22-TA-3183
Noteikumi par minimālajām kiberdrošības prasībām
Izdoti saskaņā ar Nacionālā kiberdrošības likuma 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 29. pantu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu un Elektronisko sakaru likuma 8. panta pirmo un otro daļu.
1.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
1.2.
kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
1.3.
prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
1.4.
IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;
1.5.
publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
1.6.
prasības subjekta kiberdrošības pārvaldniekam;
1.7.
veidu un formātu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
1.8.
subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību;
1.9.
kiberincidentu nozīmīguma kritērijus;
1.10.
kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
1.11.
agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un ziņojuma iesniegšanas kārtību;
1.12.
kritērijus un kārtību subjekta tīklu un informācijas sistēmu drošības skenēšanai;
1.13.
kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus;
1.14.
nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
1.15.
subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti;
1.16.
kiberhigiēnas pasākumu pamatelementus subjektiem un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
1.17.
kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību;
1.18.
kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
1.19.
kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
2.
Noteikumos lietotie termini:
2.1.
auditācijas pieraksti – analīzei pieejamās datnes, kurās serveris automatizēti reģistrēti datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);
2.2.
autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte;
2.3.
autorizācija – process, kurā lietotājam tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā;
2.4.
ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu vai veic citu darbību, kas nepieciešama subjekta darbības nodrošināšanai;
2.5.
datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete, datu uzglabāšanas risinājums, kas izmanto mākoņdatošanas pakalpojumu vai citu IKT resursu;
2.6.
drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim;
2.7.
IKT resursi – tīklu un informācijas sistēmu sastāvdaļa. IKT resursu kopums ietver tehniskos resursus un informācijas resursus, kā arī fizisko infrastruktūru, kurā uztur minētos resursus.
2.8.
informācijas resurss – strukturēta digitālo datu vienība (datne), kas tiek elektroniski apstrādāta, izmantojot tehniskos resursus;
2.9.
informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus;
2.10.
integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums;
2.11.
konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem;
2.12.
konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts);
2.13.
lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu;
2.14.
pieejamība – iespēja lietotājam lietot IKT resursu noteiktā laikā un vietā;
2.15.
piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autorizētām un autentificētām personām;
2.16.
šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē;
2.17.
tehniskais resurss –
2.17.1.
aparatūra (hardware), tostarp tīkla darbību nodrošinošās iekārtas, darbstacijas, serveri, datu nesēji un citas saistītas iekārtas,
2.17.2.
programmatūra (software), tostarp sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
2.18.
tehniskā resursa administrators – tehniskā resursa privileģēts lietotājs, kura amata pienākumos ir nodrošināt tehniskā resursa darbību atbilstoši tā uzdevumiem;
2.19.
4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;
2.20.
5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls.
3.
Noteikumi attiecas uz subjektiem un to īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde;
4.
Noteikumi attiecas uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem.
2.Statusa paziņošanas kārtība
5.
Subjekts Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):
5.1.
par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam;
5.2.
par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās;
5.3.
par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.
6.
Domēnu vārdu reģistrācijas pakalpojumu sniedzējs Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):
6.1.
par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam;
6.2.
par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās;
6.3.
par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.
3.Pamatprasības visiem subjektiem
3.1.Kiberdrošības pārvaldnieks
7.
Subjekts Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam, nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu (3. pielikums):
7.1.
par jauna kiberdrošības pārvaldnieka nozīmēšanu;
7.2.
par izmaiņām šo noteikumu 7.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās.
8.
Par kiberdrošības pārvaldnieku var būt fiziska persona:
8.1.
kura ir pilngadīga;
8.2.
kurai ir Latvijas pilsonība;
8.3.
kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā, vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.4.
kura nav sodīta par tīšu noziedzīgu nodarījumu;
8.5.
kura nav notiesāta par tīšu noziedzīgu nodarījumu, atbrīvojot no soda;
8.6.
kura nav saukta pie kriminālatbildības par tīša noziedzīga nodarījuma izdarīšanu, izņemot gadījumu, ja persona ir saukta pie kriminālatbildības, bet kriminālprocess pret to izbeigts uz reabilitējoša pamata;
8.7.
pār kuru nav nodibināta aizgādnība;
8.8.
kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs;
8.9.
kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas;
8.10.
kurai nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība;
8.11.
kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma, vai pie nevalstiskās organizācijas vai nevalstisko organizāciju apvienības, kas uzsākusi darbību (juridisko) pirms tās reģistrācijas vai turpina darboties pēc tam, kad tās darbība ir apturēta vai izbeigta ar tiesas nolēmumu.
9.
Kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību šo Noteikumu 8. punkta prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju.
3.2.Kiberdrošības pārvaldības dokumentācija
10.
Subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido:
10.1.
kiberdrošības politika;
10.2.
IKT resursu un informācijas sistēmu katalogs;
10.3.
kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
10.4.
kiberincidentu žurnāls.
11.
Subjekts katru kiberdrošības pārvaldības dokumentācijas kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu.
12.
Subjekts var noteikt informācijas pieejamības ierobežojumus kiberdrošības pārvaldības dokumentācijas kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju (piemēram, noteikt, ka kiberincidentu žurnālam var piekļūt tikai personas, kuras ir pilnvarotas veikt ierakstus minētajā žurnālā).
13.
Subjekta kiberdrošības pārvaldības dokumentāciju veido un uztur primāri elektroniskā formātā.
14.
Subjekts kiberdrošības pārvaldības dokumentāciju uzglabā drošā veidā un vietā, kas ir tā valdījumā. Subjekts nodrošina, ka dokumentācijas kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no to oriģināliem un ir pieejamas kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā).
3.3.Kiberdrošības politika
15.
Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku.
16.
Kiberdrošības politikā iekļauj:
16.1.
subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
16.2.
vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
16.3.
informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
16.4.
informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
16.5.
informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu un standartu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem;
16.6.
informāciju par subjekta, tā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu, tehnisko resursu, produktu, pakalpojumu un procesu atbilstību nacionālajiem, Eiropas Savienības un starptautiskajiem standartiem un sertifikācijas shēmām kiberdrošības jomā, ja attiecināms;
16.7.
pārskatu par kiberrisku pārvaldības pasākumu īstenošanu, tostarp veiktajiem kiberdrošības auditiem, pārbaudēm un ielaušanās testiem, tajos konstatētajām neatbilstībām, ievainojamībām un kiberapdraudējumiem un to novēršanas gaitu;
16.8.
informāciju par Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotajiem lēmumiem, pieprasījumiem un uzliktajiem tiesiskajiem pienākumiem attiecībā uz subjektu un to izpildi.
3.4.IKT resursu un informācijas sistēmu katalogs
17.
Subjekts identificē un uzskaita visus tā īpašumā, valdījumā, turējumā un lietošanā esošos IKT resursus.
18.
Subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai.
19.
Subjekts tā turējumā vai lietošanā esošās informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi saskaņo ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju.
20.
Šo noteikumu izpratnē informācijas sistēmu uzskata par:
20.1.
A kategorijas (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A konfidencialitātes, integritātes vai pieejamības drošības klase;
20.2.
B kategorijas (pamata drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena B konfidencialitātes, integritātes vai pieejamības drošības klase, bet nav noteikta neviena A konfidencialitātes, integritātes vai pieejamības drošības klase;
20.3.
C kategorijas (minimālās drošības) informācijas sistēmu, ja tai ir noteiktas tikai C konfidencialitātes, integritātes un pieejamības drošības klases.
21.
Subjekts izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu.
3.5.Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
22.
Subjekts izstrādā, uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu.
23.
Subjekts var izstrādāt vairākus kiberrisku pārvaldības un IKT darbības nepārtrauktības plānus dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Šādā gadījumā par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu uzskatāms šo plānu kopums.
24.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
24.1.
kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
24.2.
kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
24.3.
kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
24.4.
rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
25.
Plānojot kiberrisku mazināšanas pasākumus, subjekts:
25.1.
apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
25.2.
paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
25.3.
A kategorijas informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) IP adreses vai adrešu apgabalus.
26.
Subjekta vadītājs nozīmē atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
27.
Subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli.
28.
Subjekta vadītājs nodrošina, ka kiberdrošības pārvaldniekam un, ja attiecināms, citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai (piemēram, tiesības piekļūt informācijas sistēmas tehniskajiem resursiem).
3.6.Kiberincidentu žurnāls
29.
Subjekts izstrādā, uztur un bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā.
30.
Kiberincidentu žurnālā iekļauj informāciju par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem, norādot:
30.1.
kiberincidenta konstatēšanas datumu un laiku, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
30.2.
kiberincidenta veidu atbilstoši šo noteikumu 5. pielikumā ietvertajai tipoloģijai;
30.3.
kiberincidenta vispārīgo aprakstu;
30.4.
kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
30.5.
kiberincidenta ietekmes novērtējumu;
30.6.
atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
30.7.
atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
30.8.
aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts");
3.7.Lietotāju un piekļuves tiesību pārvaldība
31.
Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi.
32.
Subjekta katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai:
32.1.
identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam;
32.2.
nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi;
32.3.
piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā.
33.
Subjekts nodrošina, ka:
33.1.
lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu;
33.2.
sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu;
33.3.
informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;
33.4.
standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības), tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;
33.5.
administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu;
33.6.
kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
34.
Ja vien tas ir tehniski iespējams, subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu:
34.1.
A un B kategorijas informācijas sistēmas administratora lietotāja kontam;
34.2.
A kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai no lietotāja privātās ierīces.
35.
Subjekts nodrošina, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Subjekta pienākumi ir:
35.1.
informēt reģistrētu informācijas sistēmas lietotāju par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas;
35.2.
nodrošināt, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētam informācijas sistēmas lietotājam visā informācijas sistēmas lietošanas laikā;
35.3.
vismaz reizi gadā organizēt apmācību visiem reģistrētiem informācijas sistēmas lietotājiem par informācijas sistēmas lietošanas noteikumiem.
36.
Subjekta kiberdrošības pārvaldniekam ir tiesības:
36.1.
nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
36.2.
pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām;
36.3.
kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
36.4.
pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu.
3.8.Auditācijas pierakstu pārvaldība
37.
Subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu un uzglabāšanu vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas.
38.
Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
38.1.
informācijas sistēmas ieslēgšanu un izslēgšanu;
38.2.
kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
38.3.
kontu piekļuvi informācijas resursiem;
38.4.
datu pievienošanu, izmaiņām un dzēšanu;
38.5.
tehnisko resursu konfigurāciju izmaiņām;
38.6.
kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību.
39.
Auditācijas pierakstos fiksē IKT notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC), interneta protokola adresi, no kuras veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
40.
Auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjekts ievēro sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi.
41.
Subjekts nodrošina auditācijas pierakstu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus.
42.
Subjekts nozīmē par auditācijas pierakstu pārvaldību atbildīgās personas, kā arī iekšējos normatīvajos aktos nosaka auditācijas pierakstu pārvaldības kārtību, tostarp auditācijas pierakstu analīzes, pārbaužu kārtību un regularitāti, kā arī auditācijas pierakstu aizsardzības prasības.
3.9.Rezerves kopiju pārvaldība
43.
Subjekts katrai tā īpašumā un valdījumā esošajai A un B kategorijas informācijas sistēmai nodrošina šādu rezerves kopiju veidošanu:
43.1.
informācijas resursu rezerves kopijas;
43.2.
tehnisko resursu konfigurāciju rezerves kopijas;
43.3.
auditācijas pierakstu rezerves kopijas.
44.
Subjekts iekšējos normatīvajos aktos nosaka rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību.
45.
Subjekts nozīmē par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgo personu vai personas (turpmāk – par rezerves kopijām atbildīgais personāls)
46.
Veidojot rezerves kopijas, subjekts nodrošina, ka:
46.1.
rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes;
46.2.
rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
46.2.1.
A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša, gada un diviem gadiem;
46.2.2.
B kategorijas informācijas sistēmai – pirms nedēļas, mēneša, gada un diviem gadiem;
46.2.3.
C kategorijas informācijas sistēmai – pirms mēneša, gada un diviem gadiem.
46.3.
rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
46.3.1.
informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
46.3.2.
informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
46.3.3.
informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas;
46.4.
par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos;
46.5.
par rezerves kopijām atbildīgais personāls un kiberdrošības pārvaldnieks tiek nekavējoties brīdināti, ja kārtējā rezerves kopijas izveide nav izdevusies;
46.6.
A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma.
47.
Uzglabājot rezerves kopijas, subjekts nodrošina, ka:
47.1.
rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt tikai par rezerves kopijām atbildīgais personāls un kiberdrošības pārvaldnieks;
47.2.
rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību;
47.3.
A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), funkcionāli atdalītās telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
47.4.
A kategorijas informācijas sistēmai pēc rezerves kopijas pārvietošanas citā datu nesējā tiek pārbaudīta rezerves kopijas satura kontrolsumma, lai pārliecinātos par rezerves kopijas integritāti.
48.
Subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.
49.
Subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajos noteikumos.
3.10.Apmācības
50.
Subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:
50.1.
visu subjekta nodarbināto instruktāžas, tai skaitā:
50.1.1.
sākotnējās instruktāžas – visiem nodarbinātajiem, uzsākot darba (dienesta) attiecības,
50.1.2.
kārtējās instruktāžas – visiem nodarbinātajiem vismaz reizi kalendārajā gadā,
50.1.3.
ārkārtas instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
50.2.
subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai (turpmāk – IKT personāla apmācības);
50.3.
citas apmācības kiberdrošības jomā, ko subjekts uzskata par nepieciešamām.
51.
Šo noteikumu 50.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē kiberdrošības pārvaldnieku un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža.
52.
Sākotnējo instruktāžu veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža.
53.
Subjekts nodrošina, ka visiem tā nodarbinātajiem ir pieejams kārtējo instruktāžu kalendārais plāns, kā arī aktuālie instruktāžu materiāli (piemēram, prezentācijas datne, izdales materiāli).
54.
IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku.
55.
Subjekts uzskaita organizētās apmācības.
56.
Subjekts iekšējos normatīvajos aktos nosaka apmācību plānošanas un organizēšanas kārtību, kā arī kārtību, kādā novērtē apmācību efektivitāti (nodarbināto zināšanu un izpratnes līmeni).
4.Papildu prasības būtisko pakalpojumu sniedzējiem
4.1.Šifrēšanas prasības
57.
Būtisko pakalpojumu sniedzējs iekšējos normatīvajos aktos nosaka:
57.1.
minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un pašreizējās labākās prakses un atbilstību starptautiskiem standartiem (piemēram, ASV Nacionālā standartu un tehnoloģijas institūta (turpmāk – NIST) aktuālajiem ieteikumiem);
57.2.
šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
57.3.
prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.
58.
Būtisko pakalpojumu sniedzējs nodrošina šifrēšanas risinājumus datu pārsūtīšanai un pārraidei iekšējos IKT infrastruktūras bezvadu tīklos.
59.
Būtisko pakalpojumu sniedzējs nodrošina šifrēšanas risinājumus datu pārsūtīšanai un pārraidei publiskajā vidē vismaz šādiem procesiem:
59.1.
attālinātais darbs nodarbinātajiem, tai skaitā IKT personālam, izmantojot virtuālā privātā tīkla (VPN) risinājumu;
59.2.
iekšējā un ārējā saziņa (piemēram, e-pasts, kopstrādāšanas risinājumi);
59.3.
A un B konfidencialitātātes klases informācijas resursu pārsūtīšana (piemēram, izmantojot OpenPGP šifrēšanas risinājumus).
60.
Būtisko pakalpojumu sniedzējs nodrošina datu pārraidi publiskajā vidē, izmantojot vismaz šādas vai drošākas metodes atbilstoši NIST aktuālajiem ieteikumiem:
60.1.
TLS (Transport Layer Security) protokolu tīmekļa vietnēs un tīmekļa pakalpēs, tai skaitā e-pasta servera un e-pasta klienta datu pārraidē, lai nodrošinātu datu integritāti un konfidencialitāti;
60.2.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) risinājumu e-pasta pakalpojumam, lai mazinātu iespēju trešajām personām neatļauti izmantot būtisko pakalpojumu sniedzēja domēnu e-pastos;
60.3.
DKIM (DomainKeys Identified Mail) risinājumu e-pasta pakalpojumam, lai nodrošinātu, ka e-pasts nav ticis izmainīts un nāk no norādītā domēna.
61.
Būtisko pakalpojumu sniedzējs nodrošina datu nesējos un mākoņdatošanas pakalpojumos elektroniski apstrādājamo datu šifrēšanu, lai nebūtu iespējama informācijas nolasīšana no datu nesēja, fiziski atvienojot (izņemot) datu nesēju no aparatūras.
4.2.Prasības IKT infrastruktūrai, kura pilda datu centra funkcijas
62.
Ja būtisko pakalpojumu sniedzējs tā īpašumā vai valdījumā esošās informācijas sistēmas uzturēšanai neizmanto datu centru, kurš atbilst normatīvajiem aktiem par datu centru drošību, būtisko pakalpojumu sniedzējs nodrošina, ka tā IKT infrastruktūra vai izmantotais datu centrs, kurā uztur A vai B kategorijas informācijas sistēmu, atbilst vismaz šādām prasībām:
62.1.
aparatūra ir izvietota atsevišķā slēdzamā telpā vai slēdzamās statnēs (skapjos);
62.2.
katrai telpai vai statnei ir apmeklētāju žurnāls;
62.3.
būtisko pakalpojumu sniedzēja vadītājs vai vadītāja pilnvarotā persona (piemēram, drošības daļas vadītājs) apstiprina sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām un statnēm;
62.4.
telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem, kas nodrošina:
62.4.1.
telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%,
62.4.2.
temperatūru no 18 līdz 27 Celsija grādiem,
62.4.3.
trokšņa līmeni līdz 70 Db;
62.5.
telpās netiek glabāti ugunsnedrošas mantas vai atkritumi;
62.6.
telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;
62.7.
atbildīgie nodarbinātie ir informēti par kārtību un rīcību ugunsgrēka gadījumā;
62.8.
ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
62.9.
kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu;
62.10.
IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmu, ir aprīkota ar:
62.10.1.
nepārtrauktās elektrības barošanas iekārtu;
62.10.2.
rezerves elektrības pieslēgumu;
62.10.3.
alternatīvu elektrības padeves rezerves risinājumu (piemēram, izmantojot elektrības ģeneratoru).
62.11.
atbildīgie nodarbinātie ir informēti par kārtību un rīcību neparedzētu notikumu gadījumā, nodarbinātajiem ir zināmi apsardzes, ugunsdzēsības, elektroapgādes un klimata kontroles apkalpojošā personāla vai pakalpojuma sniedzēja kontaktinformācija.
4.3.Prasības publiskajiem elektronisko sakaru tīkliem
63.
Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs:
63.1.
identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu 6. pielikumu. Publiskā elektronisko sakaru tīkla īpašnieks var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas;
63.2.
iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem saskaņā ar šo noteikumu 7. pielikumu;
63.3.
informē Satversmes aizsardzības biroju par izmaiņām šo noteikumu 63.2. apakšpunktā minētajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas, izņemot, ja:
63.3.1.
iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta;
63.3.2.
tiek uzstādīti esošās programmatūras atjauninājumi;
63.3.3.
tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām;
63.4.
kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai;
64.
Publiskā elektronisko sakaru tīkla kritiskajās daļās neizmanto tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai.
65.
Sagatavojot šo noteikumu 64. punktā minēto atzinumu, Satversmes aizsardzības birojs vērtē vismaz vienu no šādiem kritērijiem:
65.1.
iespējamību, ka iekārtas vai programmatūras izstrādātājs, ražotājs, izplatītājs vai ārpakalpojuma sniedzējs varētu būt pakļauts tādas valsts ietekmei:
65.1.1.
kas nav NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts,
65.1.2.
kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti,
65.1.3.
kura ir iekļauta publiskā kiberincidenta attiecināšanas paziņojumā, kuru Latvija ir iniciējusi vai kuram ir pievienojusies,
65.1.4.
kurā nepastāv demokrātiska pārvaldes forma vai ar kuru nav nolīguma drošības vai datu aizsardzības jomā,
65.1.5.
kuras tiesību akti paredz pienākumu iekārtas vai programmatūras izstrādātājam, ražotājam, izplatītājam vai ārpakalpojuma sniedzējam sadarboties ar attiecīgās valsts valdību,
65.1.6.
kura spēj veikt jebkāda veida ietekmēšanu, tostarp attiecībā uz iekārtas vai programmatūras ražošanas vai izstrādes vietu;
65.2.
iekārtas vai programmatūras izstrādātāja, ražotāja, izplatītāja vai ārpakalpojuma sniedzēja:
65.2.1.
patieso labuma guvēju un īpašnieku struktūru,
65.2.2.
saikni ar valsti, kas atbilst šo noteikumu 65.1. apakšpunktā minētajiem kritērijiem,
65.2.3.
spēju nodrošināt piegādi vai sniegt pakalpojumu,
65.2.4.
kiberdrošības praksi, tostarp piegādes ķēžu kontroli un to, vai drošības pasākumiem tiek piešķirta pienācīga prioritāte;
66.
Satversmes aizsardzības birojs:
66.1.
uzrauga šajos noteikumos publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu;
66.2.
izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību;
66.3.
var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.
4.4.Ārpakalpojumu prasības
4.4.1.Vispārīgās ārpakalpojumu prasības
67.
Slēdzot ārpakalpojuma līgumu par IKT produktu vai pakalpojumu iegādi, būtisko pakalpojumu sniedzējs iepirkuma specifikācijā (ja attiecināms) un ārpakalpojuma līgumā iekļauj ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par kiberincidentiem un atklātajām produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
68.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam (turpmāk – apakšuzņēmējs), apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību.
69.
Izmantojot ārpakalpojumu, tai skaitā mākoņdatošanas ārpakalpojumu, būtisko pakalpojumu sniedzējam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Būtisko pakalpojumu sniedzēja klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
70.
Informācijas sistēmas vai publiskā elektronisko sakaru tīkla drošības līmenis, ja to attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par būtisko pakalpojumu sniedzēja noteikto. Ārpakalpojuma saņemšana neatbrīvo būtisko pakalpojumu sniedzēju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības, un būtisko pakalpojumu sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
71.
Pirms lēmuma pieņemšanas par ārpakalpojuma iegādi būtisko pakalpojumu sniedzējs izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
72.
Ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par jaunas informācijas sistēmas izstrādi, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības, kā arī paredz:
72.1.
noteiktu informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
72.2.
informācijas sistēmas programmatūras pirmkoda un tā izmantošanas tiesību nodošanu būtisko pakalpojumu sniedzējam ne vēlāk kā pēc šo noteikumu 72.1. apakšpunktā noteiktā laikposma beigām, kā arī pēc katru izmaiņu vai uzlabojumu veikšanas tajā;
72.3.
iespēju šo noteikumu 72.1. apakšpunktā noteiktajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma (piemēram, operētājsistēma, datubāžu vadības sistēma, interpretators) jaunākām versijām.
73.
Ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par esošās informācijas sistēmas uzlabojumiem, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības.
74.
Ja būtisko pakalpojumu sniedzējs slēdz ārpakalpojuma līgumu par tīkla vai informācijas sistēmas uzturēšanu, līgumā iekļauj kiberdrošības prasības, kuras nav zemākas par šajos noteikumos noteiktajām prasībām. Ārpakalpojuma līgumā iekļauj:
74.1.
ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
74.2.
būtisko pakalpojumu sniedzēja un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
74.2.1.
būtisko pakalpojumu sniedzēja tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
74.2.2.
būtisko pakalpojumu sniedzēja tiesības dot ārpakalpojuma sniedzējam obligāti izpildāmus norādījumus jautājumos, kas saistīti ar godprātīgu, kvalitatīvu, savlaicīgu un normatīvo aktu prasībām atbilstošu ārpakalpojuma izpildi,
74.2.3.
būtisko pakalpojumu sniedzēja tiesības iesniegt ārpakalpojuma sniedzējam pamatotu rakstisku pieprasījumu nekavējoties izbeigt ārpakalpojuma līgumu, ja būtisko pakalpojumu sniedzējs konstatējis, ka ārpakalpojuma sniedzējs nepilda ārpakalpojuma līgumā noteiktās prasības attiecībā uz ārpakalpojuma apjomu vai kvalitāti,
74.2.4.
ārpakalpojuma sniedzēja pienākumu nodrošināt būtisko pakalpojumu sniedzējam iespēju pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
74.2.5.
ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības,
74.2.6.
ārpakalpojuma sniedzēja pienākumu informēt būtisko pakalpojumu sniedzēju par apakšuzņēmēju un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
74.3.
tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras būtisko pakalpojumu sniedzējs ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
74.4.
piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.
75.
Ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi uzrauga būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieks.
4.4.2.Īpašās ārpakalpojumu prasības
76.
Līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
76.1.
juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
76.1.1.
tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
76.1.2.
tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
76.1.3.
tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.1.4.
tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām;
76.2.
fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.3.
citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
77.
A kategorijas informācijas sistēmas vai tās elementu izvietošana ārpakalpojuma sniedzēja nodrošinātos tehniskajos resursos ir atļauta tikai tad, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek:
77.1.
NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā;
77.2.
citas valsts teritorijā, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
79.
80.
Ārpakalpojuma līgumu izbeidz:
80.1.
ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām;
80.2.
ja kompetentā valsts drošības iestāde nav saskaņojusi līguma turpināšanu;
81.
Slēdzot ārpakalpojuma līgumu par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, subjekts paredz, ka:
81.1.
auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst šo noteikumu 76. punkta prasībām;
81.2.
auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību;
81.3.
auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā.
5.Papildu prasības IKT kritiskajai infrastruktūrai
82.
Uz visiem IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem attiecas šo noteikumu 3. nodaļā noteiktās papildu prasības būtisko pakalpojumu sniedzējiem, kā arī šajā nodaļā noteiktās papildu prasības.
83.
Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību šo noteikumu 8. punktā minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju.
84.
Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Pamatojoties uz pārbaudes rezultātiem, Satversmes aizsardzības birojs sniedz IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus par drošības pasākumu veikšanu.
85.
IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors.
86.
Ielaušanās testus IKT kritiskajā infrastruktūrā veic ar Satversmes aizsardzības biroju saskaņots ielaušanās testu veicējs.
6.Kiberincidentu vadība
6.1.Kiberincidentu nozīmīguma kritēriji
87.
Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:
87.1.
kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
87.2.
kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām;
87.3.
kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
87.4.
kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
87.5.
kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
87.6.
kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.
88.
Atkarībā no nozīmīgā kiberincidenta veida, tā intensitātes un ietekmes, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs var izsludināt kiberdrošības krīzi, lai nodrošinātu ar nozīmīgā kiberincidenta risināšanu un tā seku likvidēšanu saistīto pasākumu īstenošanu saskaņā ar Nacionālo kiberincidentu krīzes vadības plānu.
6.2.Kiberincidentu ziņošanas kārtība
89.
Konstatējot kiberincidentu, subjekts nekavējoties novērtē kiberincidenta nozīmīgumu.
90.
Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu:
90.1.
agrīnā brīdinājuma veidlapu (8. pielikums);
90.2.
sākotnējā ziņojuma veidlapu (9. pielikums);
90.3.
progresa ziņojuma veidlapu (10. pielikums), ja attiecināms;
90.4.
starpposma ziņojuma veidlapu (11. pielikums), ja attiecināms;
90.5.
galaziņojuma veidlapu (12. pielikums).
91.
Par kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjekts ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.
7.Subjektu kiberdrošības uzraudzība
7.1.Atbilstības audits
92.
Ārēju auditu par subjekta atbilstību Nacionālās kiberdrošības likumā un šajos Noteikumos noteiktajām kiberdrošības prasībām (turpmāk – atbilstības audits) veic:
92.1.
ne retāk kā reizi divos gados, ja subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai, ja subjekta īpašumā, valdījumā, turējumā vai lietošanā ir A kategorijas informācijas sistēmas;
92.2.
ne retāk kā reizi piecos gados, ja subjekta īpašumā, valdījumā, turējumā vai lietošanā nav nevienas A kategorijas informācijas sistēmas;
92.3.
pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma – pieprasījumā noteiktajā termiņā.
93.
Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā (turpmāk – auditoru saraksts) reģistrē auditoru, kurš atbilst šādām prasībām:
93.1.
auditors ir juridiska vai fiziska persona, kura atbilst šo noteikumu 76. punkta prasībām;
93.2.
auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
93.3.
auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
93.4.
auditora reģistrācija nav pretrunā ar valsts drošības interesēm.
94.
Lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai:
94.1.
aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu (13. pielikums);
94.2.
šo noteikumu 93.2. apakšpunktā minēto sertifikātu kopijas.
95.
Auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību šo noteikumu 93. punkta prasībām.
96.
Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
96.1.
saņemts auditora iesniegums par izslēgšanu no saraksta;
96.2.
konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
96.3.
auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
96.4.
pastāv objektīvas bažas par auditora zināšanas kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
96.5.
saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
96.6.
publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
96.7.
publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.
97.
Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts.
98.
Auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.
7.2.Ielaušanās testi
99.
Ielaušanās testus veic šādos gadījumos:
99.1.
A kategorijas informācijas sistēmai:
99.1.1.
pirms informācijas sistēmas nodošanas ekspluatācijā,
99.1.2.
vismaz reizi divos gados informācijas sistēmas ekspluatācijas laikā;
99.2.
jebkuras kategorijas informācijas sistēmai – pēc subjekta iniciatīvas;
99.3.
jebkuras kategorijas informācijas sistēmai – Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pārbaudes ietvaros.
100.
Šo noteikumu 99.1. un 99.2. apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš nebija iesaistīts informācijas sistēmas izstrādē, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76. punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus.
101.
Šo noteikumu 99.3. apakšpunktā minētos ielaušanās testus veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
7.3.Drošības skenēšana
102.
Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
102.1.
pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros;
102.2.
pēc subjekta pieprasījuma.
103.
Vērtējot drošības skenēšanas nepieciešamību, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs ņem vērā vismaz vienu no šādiem apsvērumiem:
103.1.
subjekta veidu un darbības jomu;
103.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
103.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
103.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
103.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
103.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
104.
Ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm.
105.
Drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
7.4.Agrās brīdināšanas sensori
106.
Kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.
107.
Agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija.
108.
Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību:
108.1.
IKT kritiskā infrastruktūra;
108.2.
būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmas;
108.3.
pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra;
108.4.
svarīgo pakalpojumu sniedzēju IKT infrastruktūra.
109.
Vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, kiberincidentu novēršanas institūcija ņem vērā vismaz vienu no šādiem apsvērumiem:
109.1.
subjekta veidu un darbības jomu;
109.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
109.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
109.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
109.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
109.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
110.
Subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga.
111.
Kiberincidentu novēršanas institūcija savlaicīgi informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu.
112.
Pēc kiberncidentu novēršanas institūcijas pieprasījuma subjekts nodrošina tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.
7.5.Pašvērtējums
113.
Subjekts veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:
113.1.
reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma;
113.2.
reizi trijos gados – subjekts, kura īpašumā, valdījumā, turējumā un lietošanā nav nevienas A kategorijas informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk.
114.
Veicot pašnovērtējumu, subjekts sagatavo un līdz attiecīgā kalendārā gada 1. oktobrim iesniedz Nacionālajam kiberdrošības centram (IKT kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji – Satversmes aizsardzības birojam) elektroniski aizpildītu pašvērtējuma ziņojuma veidlapu (14. pielikums).
7.6.Neatbilstību novēršana valsts un pašvaldību institūcijās
115.
Ja subjekts, kurš ir tiešās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam.
116.
Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē vides aizsardzības un reģionālās attīstības ministru.
117.
Ja subjekts, kurš ir iepriekšējos divos punktos neminēta valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par konstatēto neatbilstību ziņo Ministru kabinetam. Ministru kabinets lemj par turpmāko rīcību neatbilstības novēršanai.
7.7.Piekļuves slēgšana elektronisko sakaru tīklam
118.
Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju.
119.
Elektronisko sakaru komersants atslēdz lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā pēc piekļuves slēgšanas pieprasījuma saņemšanas.
120.
Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.
121.
Pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām elektronisko sakaru komersants atjauno lietotājam piekļuvi elektronisko sakaru tīklam.
8.Noslēguma jautājumi
122.
Atzīt par spēku zaudējušiem šādus Ministru kabineta noteikumus:
122.1.
Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (Latvijas Vēstnesis, 2015, 149. nr.);
122.2.
Ministru kabineta 2011. gada 1. februāra noteikumus Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība" (Latvijas Vēstnesis, 2011, 25. nr.);
122.3.
Ministru kabineta 2019. gada 15. janvāra noteikumus Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu" (Latvijas Vēstnesis, 2019, 12. nr.);
122.4.
Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (Latvijas Vēstnesis, 2023, 46. nr.);
122.5.
Ministru kabineta 2011. gada 26. aprīļa noteikumus Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem" (Latvijas Vēstnesis, 2011, 69. nr.);
123.
Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 64. punktā minēto prasību piemēro no 2030. gada 1. janvāra.
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds
1.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapa
2.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapa
3.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Kiberdrošības pārvaldnieka paziņojuma veidlapa
4.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Metodika informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klases noteikšanai
| Drošības klase | Pazīmes | ||
| Konfidencialitātes klase | Integritātes klase | Pieejamības klase | |
|
A klase (augstākais riska līmenis, var būt tikai būtisko pakalpojumu sniedzējam) | |||
(a) informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus; |
(a) informācijas resurss ļauj informācijas sistēmā veikt darbības ar personai piederošo nekustamo īpašumu vai transportlīdzekļu īpašumtiesību reģistrāciju; |
(a) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 0,1% kalendārā gada ietvaros; |
|
(b) informācijas resurss satur vismaz 50% Latvijas Republikas valstspiederīgo īpašu kategoriju personas datus; |
(b) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību; | (b) informācijas resursa nepieejamība var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību; | |
| (c) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu nacionālās drošības interesēm; | (c) informācijas resursa integritātes pārkāpums var izraisīt katastrofu; | (c) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta A pieejamības klase; | |
|
B klase (vidējais riska līmenis) |
(d) informācijas resurss satur ierobežotas pieejamības informāciju vai īpašu kategoriju personas datus; | (d) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt subjekta darbību vai tā būtiskā vai svarīgā pakalpojuma sniegšanu; | (d) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 1% kalendārā gada ietvaros; |
| (e) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu Latvijas Republikas, subjekta vai citu subjektu reputācijai | (e) informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt citu subjektu darbību vai to sniegto būtisko un svarīgo pakalpojumu sniegšanu; | (e) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta B pieejamības klase; | |
|
C klase (zemākais riska līmenis) |
(f) informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde nekaitētu Latvijas Republikas, subjekta vai citu subjektu reputācijai. | (f) informācijas resursa integritātes pārkāpums neietekmē subjekta vai citu subjektu pamatfunkciju īstenošanu, būtisko vai svarīgo pakalpojumu sniegšanu. | (f) informācijas resursa pieejamības pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri drīkst pārsniegt 1% kalendārā gada ietvaros. |
5.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Kiberinicidentu tipoloģija
| Kods | Kiberincidenta veids |
| 01 | Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs) |
| 02 | Ļaundabīgs kods |
| 03 | Informācijas vākšana |
| 04 | Ielaušanās mēģinājums |
| 05 | Ielaušanās |
| 06 | Pieejamības traucējums |
| 07 | Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana) |
| 08 | Krāpniecība |
| 09 | Ievainojamība |
| 10 | Cits kiberincidenta veids |
| 99 | Pārbaude (mācības) |
6.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Publisko elektronisko sakaru tīklu kritiskās daļas
1. Par publiskā elektronisko sakaru tīkla (turpmāk – sakaru tīkls) kritisko daļu tiek atzīta tāda daļa, ar kuru pilnībā vai daļēji īsteno vismaz vienu no šādām funkcijām:
1.1. galvenās maršrutēšanas funkcijas un cita veida galalietotāju datplūsmas kontrole vai vadīšana sakaru tīklā, kas var būtiski ietekmēt datplūsmu sakaru tīklā (piemēram, sakaru tīkla vai pakalpojuma sastāvdaļas, ja tās kontrolē vai vada būtisku datplūsmas daļu visā tīklā);
1.2. galalietotāju piekļuves pārvaldība, verifikācija un apstiprināšana, tīkla IKT resursu piešķiršana galalietotājiem un galalietotāju savienojumu un sesiju pārvaldība;
1.3. sakaru tīkla un pakalpojumu funkciju reģistrācija, verifikācija un apstiprināšana;
1.4. infrastruktūras pakalpojumi, kas vajadzīgi sakaru tīkla un pakalpojumu darbībai un tā darbības atbalstam;
1.5. funkcijas, ko izmanto, lai īstenotu saskarnes starp sakaru tīkliem vai pakalpojumiem, tostarp viesabonēšanu;
1.6. funkcijas, kas savstarpēji savieno sakaru tīklus vai pakalpojumus, ja šāda funkcija var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu caur tīklu;
1.7. galvenās drošības funkcijas (piemēram, centralizēta sakaru tīkla, tā funkciju un galalietotāju šifrēšanas un atslēgu pārvaldība);
1.8. tīkla pārvaldības un tīkla uzraudzības sistēmas, ja tās attiecas uz sakaru tīkla kritisko daļu pārvaldību vai uzraudzību vai ja tās citādi var būtiski ietekmēt piekļuvi tīklam vai datplūsmu tīklā, kā arī citas rēķinu sagatavošanas, atbalsta un aizmugursistēmas, kas var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu tīklā;
1.9. funkcijas, kas veic telekomunikāciju pārtveršanu vai uzraudzību tiesībaizsardzības iestāžu vajadzībām;
1.10. virtualizācija, ja to izmanto tādas funkcijas vai pasākuma īstenošanai, ko uzskata par kritisku sakaru tīkla daļu;
1.11. jebkura cita funkcija vai pasākums, ja to īsteno, izmantojot virtualizāciju, ko uzskata par kritisku sakaru tīkla daļu, kas minēta šā pielikuma 1.10. apakšpunktā;
1.12. galvenās funkcijas un pasākumi, kas ļauj piekļūt datiem par sakaru tīklā apstrādātās saskarnes vai galiekārtas ģeogrāfisko atrašanās vietu vai ļauj noteikt atrašanās vietu, izmantojot sakaru tīklu.
2. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 4G tīkla pamatfunkcijām ir pakotņu komutācijas funkcijas tādā apmērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 1. tabulā norādītajām 4G tīkla funkcijām.
1. tabula
4G tīkla kritiskās daļas
| Nr. p. k. | Funkcijas | Apraksts |
| 2.1. | Mājas abonentu serveris (HSS) | Abonentu reģistrs, kurā glabā datus, lai apstrādātu lietotāja sesijas un savienojumus |
| 2.2. | Iekārtu identifikatoru reģistrs (EIF) | Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces |
| 2.3. | Abonementa atrašanās vietas noteikšanas funkcija (SLF) | Funkcija, kas uz citām tīkla funkcijām pārraida centrālās datubāzes nosaukumu, kurā ir lietotāja dati (HSS) |
| 2.4. | Mobilo sakaru pārvaldības struktūra (MME) | Struktūrvienība, kas atbild par galiekārtas savienojumu un mobilitātes pārvaldību |
| 2.5. | Apkalpojošā vārteja (SGW) | Apkalpojošā vārteja, kas atbild par datplūsmas maršrutēšanu lietotāja līmenī |
| 2.6. | Pakešdatu tīkla vārteja (PDN GW) | Komutējama pakešu tīkla vārteja starp operatora iekšējo IP tīklu un ārējo IP tīklu |
| 2.7. | Paplašināta pakešdatu vārteja (EPDG) | Vārteja lietotāju savienošanai ārpus mobilā tīkla |
| 2.8. | 3GPP AAA serveris un 3GPP AAA starpniekserveris | Serveris un starpniekserveris, kas atbild par lietotāju verifikāciju un apstiprināšanu ārpus mobilā tīkla |
| 2.9. | Piekļuves tīkla noteikšana un atlases funkcija (ANDSF) | Funkcija, kas kontrolē lietotāja datplūsmu starp mobilo sakaru tīklu un fiksēto sakaru tīklu |
| 2.10. | Politikas un maksas noteikumu funkcija (PCRF) | Lietotāja saskarnes politika un rēķinu izrakstīšanas funkcija |
3. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 5G pamattīkla funkcijām ir arī citas funkcijas tādā mērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā.
4. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 2. tabulā norādītajām 5G tīkla funkcijām.
2. tabula
5G tīkla kritiskās daļas
| Nr. p. k. | Funkcijas | Apraksts |
| 4.1. | Piekļuves un mobilo sakaru pārvaldības funkcija (AMF) | Atbild par lietotāju kontroles datplūsmas terminoloģiju, galiekārtu reģistrāciju un mobilo sakaru pārvaldību |
| 4.2. | Lietotāja plaknes funkcija (UPF) | Atbild par lietotāja datplūsmas maršrutēšanu, vadīšanu un pārvaldību |
| 4.3. | Politikas kontroles funkcija (PCF) | Atbild par datplūsmas kontroli un piekļuves pārvaldības politikas īstenošanu |
| 4.4. | Autentifikācijas servera funkcija (AUSF) | Atbild par lietotāju galiekārtu verificēšanu |
| 4.5. | Vienota datu pārvaldība (UDM) | Atbild par lietotāju piekļuves pārvaldību un šifrēšanas atslēgu izveidi un pārvaldību |
| 4.6. | Lietojumprogrammas funkcija (AF) | Tiešsaistē atbalsta maršrutēšanas lēmumus |
| 4.7. | Tīkla ekspozīcijas funkcija (NEF) un vidējā NEF (I-NEF) | Ļauj nodrošināt 5G pamattīkla funkcijas trešajām personām un ārējām lietojumprogrammām |
| 4.8. | Tīkla repozitorija funkcija (NRF) | Atbild par tīkla pakalpojumu pieejamību, reģistrēšanu un apstiprināšanu |
| 4.9. | Tīkla sadaļu atlases funkcija (NSSF) | Atbild par tīkla sadalīšanas pakalpojumiem un specifikācijām |
| 4.10. | Tīkla sadaļu īpašās autentifikācijas un apstiprināšanas funkcija (NSAAF) | Atbild par tīkla sadaļu verifikāciju un apstiprināšanu |
| 4.11. | Sesiju pārvaldības funkcija (SMF) | Atbild par lietotāja sesiju pārvaldību |
| 4.12. | Drošmalu aizsardzības starpniekserveris (SEPP) | Starpniekserveris, kas ļauj nodrošināt savienojumu ar citiem tīkliem |
| 4.13. | Nestrukturētu datu glabāšanas funkcija (UDSF) | Funkcija, ko izmanto, lai glabātu un izgūtu nestrukturētus datus |
| 4.14. | Vienotais datu repozitorijs (UDR) | Repozitorijs, kas spēj glabāt un izgūt cita starpā abonenta informāciju |
| 4.15. | UE radio iespēju pārvaldības funkcija (UCMF) | Funkcija, kas glabā un saglabā galiekārtu ID radio iespējas datus |
| 4.16. | Funkcija mijiedarbībai ārpus 3GPP tīkla (N3IWF) | Funkcija, kas lietotājiem ārpus mobilā tīkla ļauj piekļūt tīkla funkcijām |
| 4.17. | 5G iekārtu identifikatoru reģistrs (5G-EIR) | Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces |
| 4.18. | Pakalpojuma sakaru starpniekserviss (SCP) | Maršrutē ziņojumus uz citām tīkla funkcijām |
| 4.19. | Tīkla datu analīzes funkcija (NWDAF), izņemot dalīto funkciju, tādā mērā, kādā tā būtiski nekontrolē vai nevada piekļuvi tīklam un datplūsmu tīklā | Vāc un analizē datus tīkla kontrolei |
7.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Publiskā elektronisko sakaru tīkla kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu saraksta veidlapa
8.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Agrīnā brīdinājuma veidlapa
9.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Sākotnējā ziņojuma veidlapa
10.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Progresa ziņojuma veidlapa
11.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Starpposma ziņojuma veidlapa
12.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Galaziņojuma veidlapa
13.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Kiberdrošības auditora reģistrācijas pieteikuma veidlapa
14.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Pašvērtējuma ziņojuma veidlapa