju, tādā mērā, kādā tā būtiski nekontrolē vai nevada piekļuvi tīklam un datplūsmu tīklā Vāc un analizē datus tīkla kontrolei

 

7.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Publiskā elektronisko sakaru tīkla kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu saraksta veidlapa
8.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Agrīnā brīdinājuma veidlapa
9.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Sākotnējā ziņojuma veidlapa
10.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Progresa ziņojuma veidlapa
11.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Starpposma ziņojuma veidlapa
12.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Galaziņojuma veidlapa
13.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Kiberdrošības auditora reģistrācijas pieteikuma veidlapa
14.
pielikums
Ministru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.
[22-TA-3183 Nr]
Pašvērtējuma ziņojuma veidlapa