Kolonnu paskaidrojumi: Nr. – prasības kārtas numurs, Prasība vai prasību grupa, K - IKT kritiskā infrastruktūra, B - Būtisko pakalpojumu sniedzējs, S - Svarīgais pakalpojumu sniedzējs. B, K, S kolonnās norādīta piemērojamība attiecīgajai subjekta kategorijai: ✓ – obligāti, (R) – piemēro pēc riska novērtējuma (subjekts dokumentē savu izvēli).
| Nr. | Prasību grupa / Prasība | K | B | S |
| 1. | Organizatoriskās procedūras | |||
| 1.1. |
Serveru infrastruktūra un tehnoloģiskās infrastruktūras mezgli, tai skaitā fiziskā drošība, tiek pastāvīgi uzraudzīti un ir nodrošināti trauksmes signāli par notikumiem, atbilstoši subjekta definētajiem trauksmes paziņojumu nosacījumiem. Tehnoloģiskās infrastruktūras mezgli - dzesēšanas sistēmas ārējie bloki, sadalnes telpas/zonas no kurām tiek nodrošināta serveru telpas un serveru telpas tehnoloģisko mezglu elektrobarošana, rezerves elektrobarošanas elementi (piemēram, dīzeļģeneratori, UPS elementi u.c.). |
✓ | (R) | (R) |
| 1.2. | Apstiprināts saraksts ar personām, kurām ir tiesības piekļūt serveru infrastruktūrai, tīkla infrastruktūrai un tehnoloģiskās infrastruktūras mezgliem. | ✓ |
✓ |
✓ |
| 1.3. | Uzturēts apmeklētāju reģistrs serveru infrastruktūras telpā iekļuvušajām personām. | ✓ | ✓ | ✓ |
| 1.4. | Ir aktuāls rīcības plāns kiberapdraudējumu un kiberincidentu gadījumiem, tai skaitā serveru infrastruktūras vai tīkla infrastruktūras fiziskiem bojājumiem, mikroklimata ietekmei, elektroapgādes traucējumiem un apsardzes režīma pārkāpumiem, kā arī citiem riskos identificētajiem vides un tehniskajiem apdraudējumiem. | ✓ |
✓ |
✓ |
| 1.5. | Nodarbinātie, kuri atbild par subjekta IKT infrastruktūras uzturēšanu, ir iepazīstināti ar rīcības plānu kiberapdraudējumu un kiberincidentu gadījumiem. |
✓ | ✓ | ✓ |
| 1.6. | Nodarbinātajiem, kuri atbild par subjekta IKT infrastruktūras uzturēšanu, ir pieejama kontaktinformācija, kas nepieciešama rīcības plāna kiberapdraudējumu un kiberincidentu gadījumiem izpildei. | ✓ | ✓ | ✓ |
| 2. | Piekļuves kontrole un apsardzes signalizācija | |||
| 2.1. | Iekļūšanai serveru infrastruktūras telpā izmanto vismaz divu faktoru identitātes pārbaudes risinājumu vai autentifikācijas mehānismu. | ✓ | (R) | (R) |
| 2.2. | Iekļūšanai tehnoloģiskās infrastruktūras mezglu telpās ārpus serveru infrastruktūras telpas izmanto vismaz divu faktoru identitātes pārbaudes risinājumu vai autentifikācijas mehānismu. | ✓ | (R) | (R) |
| 2.3. | Piekļuves kontroles sistēma, šī pielikuma 2.1. un 2.2. punktā minētajiem elektroniskajiem autentifikācijas mehānismiem, nodrošina piekļuves vēstures informācijas uzkrāšanu (tai skaitā par nesekmīgiem piekļuves mēģinājumiem) vismaz par pēdējām 90 dienām. | ✓ |
(R) |
(R) |
| 2.4. | Serveru infrastruktūras telpā un tehnoloģiskās infrastruktūras mezglu telpā nodrošināta apsardzes signalizācija, kas aktivizējas nesankcionētas piekļuves gadījumā. |
✓ | ✓ | (R) |
| 2.5. | Serveru infrastruktūras telpas un tehnoloģiskās infrastruktūras mezglu fiziskā drošība tiek pastāvīgi uzraudzīta un ir nodrošināta trauksmes signālu nosūtīšana atbildīgajām personām. |
✓ | ✓ | (R) |
| 3. | Mikroklimata prasības | |||
| 3.1. | Serveru infrastruktūras telpas dzesēšanas sistēmas rezervēšana nodrošināta vismaz N+1 konfigurācijā. | ✓ |
✓ |
(R) |
| 3.2. | Temperatūra serveru infrastruktūras telpā (statņu aukstajā zonā) uzturēta 15–27 °C, ja ražotājs neparedz citādi. | ✓ |
✓ |
(R) |
| 3.3. | Relatīvais gaisa mitrums serveru infrastruktūras telpā uzturēts 30–70 % robežās. | (R) | (R) | (R) |
| 3.4. | Serveru infrastruktūras telpu mikroklimats tiek pastāvīgi uzraudzīts un ir nodrošināti trauksmes signāli par notikumiem, atbilstoši subjekta definētajiem trauksmes paziņojumu nosacījumiem. |
✓ | ✓ | (R) |
| 4. | Elektroapgādes prasības | |||
| 4.1. | Serveru infrastruktūras telpai izveidots elektroapgādes risinājums ar vismaz diviem neatkarīgiem pievadiem, viens pieslēgts nepārtrauktās elektroapgādes sistēmai (UPS). |
✓ |
✓ |
(R) |
| 4.2. | Nepārtrauktās elektroapgādes sistēma (UPS) nodrošina vismaz 10 minūšu autonomu darbību serveru infrastruktūrai. | ✓ | ✓ | (R) |
| 4.3. | Nepārtrauktās elektroapgādes sistēma (UPS) darbības parametri un avārijas tiek uzraudzītas vai regulāri pārbaudītas atbilstoši ražotāja instrukcijām. | ✓ |
✓ |
(R) |
| 4.4. | Serveru infrastruktūras telpai un ar serveru infrastruktūras telpu saistītajiem tehnoloģiskās infrastruktūras mezgliem izveidots rezerves elektroapgādes risinājums, kas ir pieslēgts vai pastāvīgi sagatavots operatīvai pieslēgšanai serveru infrastruktūras un tehnoloģiskās infrastruktūras mezglu elektroapgādes nodrošināšanai. | ✓ | ✓ | (R) |
| 4.5. | Rezerves elektroapgādes risinājums nodrošina vismaz 12 stundu autonomu darbību. | ✓ |
✓ |
(R) |
| 4.6. | Elektroapgādes kabeļi, sadalnes un citi elementi marķēti atbilstoši subjekta noteiktajai kārtībai. Marķējumi ir skaidri salasāmi, drukāti, noturīgi pret klimatiskajiem apstākļiem un mitrumu. | ✓ | ✓ | (R) |
| 4.7. | Elektroapgādes kabeļi koplietošanas zonās aizsargāti pret nejaušu bojāšanu. | ✓ | ✓ | (R) |
| 5. | Pasīvās fiziskās drošības prasības | |||
| 5.1. | Serveru infrastruktūras telpas ārpusē esošie tehnoloģiskās infrastruktūras mezgli ir aizsargāti ar fiziskiem šķēršļiem, kas fiziski ierobežo neautorizētu personu piekļūšanu (piemēram, žogs). |
✓ |
(R) |
(R) |
| 5.2. |
Serveru infrastruktūras telpā nav logu vai tie ir aizsargāti pret ielaušanos, pirotehniku un citiem apdraudējumiem. Ja vēsturiski serveru telpā logi ir un tos nav iespējams demontēt (piemēram, ēkas vēsturiskais vai aizsargājamais statuss to nepieļauj), tie ir aizsargāti pret ielaušanos, pirotehniku un citiem apdraudējumiem (piemēram, uzstādot metāla vairogus). |
✓ |
(R) |
(R) |
| 5.3. | Serveru infrastruktūras telpā nav ūdens un kanalizācijas cauruļvadi, apkures radiatori (šķidruma) un citi šķidrumu radoši elementi, kas nav saistīti ar serveru infrastruktūras darbības nodrošināšanu. Ja serveru infrastruktūras telpā ir šķidruma avoti, no kuriem nav iespējams izvairīties (piemēram, tos demontējot) ir izveidots cits risinājumus šķidrumu noplūdes riska mazināšanai. | ✓ |
(R) |
(R) |
| 6. | Videonovērošanas prasības | |||
| 6.1. | Serveru infrastruktūras telpā un ārpus tās esošajiem tehnoloģiskās infrastruktūras mezgliem nodrošināta videonovērošana 24/7 režīmā. | ✓ | (R) | (R) |
| 6.2. |
Serveru infrastruktūras telpā novēro gan ieeju/izeju, gan telpā veiktās darbības. Identificēšana ar videonovērošanas sistēmas palīdzību nodrošināta pirms iekļūšanas serveru telpā un arī serveru telpā. Videonovērošanas sistēma fiksē personu veiktās darbības serveru telpā. |
✓ | (R) | (R) |
| 6.3. |
Serveru infrastruktūras telpā iekļuvušās personas iespējams identificēt. EN 62676-4 DORI līmenis – identification. |
✓ | (R) | (R) |
| 6.4. |
Iespējams noteikt pie kuras statnes persona darbojas. EN 62676-4 DORI līmenis - recognition. |
✓ | (R) | (R) |
| 6.5. |
Iespējams noteikt personas darbības tehnoloģiskās infrastruktūras mezgla novērošanas zonā. EN 62676-4 DORI līmenis - recognition. |
✓ | (R) | (R) |
| 6.6. | Videonovērošanas sistēmas ierakstus glabā vismaz par pēdējām 30 dienām. | ✓ | (R) | (R) |
| 7. | Datu pārraides tīkla prasības | |||
| 7.1. |
Serveru infrastruktūrai nodrošināti vismaz divi neatkarīgi datu pārraides pieslēgumi. Ir nodrošināta nepārtraukta interneta pieejamība viena datu pārraides pieslēguma avārijas gadījumā. |
✓ | (R) | (R) |
| 7.2. | Tīkla infrastruktūras tehniskie līdzekļi, kas nodrošina serveru infrastruktūras pieslēgumu datu pārraides pieslēgumam, ir rezervēti vismaz N+1 konfigurācijā. | ✓ | (R) |
(R) |
| 7.3. | Datu pārraides kabeļu līnijas, kas šķērso koplietošanas telpas, ir aprīkotas ar mehānisku aizsardzību, lai novērstu nejaušu bojāšanu. | ✓ |
✓ |
✓ |
| 7.4. | Datu pārraides kabeļi, kuri uzstādīti paralēli elektrokabeļiem izvietoti attālumā, kādu nosaka Noteikumi par Latvijas būvnormatīvu LBN 262-15 "Elektronisko sakaru tīkli". | ✓ |
✓ |
(R) |
| 7.5. |
Datu pārraides kabeļi ir marķēti atbilstoši subjekta noteiktajai kārtībai. Marķējumi ir skaidri salasāmi, drukāti, noturīgi pret klimatiskajiem apstākļiem un mitrumu. |
✓ | ✓ | ✓ |
| 7.6. |
Tīkla infrastruktūras savienojumi serveru infrastruktūras telpā ir dokumentēti. Šai informācijai jābūt izmantojamai tīkla infrastruktūras pārvaldībā, uzturēšanā (atvieglo tīkla attālināto pārvaldību, mazina riskus, kas saistīti ar nezināmu vai nekorekti dokumentētu fizisko infrastruktūru). |
✓ | ✓ | ✓ |
| 8. | Ugunsdrošības prasības | |||
| 8.1. | Serveru infrastruktūras telpa atbilst vismaz IV vai V lietošanas veida telpu grupai saskaņā ar būvnormatīvu klasifikāciju. | ✓ | ✓ | ✓ |
8.2 |
Serveru infrastruktūras telpa ir ugunsdroši nošķirta no citām telpām ar būvkonstrukcijām, kuru ugunsnoturības pakāpe nav zemāka par U2 un kuru ailu aizpildījumu ugunsizturības robeža nav zemāka par EI 30. | ✓ | ✓ | ✓ |
| 8.3. | Aktivizējoties ugunsgrēka trauksmes signālam automātiskajā ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmā serveru infrastruktūras telpās, šis signāls tiek nodots atbildīgajiem nodarbinātajiem. | ✓ | ✓ | ✓ |
| 8.4. | Serveru infrastruktūras telpa ir aprīkota tikai ar tādiem ugunsdzēsības līdzekļiem, kuru izmantošana nerada risku elektroniskā aprīkojuma bojājumam. | ✓ | ✓ | ✓ |
| 8.5. | Serveru infrastruktūras telpa ir aprīkota ar automātiska gāzes dzēšanas vai skābekļa reducēšanas sistēmu, ja serveru infrastruktūras telpas jaudas blīvums pārsniedz 20 kW uz 10 m² platību. | ✓ | (R) | (R) |
Vispārīgā piezīme. Šajā pielikumā ietvertās prasības veido audita kontrolsarakstu. Veicot atbilstības pārbaudi, auditors pārbauda, pārliecinās un izvērtē tālāk norādīto prasību izpildi un fiksē secinājumus audita atzinumā.
I. Organizatoriskās prasības
1. Personāla apmācība
Nr. |
Prasība |
Pārbaude |
1.1. |
Ir noteikta un ieviesta darbinieku drošības apmācību kārtība. Apmācības drošībā (krīžu vadībā — datu centra infrastruktūras nepārtrauktības un drošības nodrošināšana, reaģējot uz fiziskiem, loģiskiem vai organizatoriskiem incidentiem; un datu aizsardzībā — klientu datu, operatīvo infrastruktūras datu un drošības konfigurāciju datu aizsardzība) tiek veiktas ne retāk kā reizi sešos mēnešos. |
Dokumentu pārbaude: apmācību kārtība/politika, gada plāns un grafiks. Pārbaudīt faktiskos pierādījumus par periodiskumu (≥ 1x/6 mēn.). Pierādījumi: programmas, dalībnieku saraksti/žurnāli, e-mācību izdrukas, sertifikāti. |
1.2. |
Drošības apmācībā iekļauti praktiski incidentu simulācijas treniņi (piemēram, APT, datu noplūde). |
Pārbaudīt treniņu scenārijus, mācību plānus un norises protokolus. Pārliecināties, ka treniņi tiešām notikuši (datumi, dalībnieki, mērķi) un sagatavots pēctreniņa ziņojums. Pierādījumi: scenāriji (injects), apmeklējuma saraksti, foto/ekrānattēli, pēctreniņa ziņojums. |
1.3. |
Treniņu rezultāti ir analizēti; noteikti un īstenoti koriģējošie pasākumi. |
Pārskatīt pēctreniņa analīzes un lēmumus (mācības, CAPA). Pārliecināties par pasākumu izpildi un slēgšanu (atbildīgie, termiņi, statusi). Pierādījumi: CAPA žurnāls, uzdevumu izsekošana (ticketing), politiku/procedūru grozījumi, atkārtotu pārbaužu ieraksti. |
2. Fiziskā piekļuves kontrole
Nr. |
Prasība |
Pārbaude |
2.1. |
Datu centra zonas (tai skaitā perimetrs līdz ēkai) ir noteiktas drošības politikā un klasificētas vismaz trīs līmeņos: zema, vidēja, augsta drošības zona. Zonu klasifikācija un perimetra apraksts ir dokumentēti. |
Dokumentu pārbaude: drošības politika, zonējuma shēma, telpu saraksts, perimetra apraksts. Vietas apskate, vai faktiskā marķēšana un piekļuves punkti atbilst dokumentiem. (Pierādījumi: politikas/shēmu kopijas, foto, marķējuma paraugi.) |
2.2. |
Piekļuve tiek nodrošināta atbilstoši zonas drošības līmenim: |
Politiku un ACS (Access Control System) iestatījumu pārbaude; izlases testis vairākās zonās. (Pierādījumi: piekļuves politikas, ACS konfigurāciju ekrānattēli.) |
2.2.1. |
zemas drošības zona — vismaz personas identifikācija vai vienfaktora autentifikācija. |
Apskates/intervijas pie ieejas punktiem; notikumu žurnālu pārbaude par identifikācijas/1FA pielietojumu. (Pierādījumi: žurnāla izraksti, instrukcijas dežurantam.) |
2.2.2. |
vidējas drošības zona — vismaz divfaktoru autentifikācija (piem., RFID + PIN vai biometriskie dati). |
ACS iestatījumu pārbaude uz 2FA piespiešanu; izlases piekļuves notikumu ieraksti rāda 2FA. (Pierādījumi: konfigurāciju ekrānattēli, žurnāla ieraksti ar 2FA.) |
2.2.3. |
augstas drošības zona — vismaz trīsfaktoru autentifikācija (piem., RFID + PIN + biometriskie dati). |
ACS/biometrikas iestatījumu pārbaude uz 3FA; izlases žurnālu pārbaude; (ja iespējams) kontrolēts praktisks tests. (Pierādījumi: konfigurācijas, žurnāli, testa protokols.) |
2.3. |
Elektroniskās autentifikācijas dati ir šifrēti, glabāti un aizsargāti atbilstoši normatīvajos aktos par minimālajām kiberdrošības prasībām noteiktajām prasībām attiecīgajai drošības kategorijai. |
Politiku, sistēmu iestatījumu un arhitektūras aprakstu pārbaude; datu bāzes/ACS šifrēšanas parametri; paroļu/biometrijas glabāšanas mehānismi. (Pierādījumi: konfigurāciju izdrukas, tehniskā dokumentācija, atbilstības matrica.) |
2.4. |
Visi fiziskās piekļūšanas notikumi un piekļuves mēģinājumi ir reģistrēti un glabāti vismaz 18 mēnešus. |
Žurnālu/žurnāla ierakstu uzglabāšanas termiņu iestatījumu pārbaude; parauga ieraksta vecuma pārbaude (>18 mēn. robeža). (Pierādījumi: uzglabāšanas termiņu politikas, žurnālu izgūšanas ekrānattēli ar datumiem.) |
2.5. |
Piekļuves notikumu ierakstus pārskata ne retāk kā reizi mēnesī. Pārskatīšanu veic kiberdrošības pārvaldnieks vai pilnvarota persona. Pārskatīšanas fakts ir dokumentēts. |
Procedūras pārbaude; pārskatu/review pierakstu esamība katram mēnesim; paraksti un datumi. (Pierādījumi: mēneša pārskata žurnāls, kontroles saraksts, atbildīgās personas apstiprinājums.) |
2.6. |
Nodrošināta transportlīdzekļu iebraukšanas/izbraukšanas kontrole apsardzes perimetrā. Reģistrē vismaz reģistrācijas numuru, iebraukšanas/izbraukšanas laiku un saistīto personu. |
Apskates/intervijas pie vārtiem; žurnāla/parakstu grāmatas vai elektronisko ierakstu pārbaude; izlases verifikācija ar video/ACS datiem. (Pierādījumi: žurnāla izraksti, sistēmas ekrānattēli, video laika zīmogi.) |
3. Darbības nepārtrauktības plāns
| Nr. | Prasība |
Pārbaude |
3.1. |
Ir aktuāls darbības nepārtrauktības plāns ar riska analīzi, atkopšanās stratēģijām un datu centra darbības atjaunošanas pasākumiem (→ sk. 19.). |
Dokumentu pārbaude: plāna versija, apstiprinājums, darbības joma, risku analīze, atjaunošanas stratēģijas un procedūras. Pārliecināties, ka plāns aptver kritiskos pakalpojumus un atkarības. Pierādījumi: plāna kopija, riska analīze, atjaunošanas procedūras. |
3.2. |
Darbības nepārtrauktības plāna pārbaudes notiek ne retāk kā reizi sešos mēnešos, aptverot vismaz 3.2.1.–3.2.7. |
Dokumentu pārbaude: gada/gada pusgada testu grafiks. Pārskatīt testu protokolus un pēctestu ziņojumus. Pierādījumi: grafiks, protokoli, dalībnieku saraksti, secinājumi. |
3.2.1. |
personāla lomu sadalījuma pārbaude; darbinieki zina un izprot savu lomu plāna īstenošanā un incidentu vadībā. |
Intervijas; uzdevumu matricas un kontaktu sarakstu pārbaude; dežūru grafiki. Pierādījumi: lomu/atbildību matrica, kontaktu saraksts, apmācību ieraksti. |
3.2.2. |
elektroapgādes nepārtrauktības pārbaude: testē nepārtrauktās barošanas sistēmas (UPS), ģeneratoru un rezerves enerģijas avotu funkcionalitāti (→ sk. 8.). |
Testa plāni un protokoli; pārslēgšanās žurnāli; ģeneratoru un UPS testu ieraksti. Pierādījumi: protokoli, žurnālu izraksti, iekārtu ekrānattēli. |
3.2.3. |
dzesēšanas sistēmu nepārtrauktības pārbaude (→ sk. 9.). |
Testa plāni; trauksmju/robežvērtību sasniegšanas brīdinājumu ieraksti; dzesēšanas iekārtu darbības protokoli. Pierādījumi: protokoli, monitoringa izdrukas, žurnāli. |
3.2.4. |
tīkla infrastruktūras rezerves ceļu un datu pārraides sistēmu pārbaude; primārā tīkla atteices gadījumā aktivizējas rezerves sakaru kanāli (→ sk. 10.). |
Praktiska pārslēgšanās pārbaude (plānots tests); maršrutēšanas/pārslēgšanās žurnāli; topoloģijas atbilstība. Pierādījumi: testa protokoli, BGP/Maršrutēšanas žurnāli, shēmas. |
3.2.5. |
ugunsdrošības sistēmas un avārijas reakcijas pārbaude, ieskaitot ugunsgrēka simulāciju un atkopšanās procedūras (→ sk. 15.). |
Testa plāni; signalizācijas un dzēšanas sistēmu testu ieraksti; evakuācijas un darbību protokoli. Pierādījumi: protokoli, sistēmu žurnāli, apmācību ieraksti. |
3.2.6. |
drošības incidentu un fiziskās drošības pārbaude, ieskaitot piekļuves kontroles un videonovērošanas sistēmu pārbaudes (→ sk. 11. un 14.). |
ACS un videonovērošanas testu protokoli; piekļuves noteikumu pārbaude; izlases žurnāli. Pierādījumi: konfigurāciju izdrukas, žurnālu izraksti, testa apraksti. |
3.2.7. |
datu centra pārvaldības informācijas sistēmu atjaunošanas procedūru testēšana, simulējot datu un darbības atjaunošanas plānus (→ sk. 19.). |
Atjaunošanas testa plāni; atjaunošanas laiku un datu atjaunošanas mērķu (RTO/RPO) sasniegšanas pieraksti. Pierādījumi: testa protokoli, laika mērījumi, atjaunoto datu pārbaudes ieraksti. |
3.3. |
Pārbaudes rezultāti ir dokumentēti; konstatētās nepilnības ir analizētas un novērstas. |
Pārskatīt pēctestu ziņojumus un koriģējošo pasākumu plānu; pārliecināties par pasākumu izpildi un slēgšanu (atbildīgie, termiņi, statuss). Pierādījumi: ziņojumi, uzdevumu saraksts, statusa pārskati. |
4. Incidentu pārvaldība
Nr. |
Prasība |
Pārbaude |
4.1. |
Tiek uzturēts incidentu reģistrs (apraksts, ietekme, novēršana, laiki, lēmumi) (→ sk. arī 18.). |
Dokumentu pārbaude: incidentu pārvaldības kārtība, izmantotā sistēma (piem., servisa pieteikumu rīks). Paraugu pārbaude: izlases kārtā pārskatīt pēdējo 6–12 mēnešu incidentu ierakstus. Pārliecināties, ka katram ierakstam ir: apraksts, ietekmes norāde, novēršanas pasākumi, laika atzīmes (konstatēšana/reakcijas sākums/novēršana) un pieņemtais lēmums. Ja incidents skāris pieejamību, pārbaudīt, ka ietekmes ilgums atspoguļots pieejamības uzskaitē (→ 16.2.2.). Pierādījumi: izdrukas/ekrānattēli no reģistra, atskaites, CAPA ieraksti. |
4.2. |
Incidentu reģistrs tiek regulāri pārskatīts (ne retāk kā reizi nedēļā vai atbilstoši riskam noteiktā biežumā); pārskatīšanas fakts ir dokumentēts. |
Pārskatīšanas grafika un atbildīgo noteikšana; pārskatīšanas protokoli/pieraksti ar datumu un parakstu; konstatēto problēmu un uzdevumu saraksts ar statusu. Paraugu pārbaude: pēdējo 3 mēnešu pārskatīšanas pieraksti atbilst noteiktajam biežumam. Pierādījumi: protokoli, uzdevumu saraksti (ticketu izraksti), atbildīgo apstiprinājumi. |
5. Dokumentācija
Nr. |
Prasība |
Pārbaude |
5.1. |
Datu centra dokumentācija ir strukturēta tematiskās sadaļās (5.1.1.–5.1.12.), un tiek uzturēts dokumentu reģistrs ar katras sadaļas dokumentu sarakstu (nosaukums, versija, apstiprinājuma datums, dokumenta īpašnieks, nākamās pārskatīšanas datums). |
Pārbaudīt, ka dokumentu reģistrā ir iekļautas visas 5.1.1.–5.1.12. sadaļas un ka uzskaitītie dokumenti pastāv. Pārskatīt piekļuvi aktuālajām versijām un arhīvu esamību. (Pierādījumi: dokumentu reģistrs, saites/ekrānattēli uz dokumentiem, arhīva ieraksti.) |
5.1.1. |
pārvaldība un dokumentu kontrole — dokumentu pārvaldības kārtība (versiju kontrole, īpašnieks, apstiprināšana, pārskatīšanas cikls) un atbildības; |
Pārbaudīt dokumentu pārvaldības politiku/procedūru; pārliecināties, ka tā atbilst reģistrā norādītajam (5.1) un tiek piemērota praksē. (Pierādījumi: politika/procedūra, apstiprinājumi, piemēru pārbaude vairākām dokumentu vienībām.) |
5.1.2. |
riska pārvaldība un atbilstība — riska novērtēšanas metodika un rezultāti; atbilstības matrica pret normatīvajiem aktiem un šī pielikuma prasībām; |
Pārskatīt pēdējā riska novērtējuma materiālus, metodiku un akceptu; pārbaudīt atbilstības matricu (prasība → kontrole → pierādījums). (Pierādījumi: riska novērtējums, atbilstības matrica.) |
5.1.3. |
fiziskā drošība — drošības politika, zonējuma shēma un telpu/perimetra apraksts; piekļuves kontroles kārtība (tai skaitā tiesību pārskatīšana); apmeklētāju/transportlīdzekļu plūsma; videonovērošanas kārtība; (→ 2.; 11.; 14.) |
Pārbaudīt dokumentus un vietas apskati: zonējuma atbilstība, piekļuves noteikumi, pārskatīšanas biežums, videonovērošanas zonas. (Pierādījumi: politika, shēmas, procedūras, žurnāli.) |
5.1.4.1. |
elektroapgāde — UPS/ģeneratoru shēmas; testi un uzturēšanas grafiki/protokoli; degvielas nodrošinājums; (→ 8.) |
Pārbaudīt shēmas, grafikus, testu protokolus; aplūkot degvielas rezerves un piegādes kārtību. (Pierādījumi: shēmas, protokoli, līgumi.) |
5.1.4.2. |
dzesēšana — konfigurācijas, robežvērtības/uzraudzība; uzturēšana un testu protokoli; (→ 9.) |
Pārbaudīt konfigurāciju aprakstus, monitoringa iestatījumus, uzturēšanas/testu protokolus. (Pierādījumi: dokumentācija, brīdinājumu iestatījumi, protokoli.) |
5.1.4.3. |
tīkls un savienojumi — topoloģijas (fiziskā/loģiskā), segmentācija, rezerves ceļi, automātiskā pārslēgšanās; (→ 10.) |
Pārskatīt topoloģijas shēmas, segmentācijas aprakstu, BGP/rezerves ceļu iestatījumus, pārslēgšanās testu protokolus. (Pierādījumi: shēmas, konfigurācijas, testu ieraksti.) |
5.1.4.4. |
ugunsdrošība un noplūžu noteikšana — sistēmu apraksti, testu grafiki un protokoli, avārijas rīcības kārtība; (→ 12.; 15.) |
Pārbaudīt procedūras, testu protokolus, trauksmju pārraidi un atbildīgo sarakstus. (Pierādījumi: protokoli, plāni, žurnāli.) |
5.1.5. |
uzraudzība un mērījumi — monitoringa un trauksmju iestatījumi; pieejamības mērīšanas un aprēķina kārtība; (→ 16.; 21.) |
Pārbaudīt monitoringa iestatījumus, trauksmju sliekšņus, pieejamības aprēķina metodiku un atskaites. (Pierādījumi: iestatījumu izdrukas, atskaišu paraugi.) |
5.1.6. |
incidentu un problēmu pārvaldība — incidentu pārvaldības kārtība; incidentu reģistra uzturēšana; eskalācijas un saziņa; problēmu (cēloņanalīzes) kārtība; (→ 4.; 18.) |
Pārbaudīt politikas/procedūras, reģistra ierakstus, eskalācijas ķēdes, pēctestu ziņojumus. (Pierādījumi: procedūras, reģistra izdrukas, CAPA ieraksti.) |
5.1.7. |
darbības nepārtrauktība un atjaunošana (BCP/DRP) — RTO/RPO/MTO; testu plāni/grafiki un pārskati; (→ 3.; 19.) |
Pārbaudīt plānus, testu grafikus un protokolus; pārskatīt mērķu sasniegšanu (RTO/RPO). (Pierādījumi: plāni, protokoli, mērījumi.) |
5.1.8. |
izmaiņu un uzturēšanas pārvaldība — izmaiņu pieprasīšana/akcepts; plānoto darbu paziņošana; atteices/atgriešanās plāni; (→ 17.; 20.) |
Pārskatīt izmaiņu procesu, paziņojumu paraugus klientiem, atcelšanas/atgriešanās plānus. (Pierādījumi: CAB protokoli, paziņojumi, plāni.) |
5.1.9. |
aktīvu un konfigurāciju pārvaldība — CMDB/aktīvu saraksts, konfigurāciju apraksti; marķēšanas standarts (tai skaitā kabeļu marķēšana), rezerves daļas; (→ 10.3.4.) |
Pārbaudīt CMDB/aktīvu sarakstu atbilstību faktiskajam stāvoklim; kabeļu marķējumu un identifikāciju vietā. (Pierādījumi: saraksti, foto, shēmas.) |
5.1.10. |
datu nesēju dzīves cikls — iegāde, lietošana, glabāšana, transportēšana, atkārtota izmantošana, iznīcināšana; iznīcināšanas dokumentēšana; (→ 24.) |
Pārskatīt dzīves cikla kārtību, iznīcināšanas protokolus un sertifikātus; izlases pārbaude par pēdējiem gadījumiem. (Pierādījumi: procedūras, protokoli, sertifikāti.) |
5.1.11. |
pakalpojumu līmeņi un saziņa ar klientiem — SLA; pieejamības/incidentu atskaites; paziņošanas kārtība; (→ 20.; 22.) |
Pārbaudīt SLA tekstus, atskaišu paraugus, paziņošanas termiņus/kanālus; salīdzināt ar faktiskajām atskaitēm. (Pierādījumi: līgumi, atskaites, paziņojumi.) |
5.1.12. |
ierakstu (žurnālu) saglabāšanas kārtība — vienots žurnālu un testu rezultātu saglabāšanas termiņu grafiks (piem., piekļuves notikumi — 18 mēn.; monitorings — 12 mēn.; ugunsdrošības pārbaudes — ≥3 gadi); atbildība par saglabāšanu, integritāti un pieejamību. (→ 2.4; 21.3; 15.2) |
Pārbaudīt saglabāšanas grafiku un atbilstību sistēmu iestatījumos; pārskatīt parauga ierakstus, kas pārsniedz noteikto termiņu; ja attiecināms — nemaināmības iestatījumus un piekļuves tiesības. (Pierādījumi: politika/grafiks, ekrānattēli, paraugi.) |
5.2. |
Visi 5.1. punktā minētie dokumenti tiek pārskatīti un atjaunināti ne retāk kā reizi divpadsmit mēnešos vai pēc būtiskām izmaiņām; dokumentu reģistrā norādīti aktuālās versijas dati, īpašnieks un nākamās pārskatīšanas datums; iepriekšējās versijas ir arhivētas. |
Pārbaudīt pēdējo pārskatīšanas/apstiprināšanas datumus, izmaiņu žurnālu un izplatīšanas kārtību; pārliecināties par piekļuvi aktuālajām versijām un arhīvu esamību. (Pierādījumi: reģistrs, izmaiņu žurnāli, piekļuves norādes.) |
6. Personāla drošības pārbaudes
Nr. |
Prasība |
Pārbaude |
6.1. |
Darbinieku drošības pārbaudes tiek veiktas pirms darbinieka pieņemšanas darbā un turpmāk ne retāk kā reizi divos gados. |
Pārbaudīt personāla drošības pārbaužu kārtību un grafiku. Pārskatīt izlases kārtā personu lietas vai sistēmas ierakstus par veikto pārbaudi un tās datumu. Pārliecināties par atbilstību noteiktajam biežumam. Pierādījumi: kārtība/politika, pārbaužu reģistrs, paraugu izdrukas ar datumiem. |
6.2. |
Darbinieku drošības pārbaudes attiecas uz šādām kategorijām: |
|
6.2.1. |
darbinieki ar fizisku vai plānotu fizisku piekļuvi datu centra infrastruktūrai (datu centra klientu aparatūras telpas, drošības vadības telpas, augstas drošības zonas); |
Pārbaudīt, ka minētajiem darbiniekiem ir veikta drošības pārbaude. Salīdzināt piekļuves tiesību sarakstus ar pārbaužu reģistru. Pierādījumi: piekļuves saraksti, pārbaužu reģistrs. |
6.2.2. |
darbinieki ar loģisku vai plānotu loģisku piekļuvi datu centra pārvaldības/uzraudzības sistēmām; |
Pārbaudīt, ka minētajiem darbiniekiem ir veikta drošības pārbaude. Salīdzināt lietotāju/administratora sarakstus ar pārbaužu reģistru. Pierādījumi: lietotāju saraksti, pārbaužu reģistrs. |
6.2.3. |
drošības personāls ar pastāvīgām piekļuves tiesībām augstas drošības zonām. |
Pārbaudīt, ka drošības personālam ir veikta drošības pārbaude. Salīdzināt pastāvīgo piekļuves tiesību sarakstu ar pārbaužu reģistru. Pierādījumi: piekļuves saraksti, pārbaužu reģistrs. |
6.3. |
Pirms nodarbināšanas ir pārbaudīta profesionālā atbilstība un sodāmības neesamība atbilstoši piemērojamajam regulējumam. |
Pārbaudīt pirmsnodarbināšanas pārbaužu kārtību un paraugus (profesionālās atbilstības apliecinājumi, sodāmības neesamības pārbaudes kārtība). Pārliecināties, ka pastāv tiesiskais pamats datu apstrādei un ka dokumenti ir noformēti. Pierādījumi: procedūra, paraugu ieraksti/personu lietu izraksti, atbildīgo apstiprinājumi. |
6.4. |
Regulārā pārskatīšanā vērtē vismaz piekļuves tiesību atbilstību amata pienākumiem, drošības politikas ievērošanu un apmācību apmeklējumu. |
Pārskatīt periodisko pārskatīšanu pierakstus (piemēram, piekļuves tiesību pārskatīšanas un apstiprināšanas protokoli, disciplīnas pārkāpumu/noviržu uzskaiti, apmācību reģistrus). Pārliecināties, ka konstatētie trūkumi ir novērsti un ir atzīmes par slēgšanu. Pierādījumi: atkārtotas sertifikācijas audits un sertifikāta atjaunošana (sertifikāta kopija, audita ziņojum), apmācību reģistri, koriģējošo pasākumu ieraksti. |
II. Tehniskās prasības
7. Klimata kontrole
Nr. |
Prasība |
Pārbaude |
7.1. |
Datu centra telpās tiek uzturēti iekārtu ražotāja noteiktie temperatūras režīmi, un “aukstajā koridorā” temperatūra nepārsniedz +27 °C. |
Pārbaudīt sensoru/monitoringa iestatījumus un vēsturiskos datus (robežvērtības, trauksmes). Vietas apskate: izlases mērījumi aukstajos/karstajos koridoros. Pierādījumi: monitoringa ekrānattēli/atskaites, temperatūras žurnāli, konfigurāciju izdrukas. |
7.2. |
Tiek uzturēti iekārtu ražotāja noteiktie relatīvā mitruma režīmi; nodrošināti pasākumi pret kondensāciju un statisko elektrību. |
Pārbaudīt mitruma uzraudzību un robežvērtības, apskatīt mitrināšanas/atmitrināšanas risinājumus un ESD pasākumus (grīdas, zemējums, ESD brīdinājumi). Pierādījumi: monitoringa dati, tehniskā dokumentācija, uzturēšanas protokoli, ESD kontroles apraksti. |
8. Enerģijas pārvaldība
Nr. |
Prasība |
Pārbaude |
8.1. |
Datu centram ir nodrošināta nepārtraukta elektroapgāde (piemēram, nepārtrauktās barošanas sistēma (UPS)). |
Pārbaudīt shēmas un jaudas aprēķinus; apskatīt UPS konfigurāciju un veselības atskaites. Pierādījumi: shēmas, UPS pārskati, trauksmju žurnāli. |
8.2. |
Nodrošināts rezerves elektroapgādes risinājums; degvielas krājumi vismaz 24 stundu autonomai darbībai; nodrošināti savlaicīgas degvielas piegādes risinājumi. |
Pārbaudīt ģeneratoru specifikācijas un degvielas apjomu uzskaiti; līgumus/piekrišanas vēstules par piegādi un piegādes plānu. Pierādījumi: degvielas žurnāli, piegādes līgumi, ģeneratora pārskati. |
8.3. |
Rezerves elektroapgādes risinājums nodrošina automātisku un nepārtrauktu pārslēgšanos no primārā uz rezerves avotu, izmantojot sinhronizētu pāreju vai pārslēgšanos bez pārrāvuma. |
Pārbaudīt automātiskās pārslēgšanās (ATS/STS) iestatījumus un testu protokolus; (ja iespējams) parauga tests. Pierādījumi: testu protokoli, ATS/STS konfigurācijas, traucējumu žurnāli. |
8.4. |
Rezerves elektroapgādes izmantošana neietekmē šī pielikuma 16. punktā noteikto pieejamības rādītāju. (→ sk. 16.) |
Pārskatīt pieejamības atskaites periodos, kad darbojies rezerves avots; pārliecināties, ka nav ieskaitīts kā dīkstāve. Pierādījumi: pieejamības aprēķini, incidentu/enerģijas notikumu žurnāli. |
8.5. |
Rezerves elektroapgādes darbspēja tiek pārbaudīta atbilstoši ražotāja prasībām un normatīvajiem aktiem; pārbaudes fakts un rezultāti ir dokumentēti. |
Pārskatīt regulāro testu grafikus un protokolus (aukstie/karstie testi, slodzes bankas, pārslēgšanās testi). Pierādījumi: grafiki, protokoli, konstatējumu un labošanas ieraksti. |
9. Dzesēšanas sistēma
Nr. |
Prasība |
Pārbaude |
9.1. |
Dzesēšanas sistēma ir projektēta un uzturēta ar rezervēšanu un darbības nepārtrauktību, ievērojot pieejamības līmeni, kas noteikts 16. punktā. (→ sk. 16.) |
Pārbaudīt rezervēšanas shēmu (piem., N+1/2N) dokumentāciju un reālo izvietojumu; trauksmju un pārslēgšanās uzvedību. Pierādījumi: shēmas, konfigurāciju apraksti, testu protokoli. |
9.2. |
Dzesēšanas sistēmas konfigurācija un savietojamība ar citām drošības sistēmām ir dokumentēta. |
Pārbaudīt integrācijas ar ugunsdrošību/monitoringu (piem., avārijas izslēgšana, trauksmju pāradresācija). Pierādījumi: integrācijas shēmas, procedūras. |
9.3. |
Dzesēšanas sistēmas pārvaldība un monitorings nodrošināts reāllaikā ar attālinātu uzraudzību un automātiskiem brīdinājumiem (piem., robežvērtību pārsniegšana). |
Pārbaudīt monitoringa iestatījumus, trauksmju sliekšņus un nosūtīšanas kanālus; vēsturiskās trauksmes. Pierādījumi: iestatījumu ekrānattēli, trauksmju žurnāli. |
9.4. |
Dzesēšanas sistēmas darbspēja tiek pārbaudīta atbilstoši ražotāja prasībām; pārbaudes fakts un rezultāti ir dokumentēti. |
Pārskatīt testu grafikus un protokolus (sūkņi, kompresori, vārsti, liekresursi). Pierādījumi: grafiki, protokoli, labošanas darbi. |
10. Tīkla infrastruktūra
Nr. |
Prasība |
Pārbaude |
10.1. |
Tīkla infrastruktūras tehniskie līdzekļi ir rezervēti un atbilst pieejamības prasībām, kas noteiktas 16. punktā. (→ sk. 16.) |
Pārbaudīt aparatūras/saikņu rezervēšanu (divkārši maršrutētāji/slēdži, dublējošas elektroapgādes ķēdes); pārslēgšanās testu ieraksti. Pierādījumi: shēmas, konfigurācijas, testu protokoli. |
10.2. |
Tīkla drošības kontroles atbilst paaugstinātas drošības kategorijas informācijas sistēmu prasībām, kas noteiktas normatīvajos aktos par minimālajām kiberdrošības prasībām. |
Pārskatīt atbilstības matricu pret normatīvajiem aktiem; tīkla segmentāciju, ugunsmūrus, piekļuves kontroli, žurnālus. Pierādījumi: politika, konfigurāciju izdrukas, atbilstības matrica, žurnāli. |
| 10.3. | Tīkla infrastruktūra atbilst vismaz šādām prasībām: | |
10.3.1. |
datu pārraides kabeļi ir izbūvēti atsevišķās, ugunsdrošās un fiziski nodalītās trasēs, izvairoties no to šķērsošanās ar energoapgādes kabeļiem; |
Vietas apskate; projekta/izpildes shēmas; fotofiksācija. Pierādījumi: shēmas, foto, būvprojekta sadaļas. |
10.3.2. |
datu pārraides kabeļi ir novietoti paaugstinātā grīdā vai speciālās aizsargkonstrukcijās, nodrošinot to mehānisko aizsardzību; |
Vietas apskate; tehniskās pases un kanālu/tekņu specifikācijas. Pierādījumi: foto, specifikācijas. |
10.3.3. |
uzstādītas elektrostatiskās izlādes aizsardzības sistēmas; |
Pārbaudīt ESD risinājumus (zemējums, materiāli, kontroles). Pierādījumi: zemējuma mērījumi, ESD dokumentācija. |
10.3.4. |
Datu pārraides kabeļi ir marķēti atbilstoši dokumentācijai, nodrošinot to viennozīmīgu identificēšanu un atbilstību tīkla topoloģijas shēmai. |
Vietas apskate (paraugi vairākās zonās); salīdzināt marķējumu ar topoloģijas shēmām/CMDB ierakstiem. Pierādījumi: foto, shēmas, CMDB izraksti. |
| 10.5. | Ārējo tīklu savienojumi atbilst šādām prasībām: | |
10.5.1. |
saziņai ar operatoru tīkliem un publisko internetu nodrošināti vismaz divi neatkarīgi datu pārraides kanāli, izmantojot neatkarīgus optiskās šķiedras ievadus ēku kompleksā; |
Pārbaudīt līgumus/paketes ar diviem neatkarīgiem pakalpojumu sniedzējiem; vietas apskate šķiedru ievadiem/trasēm. Pierādījumi: līgumi, trases shēmas, foto. |
10.5.2. |
tīkla pieslēgumi nodrošina automātisku pārslēgšanos uz alternatīvo maršrutu primārā savienojuma atteices gadījumā (piem., BGP vai cits piemērots risinājums). |
Pārbaudīt maršrutēšanas/pārslēgšanās iestatījumus un testu protokolus; (ja iespējams) kontrolēts pārslēgšanās tests. Pierādījumi: BGP/OSPF konfigurācijas, testu ieraksti, žurnāli. |
III. Fiziskās drošības prasības
11. Videonovērošana
Nr. |
Prasība |
Pārbaude |
11.1 |
Datu centrā ir uzstādīta videonovērošanas sistēma, kas nodrošina reāllaika uzraudzību un ierakstīšanu kritiskajās zonās (tai skaitā telpās ar piekļuves kontroli un tehniskajās telpās). |
Pārbaudīt zonējuma shēmu un kameru izvietojumu; veikt izlases atskaņošanu no kritiskajām zonām; salīdzināt ar zonu sarakstu. Pierādījumi: zonējuma/kameru plāns, paraugu ieraksti ar laika zīmogiem, piekļuves tiesību saraksts VNS. |
11.2 |
Videonovērošanas sistēma un saistītie risinājumi atbilst normatīvajos aktos par minimālajām kiberdrošības prasībām noteiktajām prasībām, nodrošinot šifrēšanu, lietotāju darbību auditāciju, drošu glabāšanu un datu aizsardzību. |
Pārbaudīt konfigurācijas (šifrēšana pārvadē/glabāšanā), lietotāju piekļuvi un audita žurnālus, glabāšanas termiņus un vietu. Pierādījumi: iestatījumu izdrukas, audita žurnāli, saglabāšanas politika, arhīva pieejamības pārbaude. |
12. Risinājumi šķidrumu radīto bojājumu riska mazināšanai
Nr. |
Prasība |
Pārbaude |
12.1. |
Datu centrs ir aprīkots ar šķidruma noplūdes noteikšanas sensoriem zonās ar paaugstinātu risku: |
Pārbaudīt sensoru izvietojuma plānu un faktiskās uzstādīšanas vietas. Pierādījumi: plāns, foto, iekārtu saraksti. |
12.1.1. |
sensori dzesēšanas sistēmas komponentēs (piem., caurules, kondensāta izplūdes punkti); |
Vietas apskate; salīdzināt ar plānu. Pierādījumi: foto, plāna atzīmes. |
12.1.2. |
sensori mitrināšanas iekārtās un ūdens padeves sistēmās; |
Vietas apskate; uzturēšanas ieraksti. Pierādījumi: foto, protokoli. |
12.1.3. |
sensori telpās ar augstu šķidruma ieplūdes risku. |
Vietas apskate; riska novērtējums. Pierādījumi: foto, riska kartes. |
12.2. |
Noplūdes noteikšanas sistēmas nodrošina nepārtrauktu uzraudzību un automātiskus brīdinājumus; identificētie noplūdes gadījumi ir reģistrēti. |
Pārbaudīt monitoringa iestatījumus, trauksmju kanālus un žurnālus; paraugu gadījumu pārskats. Pierādījumi: trauksmju žurnāli, iestatījumu ekrānattēli, incidentu ieraksti. |
12.3. |
Sensoru un sistēmu darbspēja tiek regulāri pārbaudīta saskaņā ar ražotāja noteiktajiem termiņiem; pārbaudes fakts un rezultāti ir dokumentēti. |
Pārskatīt testu grafikus un protokolus; pārbaudīt pēdējo pārbaužu datumus. Pierādījumi: grafiki, protokoli, labošanas darbi. |
12.4. |
Datu centrs ir projektēts un uzturēts, lai nodrošinātu aizsardzību pret ārējās vides šķidruma riskiem (piemēram, plūdiem). |
Pārskatīt būvniecības/teritorijas dokumentus, plūdu riska kartes, drenāžas risinājumus. Pierādījumi: projektēšanas dokumenti, kartes, uzturēšanas apraksti. |
13. Ģeogrāfiskais izvietojums
Nr. |
Prasība |
Pārbaude |
13.1. |
Datu centra atrašanās vietai ir veikts riska novērtējums: |
Pārskatīt riska novērtējuma dokumentu un akceptu. Pierādījumi: riska novērtējums, apstiprinājums. |
13.1.1. |
novērtēti dabas riski (plūdu iespējamība, citi dabas katastrofu draudi, ņemot vērā vēsturisko informāciju); |
Pārbaudīt izmantotās kartes/datus, vēsturiskos ierakstus. Pierādījumi: plūdu/riska kartes, datu avoti. |
13.1.2. |
novērtēti cilvēku radīti riski (publisku vietu tuvums, satiksmes intensitāte, rūpniecisko avāriju riski, bīstamu objektu tuvums). |
Pārbaudīt attālumu/apkaimes analīzi un pieņēmumus. Pierādījumi: karšu izdrukas, aprēķini, foto. |
13.1.3. |
novērtēti infrastruktūras pieejamības riski (elektroapgāde, telekomunikācijas, ūdensapgāde). |
Pārskatīt pieslēgumu shēmas, pakalpojumu sniedzēju līgumus, rezerves risinājumus. Pierādījumi: līgumi, shēmas. |
13.2. |
Riska novērtējums tiek veikts ne retāk kā reizi trijos gados vai būtisku izmaiņu gadījumā. |
Pārbaudīt pēdējo novērtējumu datumus un uzsākšanas kritērijus pēc izmaiņām. Pierādījumi: plāns/grafiks, atjaunošanas ieraksti. |
14. Apsardze
Nr. |
Prasība |
Pārbaude |
14.1. |
Apsardze tiek nodrošināta, ievērojot Apsardzes darbības likumu un citus normatīvos aktus, izmantojot sertificētus pakalpojumu sniedzējus vai sadarbībā ar valsts iestādēm. |
Pārbaudīt līgumus/sertifikātus, apsardzes licences, sadarbības kārtību ar iestādēm. Pierādījumi: līgumi, licences, kontaktpersonu saraksts. |
14.2. |
Apsardzes organizācija nodrošina: |
|
14.2.1. |
darbinieku kvalifikāciju un sertifikāciju atbilstoši normatīvajiem aktiem; |
Pārbaudīt personāla sertifikātus, apmācību reģistru. |
14.2.2. |
darbinieku apmācību ne retāk kā reizi sešos mēnešos, ja apsardzi nodrošina datu centra operatora personāls; apmācības aptver darbu ar drošības un piekļuves sistēmām un incidentu pārvaldību; |
Pārbaudīt apmācību grafikus, programmas un apmeklējumu; pēctreniņa ziņojumi. |
14.2.3. |
tehnoloģisko risinājumu (tai skaitā piekļuves kontroles) uzturēšanu un integrāciju ar drošības pārvaldības sistēmu, kā arī piekļuvi šiem risinājumiem apsardzes personālam. |
Pārbaudīt integrācijas aprakstus, piekļuves tiesības, darbspējas pierakstus. |
14.3. |
Apsardzes nodrošināšana atbilst šādām prasībām: |
|
14.3.1. |
objektā apsardzes personāls nodrošina 24/7 fizisku klātbūtni vai izmanto attālinātas uzraudzības risinājumus; |
Pārbaudīt dežūru grafikus, līgumus, attālinātas uzraudzības pierādījumus. |
14.3.2. |
reakcijas laiks pēc incidenta vai trauksmes signāla ir ne ilgāks par 15 minūtēm, un, ja apsardze ir ārpakalpojums, tas ir noteikts līgumā. |
Pārskatīt incidentu žurnālus ar laika zīmogiem; salīdzināt ar līguma nosacījumiem. |
14.4. |
Apsardzes darbība tiek dokumentēta, tai skaitā dežūru grafiki, incidentu pieteikumi un reakcijas laiks. |
Pārbaudīt dokumentus un paraugu ierakstus; salīdzināt ar notikumu žurnāliem. |
15. Ugunsdrošības sistēmas, to pārbaudes un uzraudzība
Nr. |
Prasība |
Pārbaude |
15.1. |
Datu centrā ir uzstādītas ugunsdrošības sistēmas, kas ietver: |
Vietas apskate; sistēmu dokumentācijas pārbaude. |
15.1.1. |
ugunsgrēka atklāšanas detektorus (piem., dūmu vai karstuma detektorus), kas savlaicīgi identificē ugunsgrēka riskus; |
Pārbaudīt detektoru tipus, izvietojumu, jutības iestatījumus un testu protokolus. |
15.1.2. |
automātiskās ugunsdzēšanas sistēmas, kas piemērotas datu centra telpām; |
Pārbaudīt dzēšanas aģentu atbilstību telpu tipiem, aktivizācijas nosacījumus, slēgventiļu/zonu shēmas. |
15.1.3. |
manuālās ugunsdzēšanas ierīces, izvēlētas atbilstoši aizsargājamajām telpām (piem., serveru un elektrosadales telpas ar CO₂ aparātiem). |
Pārbaudīt ierīču tipu, marķējumu, derīguma termiņus, pieejamību vietās. |
15.2. |
Ugunsdrošības sistēmas tiek pārbaudītas atbilstoši ražotāja dokumentācijai un normatīvajiem aktiem, piemērojot augstāko biežumu; pārbaudes ietver detektoru, dzēšanas sistēmu un manuālo ierīču testēšanu; rezultāti tiek dokumentēti un glabāti vismaz 3 gadus. |
Pārskatīt testu grafikus/protokolus; pārliecināties par termiņu ievērošanu un glabāšanu. Pierādījumi: grafiki, protokoli, arhīva ieraksti. |
15.3. |
Ugunsdrošības sistēmas tiek nepārtraukti uzraudzītas, izmantojot: |
Pārbaudīt uzraudzības un trauksmju nosūtīšanas mehānismus. |
15.3.1. |
reāllaika uzraudzības sistēmas, kas nosūta signālus par dūmu, karstuma vai ugunsgrēka konstatēšanu uz ugunsdrošības risinājumu vai drošības pārvaldības sistēmu un atbildīgajām personām; |
Pārbaudīt trauksmju konfigurāciju, adresātu sarakstus, pēdējo trauksmju žurnālus. |
15.3.2. |
alternatīvus risinājumus (piem., skaņas signalizāciju vai GSM trauksmes ziņošanu), kas nodrošina sistēmu darbību elektroapgādes traucējumu vai citu bojājumu gadījumā. |
Pārbaudīt rezerves barošanu, GSM/alternatīvo kanālu darbību; testa protokoli. |
IV. Pieejamības prasības
16. Datu centra pieejamība
Nr. |
Prasība |
Pārbaude |
16.1. |
Datu centrs darbojas ar vismaz 99,982 % (~95 min/gadā pie 365 d.) pieejamību kalendārā gada ietvaros, kas atbilst maksimāli pieļaujamam pārtraukuma laikam līdz aptuveni 7,8 minūtēm 30 dienu periodā (precīza vērtība atkarīga no perioda ilguma). (→ sk. 16.2). |
Pārskatīt pieejamības atskaites par pilnu kalendāro gadu; pārliecināties, ka aprēķins veikts saskaņā ar 16.2. formulu un dati nāk no uzticama uzraudzības avota. Pierādījumi: atskaites, izejas dati, aprēķinu izklājlapas. |
16.2. |
Pieejamība tiek aprēķināta pēc formulas: (Total Time − Downtime) / Total Time × 100. |
Pārbaudīt aprēķina formulu un ievaddatus; pārliecināties, ka definīcijas 16.2.1.–16.2.2. ir piemērotas. Pierādījumi: metodika, aprēķinu paraugi. |
16.2.1. |
Total Time — kopējais novērtējamais laiks minūtēs attiecīgajā kalendārajā gadā (365 vai 366 dienas); |
Pārbaudīt, ka izmantots faktiskā gada minūšu skaits (365/366). Pierādījumi: aprēķina ievaddati. |
16.2.2. |
Downtime — kopējais datu centra nepieejamības laiks gadā minūtēs (plānoti un neparedzēti pārtraukumi), izņemot tādus plānotos uzturēšanas darbus, kuros klientiem ir nodrošināti rezerves risinājumi (→ sk. 17.). |
Pārbaudīt incidentu un plānoto darbu žurnālus; salīdzināt izslēgtos (neieskaitītos) gadījumus ar 17. sadaļas nosacījumiem. Pierādījumi: plānoto darbu paziņojumi, rezerves risinājumu apraksti, incidentu žurnāli. |
17. Tehniskā apkope un plānotie uzturēšanas darbi
Nr. |
Prasība |
Pārbaude |
17.1. |
Apkopes un remontdarbi tiek veikti, izmantojot rezerves sistēmas un komponentes, lai nepieļautu darbības pārtraukumus. |
Pārskatīt apkopes procedūras un pēdējo darbu protokolus; pārbaudīt, ka darbi veikti uz rezerves ceļa/sistēmas. Pierādījumi: procedūras, pārslēgšanās protokoli, monitoringa izdrukas apkopes laikā. |
17.2. |
Plānotie uzturēšanas darbi tiek veikti pēc iepriekš apstiprinātiem grafikiem, saskaņojot laikus un rezerves risinājumus ar ietekmēto iekārtu īpašniekiem/klientiem. |
Pārbaudīt grafikus, saskaņojumus un apstiprinājumus; salīdzināt ar faktisko izpildi. Pierādījumi: grafiki, e-pasta paziņojumi/apstiprinājumi, darba akti. |
17.3. |
Par darbiem, kas var ietekmēt klientu iekārtas, klienti tiek informēti rakstveidā ne vēlāk kā 5 darba dienas pirms uzsākšanas. |
Pārbaudīt paziņojumu paraugus, nosūtīšanas datumus un adresātu sarakstus. Pierādījumi: paziņojumu izdrukas, sistēmas žurnāli. |
17.4. |
Plānoto darbu dokumentācijā norāda: |
Pārbaudīt, ka norādītie elementi ir visos ierakstos. |
17.4.1. |
darba sākuma un beigu laiku; |
Pārskatīt ierakstus. |
17.4.2. |
veikto darbu veidu un ietekmētās iekārtas; |
Pārskatīt ierakstus. |
17.4.3. |
risinājumus darbības atjaunošanai incidentu gadījumā (→ sk. 19.). |
Pārskatīt rezerves/atgriešanās plānus; salīdzināt ar īstenoto praksē. |
18. Incidenti un neparedzēti pārtraukumi
Nr. |
Prasība |
Pārbaude |
18.1. |
Pēc incidenta konstatēšanas problēmas novēršana tiek uzsākta ne vēlāk kā 15 minūtēs. |
Pārbaudīt incidentu ierakstu laika zīmogus (konstatēšana → reakcijas sākums) un salīdzināt ar 15 min. prasību. Pierādījumi: incidentu žurnāli, dežūrkomandas pieraksti. |
18.2. |
Incidenta reģistrācijā iekļauj: konstatēšanas laiku, aprakstu, reakcijas laiku, novēršanas laiku, veiktās darbības, iemeslu un ietekmēto infrastruktūru (tai skaitā klientu iekārtas) (→ sk. arī 4.). |
Pārskatīt paraugus no pēdējiem 6–12 mēn.; pārliecināties, ka visi lauki ir aizpildīti. Pierādījumi: reģistra izdrukas, CAPA ieraksti. |
18.3. |
Ja incidents ietekmē pieejamību, ietekmes ilgums ir norādīts un ieskaitīts 16.2.2. punktā minētajā Downtime aprēķinā. |
Pārbaudīt incidentus, kas radījuši dīkstāvi; salīdzināt ar pieejamības aprēķinu. Pierādījumi: incidentu un pieejamības atskaites. |
19. Datu centra pārvaldības informācijas sistēmu darbības atjaunošanas plāns
Nr. |
Prasība |
Pārbaude |
19.1. |
Ir izstrādāts un uzturēts informācijas sistēmu darbības atjaunošanas plāns, kura efektivitāte un saskaņotība ardarbības nepārtrauktības plānu (BCP) tiek pārbaudīta vismaz reizi sešos mēnešos. |
Pārbaudīt plānu, testu grafiku un pēctestu ziņojumus; sasaisti ar BCP (→ sk. 3.). Pierādījumi: plāns, protokoli, konstatējumi. |
19.2. |
RTO (atjaunošanas laika mērķis) ≤ 1 stunda. |
Pārbaudīt testa protokolus un laika mērījumus; salīdzināt ar mērķi. |
19.3. |
RPO (atjaunošanas punkta mērķis) ≤ 15 minūtes, vai stingrāks mērķis, ja tādu nosaka normatīvie akti konkrētās sistēmas drošības klasei. |
Pārbaudīt dublēšanas/žurnālu iestatījumus un testa rezultātus; salīdzināt ar mērķi un normatīviem. |
19.4. |
MTO (maksimālais pieļaujamais pārtraukuma laiks) neatliekami atvasināts no 16.1. punktā noteiktās pieejamības un nedrīkst to pārsniegt. (→ sk. 16.) |
Pārskatīt MTO noteikšanas metodiku un dokumentēto vērtību; salīdzināt ar 16.1. prasību un faktiskajiem testiem. |
V. IKT pakalpojumu prasības
20. SLA līgumi
Nr. |
Prasība |
Pārbaude |
20.1. |
Datu centra operators ar klientiem slēdz IKT pakalpojumu līgumus (SLA), kuros ietvertas prasības par pieejamību, reakcijas laiku, problēmu novēršanas laiku, uzraudzību un ziņošanas kārtību. |
Pārskatīt SLA tekstus: rādītāji, mērījuma metode, aprēķina periods, ziņošanas kārtība. Pierādījumi: SLA līgumi/pielikumi, atskaišu paraugi. |
20.2. |
SLA prasības ir saskaņotas ar 18. punktā noteiktajām reakcijas prasībām un 19. punktā noteiktajiem RTO/RPO/MTO. |
Salīdzināt SLA reakcijas laikus ar 18.1., 18.2.; atjaunošanas mērķus ar 19.2.–19.4. Pierādījumi: SLA izraksti, iekšējās procedūras, testu protokoli. |
| 20.3. | SLA pieejamības prasības nav zemākas par 16.1. punktā noteikto pieejamību. |
Pārbaudīt SLA pieejamības mērķi un formulu pret 16.1.–16.2. Pierādījumi: SLA pielikumi, aprēķina metodika. |
21. Pārvaldības un uzraudzības rīki
Nr. |
Prasība |
Pārbaude |
21.1. |
Datu centra nodrošina automatizētus pārvaldības un uzraudzības rīkus infrastruktūras stāvokļa un drošības notikumu reāllaika uzraudzībai, atbilstoši 16. punktā noteiktajām pieejamības prasībām. |
Pārbaudīt monitoringu, parametrus un trauksmju iestatījumus. Pierādījumi: iestatījumu izdrukas, trauksmju saraksti, ekrānattēli. |
21.2. |
Rīki nodrošina pieejamību ietekmējošo notikumu un mērījumu uzskaiti, analīzi un iespēju pierādīt atbilstību noteiktajam pieejamības līmenim (→ sk. 16., 18.3.). |
Pārskatīt notikumu/mērījumu atskaites un pieejamības aprēķinu pēdas. Pierādījumi: žurnāli, atskaites, aprēķinu datnes. |
21.3. |
Uzraudzības rīku dati tiek glabāti vismaz 12 mēnešus un ir pieejami auditam un līgumsaistībām. |
Pārbaudīt saglabāšanas politiku un sistēmu iestatījumus; parauga ieraksts ≥ 12 mēn. Pierādījumi: politika, ekrānattēli, žurnāli. |
22. Klienta pakalpojuma incidentu žurnāls
Nr. |
Prasība |
Pārbaude |
22.1. |
Datu centra operators nodrošina klientiem pieeju incidentu žurnāla ierakstiem par viņiem sniegtajiem pakalpojumiem. |
Pārbaudīt piekļuves kārtību (portāls/atskaites), saturu un pieejamības termiņus; pārliecināties par datu aizsardzību. Pierādījumi: piekļuves instrukcija, atskaišu paraugi, tiesību apraksts. |
23. Datu nesēju pārvaldība
Nr. |
Prasība |
Pārbaude |
23.1. |
Datu centra operators nodrošina datu nesēju uzskaiti un pārraudzību visā dzīves ciklā (iegāde, lietošana, transportēšana, atkārtota izmantošana, glabāšana, iznīcināšana). |
Pārbaudīt uzskaites/CMDB ierakstus un procedūras; izlases pārbaude uz vietas. |
23.2. |
Datu nesēju iznīcināšana tiek dokumentēta, norādot metodi un laiku. |
Pārskatīt iznīcināšanas protokolus/sertifikātus; salīdzināt ar uzskaiti. |
23.3. |
Bojāti vai neizmantojami datu nesēji tiek iznīcināti ne vēlāk kā 30 dienu laikā pēc darbības pārtraukšanas, izmantojot drošu metodi, kas atbilst sensitivitātei un starptautiskajiem standartiem (piem., NIST 800-88). |
Pārbaudīt termiņus un metodes; piegādātāja kompetences apliecinājumi, ja ārpakalpojums. |
Saīsinājumu skaidrojumi
ACS — piekļuves kontroles sistēma (Access Control System).
APT — mērķēts pastāvīgs uzbrucējs (Advanced Persistent Threat).
ATS — automātiskās pārslēgšanas slēdzis (tīkla/elektro pārslēgšana) (Automatic Transfer Switch).
BCP — darbības nepārtrauktības plāns (Business Continuity Plan).
BGP — robežvārteju maršrutēšanas protokols (Border Gateway Protocol).
CAB — izmaiņu izvērtēšanas padome (Change Advisory Board).
CAPA — koriģējošie un preventīvie pasākumi (Corrective and Preventive Actions).
CCTV / VNS — videonovērošanas sistēma (Closed-Circuit Television / videonovērošanas sistēma).
CMDB — konfigurāciju pārvaldības datubāze (Configuration Management Database).
CO₂ — ogļskābā gāze (ugunsdzēsības iekārtās).
DC — datu centrs.
DRP — darbības atjaunošanas plāns (Disaster Recovery Plan).
ELK — Elasticsearch, Logstash, Kibana (žurnālu/telemetrijas platforma).
ESD — elektrostatiskā izlāde (Electrostatic Discharge).
GSM — globālā mobilo sakaru sistēma (Global System for Mobile Communications).
IS — informācijas sistēma.
MTO — maksimālais pieļaujamais pārtraukuma laiks (Maximum Tolerable Outage).
NIST SP 800-88 — NIST vadlīnijas datu nesēju drošai iznīcināšanai (Guidelines for Media Sanitization).
NTP — tīkla laika protokols (Network Time Protocol).
OSPF — maršrutēšanas protokols (Open Shortest Path First).
PIN — personīgais identifikācijas numurs (Personal Identification Number).
RFID — radiofrekvenču identifikācija (Radio-Frequency Identification).
RPO — atjaunošanas punkta mērķis (Recovery Point Objective).
RTO — atjaunošanas laika mērķis (Recovery Time Objective).
SIEM — drošības informācijas un notikumu pārvaldība (Security Information and Event Management).
SLA — pakalpojuma līmeņa līgums (Service Level Agreement).
STS — statiskās pārslēgšanas slēdzis (elektrobarošanā) (Static Transfer Switch).
UPS — nepārtrauktās barošanas sistēma (Uninterruptible Power Supply).
UTC — koordinētais pasaules laiks (Coordinated Universal Time).
WORM — rakstīt vienreiz, lasīt daudzkārt (nemaināma glabāšana; Write Once, Read Many).
Apzīmējumi rezerves līmenim (papildu skaidrojumi)
N+1 — pie N darba komponentēm ir viena rezerves komponenta.
2N — pilns dublējums (divas neatkarīgas komponentu kopas).
2N+1 — pilns dublējums ar papildu rezerves komponenti.
1. Datu centra atbilstību šo noteikumu 2. pielikumā noteiktajām prasībām var apliecināt ar kādu starptautiski atzītu sertifikācijas modeli. Atbilstošie sertifikācijas modeļi sniegti nākamajos šī pielikuma punktos. Atsevišķiem sertifikācijas modeļiem, papildus sertifikātiem jānodrošina kiberdrošības auditora atzinumu.
2. Uptime Institute sertifikāts:
2.1. Tier III vai Tier IV līmenis, sertifikācija ekspluatācijā esošam datu centram („Uzcelts” („Build”), „Objekts” („Facility”), „Būvniecība” („Construction”));
2.2. projektēšanas līmeņa („Design”) sertifikācija netiek atzīta;
2.3. papildus – kiberdrošības auditora atzinums par atbilstību šo noteikumu 2. pielikuma sadaļām „Organizatoriskās prasības”, „Tehniskās prasības” un „Fiziskās drošības prasības”. Atzinuma derīguma termiņš ir divi gadi.
3. TIA-942 sertifikāts:
3.1. „Rated-3” vai „Rated-4” līmenis, ar fizisku infrastruktūras pārbaudi.
4. EN 50600 sertifikāts:
4.1. sertifikātam jāaptver pilna infrastruktūras atbilstības pārbaude;
4.2. minimālās prasības atbilstoši EN 50600-2-1 līdz EN 50600-2-5, nodrošinot vismaz 3. pieejamības klasi („Availability Class 3”) un 2. aizsardzības klasi („Protection Class 2”) attiecīgajās jomās:
4.2.1. EN 50600-2-1 – standartā aprakstītās minimālās prasības („Requirements”);
4.2.2. EN 50600-2-2 – vismaz „Pieejamības klase 3” („Availability Class 3”);
4.2.3. EN 50600-2-3 – vismaz „Pieejamības klase 3” („Availability Class 3”);
4.2.4. EN 50600-2-4 – vismaz „Pieejamības klase 3” („Availability Class 3”);
4.2.5. EN 50600-2-5 vismaz šādas prasības:
4.2.5.1. aizsardzība pret neatļautu piekļuvi – vismaz 4 drošības zonas;
4.2.5.2. aizsardzība pret iekļūšanu datu centra telpās – vismaz „Aizsardzības klase 2” („Protection Class 2”);
4.2.5.3. aizsardzība pret iekšējiem ugunsgrēkiem – vismaz „Aizsardzības klase 2” („Protection Class 2”);
4.2.5.4. aizsardzība pret iekšējās vides apdraudējumiem – vismaz „Aizsardzības klase 2” („Protection Class 2”);
4.2.5.5. aizsardzība pret ārējās vides apdraudējumiem – vismaz „Aizsardzības klase 2” („Protection Class 2”).
5. ISO/IEC TS 22237 sertifikāts:
5.1. „Ieviešanas” („Implementation”) vai „Sertifikācijas” („Certification”) līmenis;
5.2. „Koncepcijas” („Concept”) un „Projektēšanas” („Design”) līmeņa sertifikācija netiek atzīta;
5.3. minimālās prasības atbilstoši ISO/IEC 22237-2 līdz ISO/IEC 22237-6, nodrošinot vismaz 3. pieejamības klasi („Availability Class 3”) un 2. aizsardzības klasi („Protection Class”) attiecīgajās jomās un drošības zonējuma ievērošana:
5.3.1. ISO/IEC 22237-2 – jānodrošina standartā noteiktās minimālās prasības („Requirements”);
5.3.2. ISO/IEC 22237-3 – vismaz „Pieejamības klase 3” („Availability Class 3”) un „Detalizācijas līmenis 2” („Granularity Level 2”);
5.3.3. ISO/IEC 22237-4 – vismaz „Pieejamības klase 3” („Availability Class 3”) un „Detalizācijas līmenis 2” („Granularity Level 2”);
5.3.4. ISO/IEC TS 22237-5 – vismaz „Pieejamības klase 3” („Availability Class 3”);
5.3.5. ISO/IEC 22237-6 – jānodrošina teritorijas un telpu drošības zonējuma principa ievērošana, piemērojot atbilstošu aizsardzības klasi katrai drošības zonai („Protection Class”).
6. Citi starptautiski atzīti sertifikāti:
6.1. sertifikāti, kas atzīti Nacionālā kiberdrošības centra oficiālajā tīmekļa vietnē kā atbilstoši drošo datu centru prasībām.
| I Vispārīgā informācija | |||
Datu centra nosaukums: |
Datu centra operatora nosaukums: | ||
| Datu centra adrese: | Datu centra operatora reģistrācijas Nr.: | ||
| Audita veikšanas datums: | |||
| Audita veicēja (kvalificētā auditora) kontaktinformācija: | |||
| II Atbilstības novērtējuma kopsavilkums | ||||||||
| Organizatoriskās prasības | Tehniskās prasības | Fiziskās drošības prasības | Pieejamības prasības | IKT pakalpojumu prasības | Piezīmes | |||
| Prasības izpildītas | ▢ |
▢ | ▢ | ▢ | ▢ |
|
||
| Nepieciešami uzlabojumi | ▢ |
▢ |
▢ |
▢ |
▢ |
|||
▢ atzīmē, ja prasības izpildās vai ja nepieciešami uzlabojumi
| III Atbilstības novērtējumam pievienotie dokumenti | ||
| N.p.k. | Dokumenta nosaukums | Īss satura kopsavilkums |
| IV Secinājumi | |||
| Kopējais novērtējums: [Atbilst / Neatbilst] [Nepieciešami uzlabojumi] | ▢ Atbilst / ▢ Neatbilst | ▢ Nepieciešami uzlabojumi | |
| Datu centrs tiek rekomendēts iekļaušanai nacionālajā sertificēto datu centru sarakstā: [Jā / Nē] | ▢ Jā / ▢ Nē | ||
| Papildu ieteikumi: [Ieteikumi pilnveidošanai pirms nākamā audita] | |||
| VI. Audita veicēja paraksts | |
| Auditors: [Vārds, Uzvārds] | |
| Paraksts: [Elektroniskais / Fiziskais paraksts] | |
| Datums: | |