22-TA-2017
Ministru kabineta noteikumu projekts "Noteikumi par publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasībām, kompetentajām iestādēm drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā"
Izdoti saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu
I.Vispārīgie jautājumi
1.
Noteikumi nosaka publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības, kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas uzraudzības jomā.
2.
Noteikumos lietotie termini:
2.1.
ārpakalpojums – jebkura veida vienošanās starp publisko elektronisko sakaru tīklu īpašnieku un pakalpojuma sniedzēju, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu vai veic citu darbību, ko citādi darītu pats publisko elektronisko sakaru tīklu īpašnieks;
2.2.
drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim;
2.3.
drošības incidents – kaitīgs notikums vai nodarījums vai vairāki saistīti notikumi, kuru rezultātā tiek apdraudēta publisko elektronisko sakaru tīkla integritāte, pieejamība vai konfidencialitāte;
2.4.
integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums;
2.5.
konfidencialitāte – piekļuve informācijai vai procesam tikai pilnvarotām personām vai procesiem;
2.6.
pieejamība - autorizēta piekļuve informācijai nepieciešamajā laikā un vietā.
3.
Noteikumi neattiecas uz:
3.1.
valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un privāto tiesību juridisko personu, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, publiskajiem elektronisko sakaru tīkliem;
3.2.
kabeļtelevīzijas tīkliem.
II.Publisko elektronisko sakaru tīkla īpašnieka pienākumi
4.
Publisko elektronisko sakaru tīklu īpašnieka pienākumi risku vadības un mazināšanas jomā:
4.1.
izveidot efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu, kura vērsta uz pasākumiem risku mazināšanai publiskajos elektrisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos;
4.2.
nodrošināt, ka drošības risku pārvaldības sistēma tiek dokumentēta, un informācija tiek pastāvīgi uzlabota, pamatojoties uz gūtajām atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā;
4.3.
identificēt drošības riskus, kas ietekmē publiskos elektronisko sakaru tīklus;
4.4.
plānot un īstenot drošības pasākumus, lai samazinātu risku līdz pieņemamam līmenim, ja risku analīzē novērtētais risks ir nepieņemams, kā arī, pamatojoties uz risku izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem noteikt realizācijas prioritātes, termiņus un atbildīgos;
4.5.
nodrošināt publisko elektronisko sakaru tīkla integritāti, kā arī sastādīt rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot šādu informāciju:
4.5.1.
vispārīgas ziņas par publisko elektronisko sakaru tīklu īpašnieku, tā juridisko adresi un elektroniskā pasta adresi;
4.5.2.
personu vai struktūrvienību, kas nodrošina publisko elektronisko sakaru tīkla drošības pasākumu īstenošanu, tās kontaktinformāciju (tālruņa numuru, faksa numuru, elektroniskā pasta adresi);
4.5.3.
publisko elektronisko sakaru tīkla uzbūves vispārīgu aprakstu un shēmu;
4.5.4.
publisko elektronisko sakaru tīkla risku analīzi;
4.5.5.
reaģēšanas kārtību uz drošības incidentiem un cita veida kaitējumiem vai nodarījumiem, kas apdraud publisko elektronisko sakaru tīkla funkcionēšanu (tehniskie un organizatoriskie pasākumi);
4.5.6.
publisko elektronisko sakaru tīkla darbības atjaunošanas pasākumu aprakstu (tehniskie un organizatoriskie pasākumi).
5.
Šo noteikumu 4.3. apakšpunktā minēto risku novērtējumu veic un dokumentē katru gadu vai īsākos starplaikos, ja nepieciešams. Risku novērtējumu veic arī attiecībā uz visām būtiskām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publiskos elektronisko sakaru tīklus.
6.
Publisko elektronisko sakaru tīkla īpašnieks šo noteikumu 4.5. apakšpunktā minēto rīcības plānu aktualizē, ja rīcības plānā iekļautā informācija tiek mainīta. Rīcības plāna kopiju mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT.LV) (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plāna kopiju, publisko elektronisko sakaru tīklu īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju.
7.
Publisko elektronisko sakaru tīklu īpašnieka pienākumi incidentu novēršanas jomā:
7.1.
nekavējoties ziņot CERT.LV par drošības incidentu, kuram ir ietekme uz publisko elektronisko sakaru tīkla drošību vai integritāti, un pēc CERT.LV pieprasījuma sniegt tai tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
7.2.
pēc CERT.LV pieprasījuma, ja konstatēti drošības vai integritātes pārkāpumi, organizēt drošības auditu un informēt CERT.lv par tā rezultātiem;
7.3.
pēc CERT.LV pamatota pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēdz galalietotājam piekļuvi publisko elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai publisko elektronisko sakaru tīklu drošību.
8.
Šo noteikumu 7.2. apakšpunktā minēto auditu veic kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts, kura izvēli publisko elektronisko sakaru tīklu īpašnieka saskaņo ar CERT.LV Par audita rezultātiem informē CERT.LV. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš publisko elektronisko sakaru tīklu īpašnieks.
9.
Publiskajos elektronisko sakaru tīklos neizmanto tādas iekārtas un programmatūra, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka to izmantošana var radīt draudus nacionālai drošībai.
10.
Lai nodrošinātu šo noteikumu 9. punktā minēto prasību izpildi, publisko elektronisko sakaru tīklu īpašnieks:
10.1.
iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantotajām iekārtām un programmatūru;
10.2.
pirms jaunu publisko elektronisko sakaru tīklu būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodoto publisko elektronisko sakaru tīklu pārbūves vai atsevišķu iekārtu un programmatūras nomaiņas, iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantošanai plānotajām iekārtām un programmatūru.
11.
Šo noteikumu 10.2. apakšpunkta prasība neattiecas uz:
11.1.
gadījumu, kad ekspluatācijā nodotā publisko elektronisko sakaru tīklā, tiek veikta iekārtas nomaiņa uz tādu pašu iekārtu (ražotājs, modelis);
11.2.
programmatūras atjauninājumu uzstādīšanu.
III.Informācijas drošība
12.
Publisko elektronisko sakaru tīklu īpašnieks:
12.1.
veic pasākumus informācijas drošības nodrošināšanai, īstenojot informācijas drošības risku kontroli un nepieciešamos drošības pasākumus;
12.2.
pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem un regulāri pārskata risku scenārijus, kas tos ietekmē.
13.
Informācijas drošības funkcijas ietvaros publisko elektronisko sakaru tīklu īpašnieks:
13.1.
nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli;
13.2.
nodrošina noteikto drošības pasākumu uzraudzību, tai skaitā attiecībā uz ārpakalpojumu sniedzējiem;
13.3.
piedalās infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību;
13.4.
veic regulāras apmācības un informēšanas pasākumus informācijas tehnoloģiju drošības jomā;
13.5.
piedalās incidentu pārvaldībā;
13.6.
piedalās darbības atjaunošanas un nepārtrauktības plānošanā.
14.
Publisko elektronisko sakaru tīklu īpašnieks veic pasākumus informācijas drošības nodrošināšanai, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības noteikumiem.
15.
Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
16.
Publisko elektronisko sakaru tīklu īpašniekam, izmantojot tehniskus risinājumus, ir pienākums:
16.1.
aizsargāt visus datus, kas tiek glabāti elektroniski;
16.2.
aizsargāt publiskā elektronisko sakaru tīkla funkcijas.
IV.Ārpakalpojumu drošība
17.
Publisko elektronisko sakaru tīklu drošības līmenis, ja tos attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publisko elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publisko elektronisko sakaru tīklu īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
18.
Pirms lēmuma par ārpakalpojumu iegādi pieņemšanas publisko elektronisko sakaru tīklu īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes un drošības, tostarp pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
19.
Publisko elektronisko sakaru tīklu īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
20.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, tad apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību.
21.
Izmantojot ārpakalpojumus, tai skaitā mākoņskaitļošanu, publisko elektronisko sakaru tīklu īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publisko elektronisko sakaru tīklu īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
V.Piegādes ķēdes drošība un nepārtrauktība
22.
Publisko elektronisko sakaru tīklu īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas rodas, ja viņš ir atkarīgs no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publisko elektronisko sakaru tīkla darbības nodrošināšanai.
23.
Publisko elektronisko sakaru tīklu īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publisko elektronisko sakaru tīklu pieejamību, integritāti un konfidencialitāti.
24.
Publisko elektronisko sakaru tīklu īpašnieks:
24.1.
nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai gadījumā, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts;
24.2.
regulāri pārskata šo plānu.
VI.Kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas
25.
Digitālās drošības uzraudzības komiteja:
25.1.
uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu;
25.2.
sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
26.
CERT.LV:
26.1.
izvērtē publisko elektronisko tīklu īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības šo noteikumu 4.5.1. līdz 4.5.6. apakšpunktos minētajām prasībām, lūdz attiecīgo publisko elektronisko sakaru tīklu īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi;
26.2.
sniedz atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā;
26.3.
sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
27.
Satversmes aizsardzības birojs:
27.1.
izvērtē publiskajos elektronisko sakaru tīklos izmantoto iekārtu un programmatūras iespējamo ietekmi uz nacionālo drošību;
27.2.
var noteikt ierobežojumus iekārtu un programmatūras izmantošanai publiskajos elektronisko sakaru tīklos, kas var radīt draudus nacionālajai drošībai;
27.3.
var sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
28.
CERT.LV un Satversmes aizsardzības birojam ir tiesības pieprasīt publisko elektronisko sakaru tīklu īpašniekam vai tiesiskajam valdītājam papildus informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā.
VII.Noslēguma jautājumi
29.
Publiskajiem elektronisko sakaru tīkliem, kuri šo noteikumu spēkā stāšanās brīdī ir nodoti ekspluatācijā, vai atrodas projektēšanas, būvniecības, ierīkošanas, pārbūves stadijā, šo noteikumu 9. punktā minētā prasība tiek piemērota no 2030. gada 1. janvāra.
30.
Publisko elektronisko sakaru tīkla īpašnieks, izstrādā šo noteikumu 4.5. apakšpunktā minēto rīcības plānu sešu mēnešu laikā pēc šo noteikumu stāšanās spēkā un to aktualizē, ja rīcības plānā iekļautā informācija tiek mainīta.
31.
Publisko elektronisko sakaru tīkla īpašnieks sešu mēnešu laikā pēc šo noteikumu stāšanās spēkā brīža iesniedz Satversmes aizsardzības birojam šo noteikumu 10.1. apakšpunktā minēto sarakstu.
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds