Noteikumu konsolidētā versija

21-TA-572
Parakstu vākšanas tiešsaistes sistēmu drošības un tehniskās prasības
Izdoti saskaņā ar likuma "Par tautas nobalsošanu, likumu
ierosināšanu un Eiropas pilsoņu iniciatīvu" 22.panta piekto daļu
I.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
drošības un tehniskās prasības parakstu vākšanas tiešsaistes sistēmai, lai nodrošinātu uzticamu un drošu parakstu vākšanu, izmantojot valsts pārvaldes pakalpojumu portālu www.latvija.lv (turpmāk – portāls) un citas parakstu vākšanas tiešsaistes sistēmas;
1.2.
institūciju, kura izvērtē parakstu vākšanai izmantotās tiešsaistes sistēmas atbilstību šiem noteikumiem.
2.
Lai nodrošinātu parakstu vākšanu elektroniski, izmantojot portālu, tiek izveidota parakstu vākšanas tiešsaistes sistēma (turpmāk – portāla parakstu vākšanas tiešsaistes sistēma). Sistēmas pārzinis ir Centrālā vēlēšanu komisija (turpmāk – komisija) un turētājs – Valsts reģionālās attīstības aģentūra (turpmāk – aģentūra).
(MK 09.06.2015. noteikumu Nr.297 redakcijā)
3.
Parakstu vākšanu var organizēt, izmantojot privātpersonas parakstu vākšanas tiešsaistes sistēmu, ja Digitālās drošības uzraudzības komiteja (turpmāk – sertificējošā institūcija) ir izsniegusi atbilstības sertifikātu, kas apliecina, ka privātpersonas parakstu vākšanas tiešsaistes sistēma atbilst šo noteikumu drošības un tehnisko parametru prasībām.
(Grozīts ar MK 16.01.2018. noteikumiem Nr. 29)
4.
Persona, kas organizē un vada portāla parakstu vākšanas tiešsaistes sistēmas un privātpersonas parakstu vākšanas tiešsaistes sistēmas darbību, ir atbildīga par tās korektu izveidi, ieviešanu, uzturēšanu, izmantošanu, izmaiņu veikšanu un likvidēšanu atbilstoši šo noteikumu prasībām.
5.
Šo noteikumu prasības neattiecas uz iekārtām, kuras fiziskā persona izmanto parakstu iesniegšanai.
6.
Informāciju par portāla elektroniski identificētu fizisku personu, kura parakstīšanās dienā atbilst likumā "Par tautas nobalsošanu, likumu ierosināšanu un Eiropas pilsoņu iniciatīvu" noteiktajām prasībām (turpmāk – vēlēšanu tiesības), portāla parakstu vākšanas tiešsaistes sistēmai no Fizisko personu reģistra sniedz Pilsonības un migrācijas lietu pārvalde, izmantojot tīmekļa pakalpi. Pilsonības un migrācijas lietu pārvalde ir tīmekļa pakalpes pārzinis un turētājs.
7.
Aģentūra un komisija sadarbojas ar Pilsonības un migrācijas lietu pārvaldi par tīmekļa pakalpes izmantošanu saskaņā ar šiem noteikumiem un aģentūras apstiprinātajām vadlīnijām par valsts informāciju sistēmu savietotāja izmantošanu, neslēdzot savstarpēju vienošanos.
II.Portāla parakstu vākšanas tiešsaistes sistēmas un privātpersonas parakstu vākšanas tiešsaistes sistēmas drošības prasības
8.
Portāla parakstu vākšanas tiešsaistes sistēma atbilst normatīvajiem aktiem par informācijas sistēmu vispārējās drošības prasībām, kā arī šo noteikumu prasībām.
9.
Aģentūra ikgadējā Valsts informācijas sistēmas drošības audita ietvaros veic portāla parakstu vākšanas tiešsaistes sistēmas auditu atbilstoši šo noteikumu prasībām.
10.
Privātpersonas parakstu vākšanas tiešsaistes sistēmas darbībai tiek izvirzītas šādas prasības:
10.1.
datu apstrādi nodrošina atbilstoši normatīvajiem aktiem par fizisko personu datu aizsardzību;
10.2.
informācijas sistēmu drošības un organizatorisko pārvaldību nodrošina saskaņā ar Latvijas nacionālo standartu LVS: ISO/IEC 27001:2014 L "Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības";
10.3.
nodrošina vismaz šādu dokumentu sagatavošanu un apstiprināšanu:
10.3.1.
risku novērtējums un akceptēto risku saraksts;
10.3.2.
informācijas sistēmu drošības politika un noteikumi;
10.4.
nodrošina organizatoriskos līdzekļus, lai saņemtu informāciju par jauniem draudiem un drošības uzlabojumiem, kā arī aprakstu (procedūru) par šādas informācijas saņemšanu;
10.5.
saskaņā ar šo noteikumu 10.3.1. apakšpunktu veic drošības kontroles vismaz šādās jomās:
10.5.1.
riska novērtējums;
10.5.2.
fiziskā un vides drošība;
10.5.3.
cilvēkresursu drošība;
10.5.4.
saziņas un operāciju pārvaldība;
10.5.5.
standarta piekļuves kontroļu pārvaldība;
10.5.6.
informācijas sistēmu iegāde, izveidošana, uzturēšana un likvidēšana;
10.5.7.
informācijas drošības starpgadījumu un pakalpojumu nepārtrauktības pārvaldība;
10.5.8.
pasākumi, kas veicami, lai labotu un mazinātu informācijas sistēmu ievainojamību, kuras dēļ varētu notikt apstrādāto datu iznīcināšana, nejauša nozaudēšana, izmainīšana, neatļauta izpaušana vai piekļuve tiem;
10.5.9.
atbilstība normatīvo aktu prasībām;
10.5.10.
datortīklu drošība.
11.
Lai parakstu vākšanu organizētu elektroniski, izmantojot privātpersonas parakstu vākšanas tiešsaistes sistēmu, persona, kura minēta šo noteikumu 4. punktā, iesniedz sertificējošajā institūcijā iesniegumu privātpersonas parakstu vākšanas tiešsaistes sistēmas atbilstības sertifikāta saņemšanai, kā arī šādu informāciju, ja tā pēdējo 12 mēnešu laikā nav sniegta:
11.1.
ziņas par iesniedzēju (juridiskai personai – nosaukumu, reģistrācijas numuru, kontakttālruni un e-pasta adresi; fiziskai personai – vārdu, uzvārdu, personas kodu, kontakttālruni un e-pasta adresi);
11.2.
sistēmas tehniskā specifikācija, kas ietver vismaz:
11.2.1.
datortīkla slēguma shēmu izmantojamajām iekārtām un serveriem;
11.2.2.
serveru datu glabāšanas iekārtu un tīkla iekārtu sarakstu, norādot modeļu nosaukumus;
11.2.3.
izmantojamās programmatūras sarakstu ar versijām;
11.2.4.
iekārtu atrašanās vietas adresi;
11.3.
sistēmas drošības politika, drošības un lietošanas noteikumi;
11.4.
risku novērtējuma dokuments, kurā norāda:
11.4.1.
sistēmas darbības jomu;
11.4.2.
identificēto risku ietekmi uz sistēmas darbību, tai skaitā novērtējot risku iestāšanās varbūtību, materiālos un nemateriālos zaudējumus, ietekmi uz sistēmas pieejamību, datu konfidencialitāti;
11.4.3.
ja notikuši informācijas sistēmu drošības pārkāpumi, papildus norāda:
11.4.3.1.
pretpasākumus, lai novērstu šādus pārkāpumus;
11.4.3.2.
aizsardzības līdzekļus, kas tiks izmantoti, ja pārkāpumi atkārtosies;
11.4.3.3.
uzskaitītos nenovērstos riskus;
11.4.3.4.
nepieciešamos uzlabojumus, kas norādīti prioritārā secībā;
11.5.
tiešsaistes sistēmas pirmkods, kas ietver visu pirmkodu, kurš radīts vai mainīts, veidojot sistēmu vai tās komponentes, piemēram, lietojumus, kas var tikt darbināti uz galiekārtas;
11.6.
iekšējā audita ziņojums, kurā izvērtēta privātpersonas parakstu vākšanas tiešsaistes sistēmas atbilstība šo noteikumu prasībām;
11.7.
šo noteikumu 4. punktā minētās personas apliecinājums, ka privātpersonas parakstu vākšanas tiešsaistes sistēma atbilst šiem noteikumiem;
11.8.
servera vai serveru interneta protokola (turpmāk – IP) adrese vai adreses, no kurām privātpersonas parakstu vākšanas tiešsaistes sistēma iesniegs parakstus, izmantojot šo noteikumu 31. punktā minēto tīmekļa saskarni;
11.9.
tīmekļa vietnes adrese (domēna vārds, Domēna nosaukuma sistēmas adrese vai adreses, IP adrese vai adreses), kurā tiks vākti paraksti.
(Grozīts ar MK 09.06.2015. noteikumiem Nr.297)
12.
Sertificējošā institūcija izskata šo noteikumu 11. punktā minēto iesniegumu un pievienoto informāciju un Administratīvā procesa likumā noteiktajā kārtībā un termiņā izsniedz atbilstības sertifikātu vai pieņem lēmumu par atteikumu izsniegt atbilstības sertifikātu.
13.
Ja tiek pieņemts lēmums par atbilstības sertifikāta izsniegšanu, sertificējošā institūcija par to informē šo noteikumu 4. punktā minēto personu un komisiju, norādot šo noteikumu 11.8. apakšpunktā minēto IP adresi vai adreses.
(Grozīts ar MK 09.06.2015. noteikumiem Nr.297)
14.
Komisija 10 darbdienu laikā pēc šo noteikumu 13. punktā minētās informācijas saņemšanas piešķir privātpersonas parakstu vākšanas tiešsaistes sistēmai piekļuvi šo noteikumu 31. punktā minētajai tīmekļa saskarnei, lai iesniegtu savāktos parakstus.
(MK 09.06.2015. noteikumu Nr.297 redakcijā)
15.
Sertificējošajai institūcijai ir šādas tiesības:
15.1.
veikt privātpersonas parakstu vākšanas tiešsaistes sistēmas drošības auditu vai pārbaudi, tai skaitā visa sistēmas dzīves cikla laikā veidotā vai mainītā pirmkoda pārbaudi;
15.2.
pieņemt lēmumu par atbilstības sertifikāta anulēšanu, ja drošības audita vai pārbaudes laikā tiek konstatēts, ka privātpersonas parakstu vākšanas tiešsaistes sistēma neatbilst šo noteikumu prasībām;
15.3.
pieņemt lēmumu par atbilstības sertifikāta anulēšanu, neveicot drošības auditu vai pārbaudi, ja tiek konstatēta privātpersonas parakstu vākšanas tiešsaistes sistēmas neatbilstība šo noteikumu prasībām.
16.
Šo noteikumu 15.2. un 15.3. apakšpunktā minēto lēmumu var pārsūdzēt tiesā Administratīvā procesa likumā noteiktajā kārtībā.
17.
Ja pieņemts šo noteikumu 15.2. vai 15.3. apakšpunktā minētais lēmums, sertificējošā institūcija par to informē šo noteikumu 4. punktā minēto personu un komisiju, kā arī nosūta komisijai pieprasījumu bloķēt piekļuvi šo noteikumu 31. punktā minētajai tīmekļa saskarnei.
(MK 09.06.2015. noteikumu Nr.297 redakcijā)
18.
Privātpersonas parakstu vākšanas tiešsaistes sistēmas darbība ar šo noteikumu 15.2. vai 15.3. apakšpunktā minētā lēmuma pieņemšanas dienu tiek apturēta un tai tiek bloķēta piekļuve šo noteikumu 31. punktā minētajai saskarnei.
(Grozīts ar MK 09.06.2015. noteikumiem Nr.297)
19.
Ja portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmā ir noticis drošības incidents, persona, kas minēta šo noteikumu 4. punktā, nekavējoties, bet ne vēlāk kā 24 stundu laikā par to informē sertificējošo institūciju.
20.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas mērķis ir parakstu vākšana konkrētai iniciatīvai. Procesā iegūtos fizisko personu datus iznīcina saskaņā ar šo noteikumu 33. punktu.
21.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmā esošos datus, kas iegūti parakstu vākšanas laikā, kā arī šo noteikumu 56. punktā minēto informāciju glabā ne ilgāk par vienu gadu pēc komisijas lēmuma pieņemšanas par parakstu vākšanas rezultātiem. Šis nosacījums neattiecas uz sistēmas pirmkodu un fizisko personu datiem.
III.Tehniskās prasības portāla parakstu vākšanas tiešsaistes sistēmai un privātpersonas parakstu vākšanas tiešsaistes sistēmai
22.
Portāla parakstu vākšanas tiešsaistes sistēma parakstu vākšanai izmanto teksta datni UTF-8 kodējumā, kas satur tādu pašu informāciju kā komisijas apstiprinātā parauga veidlapa.
(MK 15.12.2015. noteikumu Nr. 740 redakcijā)
22.1
Atbilstoši Elektronisko dokumentu likumam privātpersonas parakstu vākšanas tiešsaistes sistēma parakstu vākšanai izmanto teksta datni UTF-8 kodējumā, kas satur tādu pašu informāciju kā komisijas apstiprinātā parauga veidlapa.
23.
Komisija nodrošina, ka šo noteikumu 22. un 22.1 punktā minētā datne tiek aizsargāta, izmantojot fiziskās aizsardzības metodes.
(Grozīts ar MK 15.12.2015. noteikumiem Nr. 740)
24.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas lietotāju saskarne tīmekļa vietnē, kurā tiek veikta parakstu vākšana, vai lietojumā, kas darbojas uz lietotāja iekārtas, nodrošina iespēju fiziskai personai parakstīties, izmantojot secīgas un vienkārši saprotamas darbības tīmekļa pārlūkā.
25.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma pirms datnes parakstīšanas viegli salasāmā veidā attēlo šo noteikumu 22. un 22.1 punktā minētās datnes saturu un informāciju par datnes parakstītāju.
(Grozīts ar MK 15.12.2015. noteikumiem Nr. 740)
26.
Portāla parakstu vākšanas tiešsaistes sistēmas pārzinis nodrošina šo noteikumu 22. punktā minētās datnes parakstītāja elektronisko identifikāciju, izmantojot portālā pieejamos elektroniskās identifikācijas pakalpojuma sniedzēju pakalpojumus. Portāla parakstu vākšanas tiešsaistes sistēmas turētājs nodrošina, ka šo noteikumu 22. punktā minētā datne tiek noformēta UTF-8 kodējuma datnē, kas satur vismaz šādus datus:
26.1.
šo noteikumu 22. punktā minētā datne;
26.2.
šo noteikumu 22. punktā minētās datnes sagatavotāja vārds (vārdi), uzvārds un personas kods;
26.3.
jaucējvērtības norāde uz parakstu vākšanas tiešsaistes sistēmas saņemto autentifikācijas apliecinājumu;
26.4.
parakstu vākšanas izpildes transakcijas numurs;
26.5.
apliecinājums par šo noteikumu 22. punktā minētās datnes autentiskumu un laiku, ko nodrošina parakstu vākšanas tiešsaistes sistēma.
26.1
(Svītrots)
26.2
(Svītrots)
27.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina aizsardzību pret automatizētu parakstu iesniegšanu.
28.
Portāla parakstu vākšanas tiešsaistes sistēma nodrošina personai izvēles iespēju saņemt informāciju par savu dalību parakstu vākšanā, identificējoties savā portāla profilā.
29.
Portāla parakstu vākšanas tiešsaistes sistēmā parakstīšanās tiesības tiek piešķirtas portāla elektroniski identificētai fiziskai personai pēc personas datu atbilstības pārbaudes Fizisko personu reģistrā, ja persona atbilst vēlēšanu tiesībām.
30.
Privātpersonas parakstu vākšanas tiešsaistes sistēma, izmantojot Fizisko personu reģistru, veic to fizisko personu vēlēšanu tiesību pārbaudi, kuras sevi ir identificējušas privātpersonas parakstu vākšanas tiešsaistes sistēmā. Pārbaudi veic normatīvajos aktos noteiktajā kārtībā, un izdevumus, kas saistīti ar Fizisko personu reģistra tiešsaistes datu pārraides sistēmas tehniskā pieslēguma konfigurēšanu, sedz saskaņā ar Pilsonības un migrācijas lietu pārvaldes noteikto maksas pakalpojumu cenrādi. Vēlēšanu tiesību pārbaudi Fizisko personu reģistrā veic bez maksas.
31.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmā savāktie paraksti iesniedzami komisijai tiešsaistē, izmantojot komisijas pārziņā esošu drošu tīmekļa saskarni, kuras aprakstu un pirmkoda piemērus komisija publicē savā tīmekļa vietnē. Saskarnes saņemto un nosūtīto datu struktūru XML shēmas veidā publicē Valsts informācijas sistēmas savietotāja XML shēmu katalogā, ievērojot Valsts informācijas sistēmas savietotāja noteiktās vadlīnijas.
(MK 15.12.2015. noteikumu Nr. 740 redakcijā)
32.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma fiziskajai personai pēc paraksta iesniegšanas attēlo informāciju par paraksta nosūtīšanas rezultātu. Pēc paraksta sekmīgas iesniegšanas fiziskajai personai tiek attēlota šo faktu apliecinoša informācija, kas satur fiziskās personas datus, parakstīšanas datumu un laiku, kā arī izvēlēto iniciatīvu. Ja paraksta iesniegšana nav notikusi, fiziskajai personai tiek attēlota atbilstoša informācija, kā arī norādes par turpmāku rīcību.
(MK 09.06.2015. noteikumu Nr.297 redakcijā)
33.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina, ka šo noteikumu 22. un 22.1 punktā minētā parakstītā datne, kas iesniegta, izmantojot šo noteikumu 31. punktā minēto tīmekļa saskarni, tiek dzēsta, nesaglabājot fiziskās personas datus un parakstītās datnes, ja ir spēkā viens no šādiem nosacījumiem:
33.1.
parakstītā datne ir veiksmīgi iesniegta;
33.2.
iesniedzot parakstīto datni, ir notikusi kļūda, kas neizslēdz iespēju veiksmīgi iesniegt to pašu datni vēlāk, un fiziskā persona nav devusi piekrišanu mēģināt iesniegt datni atkārtoti;
33.3.
iesniedzot parakstīto datni, ir notikusi kļūda, kas izslēdz iespēju iesniegt to pašu datni atkārtoti.
(Grozīts ar MK 09.06.2015. noteikumiem Nr. 297; MK 15.12.2015. noteikumiem Nr. 740)
34.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma, neveicot fiziskas personas identifikāciju, nodrošina šādas informācijas publisku pieejamību:
34.1.
parakstu vākšanas iniciatīvas grupas nosaukums, adrese, e-pasta adrese un kontakttālrunis;
34.2.
likumprojekta, Satversmes grozījumu projekta vai Saeimas atsaukšanas ierosinājuma teksts un parakstu vākšanas termiņš;
34.3.
indikatīvais savākto parakstu skaits par konkrēto iniciatīvu;
34.4.
šo noteikumu 4. punktā minētās personas nosaukums, adrese, e-pasta adrese un kontakttālrunis.
35.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
36.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina iespēju fiziskajai personai tajā parakstīties par attiecīgo parakstu vākšanas iniciatīvu vienu reizi.
(MK 09.06.2015. noteikumu Nr.297 redakcijā)
37.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina iespēju saglabāt unikālu vienoto resursu vietrādi (turpmāk – URL) arī atsevišķā parakstu vākšanas iniciatīvas vietnē, kurā atspoguļota informācija par konkrēto iniciatīvu un kurā ir iespējams vākt parakstus.
38.
Ja vienu parakstu vākšanas tiešsaistes sistēmu izmanto dažādām parakstu vākšanas iniciatīvām, portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai jānodrošina funkcionalitātes un informācijas nodalīšana starp dažādajām iniciatīvām.
39.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai ir skaidri nodalītas neidentificētas fiziskas personas, elektroniski identificētas fiziskas personas un sistēmas administratora funkcijas.
IV.Specifiskās tehniskās prasības datu glabāšanas un parakstu pārbaudes sistēmai
(Nodaļa svītrota ar MK 09.06.2015. noteikumiem Nr.297)
40.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
41.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
42.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
43.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
44.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
45.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
46.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
47.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
48.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
49.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
50.
(Svītrots ar MK 09.06.2015. noteikumiem Nr.297)
V.Drošības prasības lietojumiem, kas nodrošina tiešsaistes parakstu vākšanu
51.
Portālu un privātpersonu parakstu vākšanas tiešsaistes sistēmai jābūt aizsargātai pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un jāatbilst vismaz šādām prasībām:
51.1.
nodrošināta aizsardzība pret injekcijas kļūdām (piemēram, SQL injekcija, XML valodas Xpath injekcija, operētājsistēmas komandu injekcija):
51.1.1.
veicot visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus;
51.1.2.
veicot ievaddatu pārbaudi vismaz servera pusē (lietojumā, kas darbojas uz servera);
51.1.3.
ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, SQL teikumi, ievaddatu nodalīšana no komandas vai vaicājuma;
51.2.
nodrošināta aizsardzība pret starpvietņu skriptēšanas kļūdām (XSS):
51.2.1.
veicot visu uz pārlūkprogrammu nosūtīto datu pārbaudi;
51.2.2.
pienācīgi kodējot visus pārlūkprogrammā parādāmos datus;
51.3.
nodrošināta stipra autentificēšanās un sesiju pārvaldība:
51.3.1.
nepieļaujot iespēju akreditācijas datus uzminēt vai pārrakstīt vāju lietotāja konta pārvaldības funkciju dēļ;
51.3.2.
nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu URL;
51.3.3.
aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem;
51.3.4.
garantējot sesiju noilguma funkcionalitāti;
51.3.5.
akreditācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS);
51.3.6.
paroļu veidošanai izmantojot stipru loģisko politiku, ja administratora saskarnei netiek izmantota divu faktoru autentifikācija;
51.4.
piekļuve resursiem ar tiešo atsauci tiek nodrošināta tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas;
51.5.
nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanas kļūdu (XSRF);
51.6.
nodrošināta šāda pienācīgas sistēmas drošības konfigurēšana:
51.6.1.
visas izmantojamās programmatūras komponentes ir aktuālas, tai skaitā operētājsistēmas, tīmekļa vai lietotnes serveris, datubāzes pārvaldības sistēma, lietotnes un visas kodu bibliotēkas;
51.6.2.
ir atspējoti vai nav instalēti nevajadzīgas operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi;
51.6.3.
ir izveidota kļūdu apstrāde, lai novērstu pārlieku daudz informācijas saturošu ziņojumu noplūdi;
51.6.4.
drošības iestādījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi, piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām;
51.7.
nodrošina šādu šifrēšanu:
51.7.1.
šifrē personas datus, kas tiek saglabāti elektroniskā formātā;
51.7.2.
šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), pārsūtot personas datus elektroniski;
51.7.3.
lieto stiprus šifrēšanas algoritmus un stipras atslēgas;
51.7.4.
jābūt šifrēšanas atslēgu pārvaldības procedūrai;
51.7.5.
saglabājot paroles datubāzē, tās jauc ar stipru standarta jaucējsummas algoritmu un pievieno pienācīgu kriptogrāfisko jaucējvērtību "salt";
51.7.6.
visas paroles un šifrēšanas atslēgas pienācīgi aizsargā;
51.8.
saitēm (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot;
51.9.
tiek izmantota pietiekama transporta slāņa aizsardzība (Transport Layer Protection):
51.9.1.
sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kuru termiņš nav beidzies, tie nav atsaukti un ir atbilstoši domēnam, kurā tos izmanto;
51.9.2.
izmanto tikai tādus šifrēšanas algoritmus, kas atbilst labai praksei;
51.10.
nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu.
52.
Ja privātpersonas parakstu vākšanas tiešsaistes sistēma izmanto ar citām sistēmām kopīgu aparatūru, operētājsistēmu vai datubāzes pārvaldības sistēmu, to atspoguļo risku novērtējumā un īstenotajos risku novēršanas pretpasākumos.
53.
Piekļuvi portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas administrēšanas tehnoloģisko procesu un pārvaldības funkcionalitātei nodrošina tikai tām personām, kurām sistēmā esošā informācija atbilstošā apjomā nepieciešama darba pienākumu veikšanai.
54.
Ja persona saistīta ar sistēmas apkalpošanu, viņas darba līgumā vai amata aprakstā iekļauj nosacījumus par konfidencialitātes prasību ievērošanu attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus. Ja sistēmu apkalpo trešā persona (piemēram, komersants vai pašnodarbināta persona), konfidencialitātes prasības nosaka dokumentā, ar kuru nodibina tiesiskās attiecības.
55.
Datu dublikātus (rezerves kopijas) aizsargā, izmantojot stipru šifrēšanas algoritmu un atslēgas.
56.
Informācijas sistēmu audita žurnālos reģistrē izņēmumus un citus ar drošību saistītus notikumus. Sistēmu administratoriem ir pienākums regulāri pārbaudīt sistēmu audita žurnālus, lai novērstu aizdomīgas darbības. Minimālā informācija, ko saglabā sistēmu audita žurnālos, ir šāda:
56.1.
datums un laiks, kad sistēmas administratori veic pieslēgšanos vai atslēgšanos;
56.2.
datums un laiks, kad ir veikta datu dublēšana (datu rezerves kopēšana);
56.3.
datums un laiks, kad ir veiktas izmaiņas sistēmā vai programmatūras atjaunināšana.
VI.Drošības prasības informācijas sistēmu infrastruktūrai, kas nodrošina tiešsaistes parakstu vākšanu
57.
Neatkarīgi no tā, kur ir izmitināta portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma un kas nodrošina izmitināšanu, parakstu vākšanas tiešsaistes sistēmai nodrošina pienācīgu aizsardzību, izpildot vismaz šādas prasības:
57.1.
tiek veikta piekļuves kontrole izmitināšanas telpām, un visi apmeklējumi tiek reģistrēti audita žurnālā;
57.2.
dublējamie dati tiek aizsargāti pret zādzību vai nejaušu novietošanu nevietā;
57.3.
serveris vai serveri tiek novietoti drošā statnē.
58.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmu izmitina uz servera vai serveriem, kuri fiziski atrodas Latvijas teritorijā un ir savienoti ar internetu un nodalīti ar ugunsmūri aizsargātā "demilitarizētā zonā".
59.
Ugunsmūra programmatūras versijai jābūt aktuālai.
60.
Ugunsmūrim ir jāpārbauda un jāreģistrē visa saņemto un nosūtāmo datu plūsma no "demilitarizētās zonas". Ugunsmūris atļauj piekļuvi tikai tādām datu plūsmām, kas nepieciešamas sistēmas darbībai vai administrēšanai.
61.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma atrodas pienācīgi aizsargātā tīkla segmentā, kas ir nodalīts no testēšanas un izstrādes sistēmām.
62.
Lokālā tīkla segmentā, kur atrodas sistēma, piemēro šādus aizsardzības mehānismus:
62.1.
nodrošina pārmijportu piekļuves sarakstu komutatorā, kur katram tā pārmijportam tiek piekārtots saraksts ar iekārtu aparatūras adresēm, kuras var pārmijportu izmantot, vai pārmijportu drošību, kas ir tīkla komutatoru konfigurācija, kas neļauj pievienot komutatora pārmijportiem neautorizētas iekārtas;
62.2.
atspējo neizmantotos pārmijportus;
62.3.
nodrošina "demilitarizētās zonas" atrašanos nodalītā lokālā tīklā vai nodalītā virtuālā lokālā tīklā;
62.4.
nodrošina, ka nevajadzīgajos pārmijportos nav iespējama piekļuve virtuālajiem lokālajiem tīkliem (IEEE 802.1Q-VLAN).
63.
Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai nodrošina šādu servera un operētājsistēmas aizsargāšanu:
63.1.
veic atbilstošu drošības konfigurāciju, ieskaitot elementus, kas minēti šo noteikumu 51.6. apakšpunktā;
63.2.
nodrošina lietotnes darbošanos, izmantojot viszemāko privilēģiju komplektu, kas tām ir nepieciešams, lai darbotos;
63.3.
sistēmu administratoru piekļuvei nodrošina sesijas noildzi, nepārsniedzot 15 minūtes;
63.4.
pēc attiecīgo operētājsistēmas un izmantojamo lietotņu jauninājumu, ielāpu un pretvīrusu programmatūras atjauninājumu publicēšanas nekavējoties uzsāk to uzstādīšanu.
VII.Noslēguma jautājumi
(Nodaļas nosaukums MK 09.06.2015. noteikumu Nr.297 redakcijā)
64.
Noteikumi stājas spēkā 2015. gada 1. janvārī.
65.
Komisija divu mēnešu laikā no šo noteikumu spēkā stāšanās dienas savā tīmekļa vietnē publicē šo noteikumu 31. punktā minētās saskarnes aprakstu un pirmkoda piemērus.
(MK 09.06.2015. noteikumu Nr.297 redakcijā)