Noteikumu projekts

I.    Datu centru prasību kategorijas.
1.    Datu centru drošības prasības noteiktas šādās kategorijās:
1.1.    Organizatoriskās prasības;
1.2.    Tehniskās prasības;
1.3.    Fiziskās drošības prasības;
1.4.    Pieejamības prasības;
1.5.    IKT pakalpojumu prasības;

II.    Organizatoriskās prasības
2.    Personāla apmācība: Ne retāk kā reizi sešos mēnešos drošības apmācības, kas ietver krīžu vadību un datu aizsardzību. Apmācībās tiek ietverti arī praktiskie treniņi, kuros simulēti sarežģīti incidenti, piemēram, sarežģīti pastāvīgie draudi (APT) vai datu noplūdes. Treniņos iegūtie rezultāti tiek rūpīgi dokumentēti un analizēti, lai identificētu iespējamās vājās vietas drošības procedūrās. Pamatojoties uz šiem rezultātiem, tiek izstrādāti korekcijas pasākumi un organizētas papildu apmācības, ja nepieciešams.
3.    Fiziskā piekļuves kontrole: Fiziskā piekļuve nodrošināta, izmantojot daudzfaktoru autentifikāciju (biometriskā autentifikācija apvienojumā ar radiofrekvences identifikācijas (RFID) karti vai personisko identifikācijas numuru (PIN kodu)). Autentifikācijas dati tiek droši šifrēti un glabāti atbilstoši spēkā esošajiem datu aizsardzības normatīvajiem aktiem. Visi piekļuves mēģinājumi tiek reģistrēti, dokumentēti un pastāvīgi uzraudzīti. Papildus tiek nodrošināta pastāvīga fiziskā apsardze un uzraudzība, kas veic regulāru apgaitu un reaģē uz aizdomīgiem piekļuves mēģinājumiem vai incidentiem. Pieejas reģistri tiek glabāti vismaz piecus gadus.
4.    Drošības pārbaudes: Regulāras, bet ne retāk kā reizi gadā, drošības pārbaudes, detalizēts drošības audits un risku analīze. Drošības pārbaudes veic neatkarīga ārējā trešā puse (sertificēts drošības auditors). Kiberdrošības pārvaldnieks var veikt starpposma pārbaudes un uzraudzību laika posmos starp ārējiem auditiem.
5.    Incidentu pārvaldība: Izveidotas un regulāri, bet ne retāk kā reizi gadā pārbaudītas incidentu pārvaldības procedūras, iekļaujot atbildes procedūras uz kiberdrošības incidentiem.
6.    Dokumentācijas pārvaldība: Ir izstrādāta detalizēta dokumentācijas pārvaldības sistēma, kas ietver visu drošības procedūru, apmācību un incidentu pārvaldības dokumentāciju, kas tiek pārskatīta un atjaunināta vismaz reizi sešos mēnešos.
7.    Darbinieku drošības pārbaudes: Tiek veiktas regulāras darbinieku drošības pārbaudes vismaz reizi gadā, ietverot gan tehniskās, gan fiziskās drošības aspektus. Tehniskās drošības pārbaudes aptver kiberdrošības, datu aizsardzības un IKT sistēmu aizsardzības aspektus, savukārt fiziskās drošības pārbaudes fokusējas uz drošības procedūrām un piekļuves kontroles prasmēm. Pārbaudes tiek veiktas pirms darbinieku pieņemšanas darbā un regulāri pēc tam, vismaz reizi divos gados, un to rezultāti tiek dokumentēti un analizēti.
III.    Tehniskās prasības
8.    Klimata kontrole: Nodrošina klimata kontroli ar temperatūras un mitruma līmeņa uzturēšanu:
8.1.    Temperatūras uzturēšana: Tiek nodrošināta pastāvīga iekšējā temperatūra, kas nepārsniedz 18-27°C, lai aizsargātu iekārtas no pārkaršanas vai citiem tehniskiem bojājumiem, kas saistīti ar temperatūras svārstībām;
8.2.    Mitruma uzturēšana: Mitruma līmenis tiek uzturēts robežās no 30-70%, lai nodrošinātu optimālus apstākļus iekārtām un izvairītos no problēmām, kas var rasties mitruma pārmērības vai trūkuma dēļ (piemēram, kondensācija vai statiskā elektrība).
9.    Enerģijas pārvaldība: Vairākas nepārtrauktas barošanas sistēmas (UPS) un rezerves ģeneratori, lai nodrošinātu darbību vismaz 12 stundas bez elektrības piegādes, garantējot 99,9% pieejamību kalendārā gada ietvaros.
10.    Dzesēšanas sistēmas: Dzesēšanas sistēmas, kas nodrošinātas ar 2N rezervēšanu, garantējot nepārtrauktu darbību vienas sistēmas atteices gadījumā.
11.    Tīkla infrastruktūra: Latentums starp datu centra iekārtām un klienta sistēmām nepārsniedz 10 milisekundes. Īpaši augsta rezervēšana (2N konfigurācija tīkla komponentēm, kas nodrošina, ka tīkla infrastruktūra turpina darboties vairāku tīkla komponenšu atteices gadījumā) un drošības pasākumi tīklošanā, tostarp šifrēta datu pārraide izmantojot vismaz AES-256 šifrēšanas standartu.
12.    Apkopes plāni: Izstrādāti detalizēti apkopes plāni ar precīziem procedūru aprakstiem, kas tiek pārskatīti un apstiprināti. Plāni jāatjaunina vismaz reizi divos gados un jāglabā drošā sistēmā ar piekļuves reģistrāciju.
IV.    Fiziskās drošības prasības
13.    Videonovērošana: ir uzstādīta videonovērošanas sistēma, kas nodrošina reāllaika uzraudzību un ierakstīšanu visās kritiskajās zonās. Videoieraksti tiek šifrēti un glabāti drošās, piekļuvei ierobežotās sistēmās vismaz 90 dienas, nodrošinot to integritāti un konfidencialitāti. Ierakstu piekļuve tiek reģistrēta un analizēta.
14.    Pretplūdu risinājumi: Datu centrā ir pretplūdu risinājumi, tai skaitā mitruma sensori, un citas sistēmas, kas nodrošina datu centra aizsardzību pret iespējamiem plūdiem vai citiem mitruma radītiem bojājumiem.
15.    Ģeogrāfiskā izvietojums: Īpaši izvēlētas lokācijas ar minimālu dabas un cilvēku radītu risku.
16.    Apsardzes personāls: Nodrošināts, ka apsardzes personāls ir augsti kvalificēts un regulāri apmācīts, veicot apmācības vismaz reizi sešos mēnešos. Apsardzes personāls atrodas objektā 24/7 vai tiek nodrošināts, ka reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes, kurā apsardzes personāls ierodas objektā.
17.    Ugunsdrošības sistēmas to pārbaudes un uzraudzība: Datu centrs atbilst spēkā esošajiem ugunsdrošības normatīvajiem aktiem. Datu centrā ir papildus drošības risinājumi, piemēram, ugunsdrošības sistēmas ar dūmu detektoriem un automātisko ugunsdzēšanu, kas piemērota datu centru telpām. Tiek veiktas ugunsdrošības sistēmas pārbaudes un testi vismaz reizi sešos mēnešos, bet ne retāk kā noteikts ražotāja dokumentācijā, un tiek nodrošināta nepārtraukta reāllaika ugunsdrošības sistēmu uzraudzība drošības uzraudzības centrā.
V.    Pieejamības prasības
18.    Sistēmas pieejamība: Datu centram jābūt pieejamam vai jādarbojas ar 99, 982% pieejamību kalendārā gada ietvaros, kas atbilst maksimāli pieļaujamam kopējam pārtraukuma laikam līdz 7,2 minūtēm mēnesī vai 1,6 stundām gadā..
19.    Tehniskā apkope: Sistēmu apkopes un remontdarbi var notikt bez pārtraukuma datu centra darbībā, izmantojot rezervētās sistēmas un komponentes.
20.    Plānotie pārtraukumi: Ieplānotie uzturēšanas darbi tiek veikti saskaņā ar iepriekš noteiktajiem grafikiem, tiek klientiem iepriekš paziņoti, un nepārsniedz 2 stundas.
21.    Neparedzēti pārtraukumi: Reakcijas laiks, lai identificētu un sākotnēji novērstu problēmu, nepārsniedz 15 minūtes.
22.    Darbības atjaunošanas plāns: Darbības atjaunošanas plāns ir detalizēti dokumentēts, un vismaz reizi pusgadā tiek veikta tā efektivitātes un saskaņotības pārbaude, veicot simulācijas dažādiem scenārijiem, tostarp darbības atjaunošanas vadības vingrinājumi un detalizēta rīcības plānu pārbaude.
23.    Darbības atjaunošana:
23.1.    Atjaunošanas laika mērķis (RTO - Maksimālais pieļaujamais laiks, kura laikā datu centra pakalpojuma darbība ir atjaunojama pēc pārtraukuma) nepārsniedz 1 stundu.
23.2.    Atjaunošanas punkta mērķis (RPO - maksimālais pieļaujamais datu zuduma apjoms, kas izteikts laikā) nepārsniedz 15 minūtes;
23.3.    Maksimālais pieļaujamais pārtraukuma laiks (MTO - maksimālais laiks, kuru uzņēmums vai sistēma var atļauties būt nepieejama pirms tam, kad pārtraukums sāk radīt nopietnas un neatgriezeniskas sekas uzņēmējdarbībai) nepārsniedz 2 stundas.
24.    Darbības nepārtrauktības plāns: Izstrādāts detalizēts darbības nepārtrauktības plāns ar scenāriju simulācijām, un tiek veiktas tā pārbaudes vismaz reizi sešos mēnešos.
VI.    IKT pakalpojumu prasības
25.    Nodrošina standarta informācijas un komunikācijas un tehnoloģiju pakalpojumu līgumus ar prasībām attiecībā uz pieejamību, reakcijas laiku, problēmu risināšanas laiku, uzraudzību un ziņošanu parametriem (SLA), kas nav zemāki kā šajā noteikumu pielikuma sadaļās V Pieejamības prasības un VI IKT pakalpojumu prasības noteiktie.
26.    Pārvaldības un uzraudzības rīki: Izmantot automatizētus rīkus sistēmu stāvokļa uzraudzībai reāllaikā, lai nodrošinātu nepārtrauktu sistēmu un pakalpojumu pieejamību.
27.    Incidentu žurnāls: Uzturēts detalizēts incidentu žurnāls, kas satur visu drošības incidentu aprakstus, novēršanas pasākumus, izmeklēšanas rezultātus, pieņemtos lēmumus, un veikta tā pārskatīšana vismaz reizi nedēļā.
28.    Datu nesēju klasifikācija un uzskaite: Nodrošina visu datu nesēju uzskaiti un pārraudzību visā to dzīves ciklā (iegāde, lietošana, transportēšana, atkārtota izmantošana, glabāšana, iznīcināšana), tai skaitā dokumentāciju par datu nesēju iznīcināšanu.
29.    Datu nesēju iznīcināšana: Nodrošina datu nesēju, kas tiek identificēti kā bojāti vai neizmantojami, iznīcināšanu ne vēlāk kā 30 dienu laikā pēc to darbības pārtraukšanas. Izmanto drošu datu nesēju iznīcināšanas metodi, kas atbilst informācijas sensitivitātes līmenim un starptautiskajiem standartiem (piemēram, NIST 800-88).
VII.    Starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem.
30.    Datu centrs var nepiesaistīt Kvalificētu auditoru atbilstības audita veikšanai, ja Datu centram ir aktuāls kāds no šādiem starptautiski atzītajiem sertifikātiem, un tas tiek regulāri atjaunots un pārbaudīts:
30.1.    Uptime Institute Tier III vai Tier IV standarta atbilstības sertifikāts uzticamībai un pieejamībai;
30.2.    TIA-942 Sertifikāts ar īpaši augstas rezervēšanas un drošības prasībām;
30.3.    EN 50600-1, EN 50600-2-1, EN 50600-2-2, EN 50600-2-3, EN 50600-2-5, EN 50600-3-1 - datu centru infrastruktūras un paaugstinātas drošības pārvaldības prasībām;
30.4.    ISO/IEC TS 22237 (paaugstinātas drošības līmenis) atbilstības sertifikāts ar paaugstinātas drošības prasībām;
31.    Ja uz datu centru neattiecas Ministru kabineta noteikumi Noteikumi par minimālajām kiberdrošības prasībām, tad papildus kādam no šī pielikuma 30. punktā minētajiem sertifikātiem datu centram jābūt arī ISO/IEC 27001 sertifikātam - informācijas drošības pārvaldībā.