22-TA-3183
Minimālās kiberdrošības prasības
Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 29. pantu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu, Nacionālās drošības likuma 22.2 panta sesto daļu, Elektronisko sakaru likuma 8. panta pirmo un otro daļu un Valsts informācijas sistēmu likuma 16. pantu.
1.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi – subjekts);
1.2.
kārtību, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
1.3.
prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
1.4.
IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;
1.5.
IKT kritiskās infrastruktūras, tajā skaitā Eiropas IKT kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtību;
1.6.
publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
1.7.
valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības;
1.8.
prasības subjekta kiberdrošības pārvaldniekam;
1.9.
veidu, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
1.10.
subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veidu un apjomu, kā arī plāna izpildes uzraudzības un kontroles kārtību;
1.11.
kiberincidentu nozīmīguma kritērijus;
1.12.
kārtību informēšanai par kiberincidentu, un to kiberincidentu kritērijus, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
1.13.
agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturu un iesniegšanas kārtību;
1.14.
kritērijus un kārtību subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanai;
1.15.
kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus;
1.16.
nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
1.17.
subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti;
1.18.
subjektiem kiberhigiēnas pasākumu pamatelementus un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
1.19.
kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību;
1.20.
kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
1.21.
kārtību ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
1.22.
prasības kiberincidentu novēršanas institūcijām.
2.
Noteikumos lietotie termini:
2.1.
autentifikācija – process, kurā elektroniskajā vidē tiek pārbaudīta lietotāja identitāte;
2.2.
autorizācija – process, kurā lietotājam pēc veiksmīgas autentifikācijas tiek piešķirtas tiesības veikt konkrētas darbības informācijas sistēmā vai tehniskajā resursā;
2.3.
ārpakalpojums – jebkura veida vienošanās starp subjektu un pakalpojuma sniedzēju IKT jomā, saskaņā ar kuru šis pakalpojuma sniedzējs nodrošina procesu, sniedz pakalpojumu, veic tehnisko resursu piegādi vai veic citu darbību subjekta uzdevumā IKT infrastruktūrā;
2.4.
datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete;
2.5.
drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim;
2.6.
IKT kritiskās infrastruktūras informācijas sistēma – informācijas sistēma, kura ir iekļauta kritiskās infrastruktūras kopumā, vai kurai sadarbībā ar Satversmes aizsardzības biroju ir noteikta A (paaugstinātas drošības) klase gadījumā, ja kritiskās infrastruktūras kopumā ir iekļauta visa subjekta IKT infrastruktūra;
2.7.
IKT resursi – tehnisko resursu un informācijas resursu kopums;
2.8.
informācijas resurss – strukturēta digitālo datu vienība;
2.9.
informācijas sistēma – organizēta sistēma, kas paredzēta informācijas resursu pārvaldībai un elektroniskajai apstrādei, izmantojot tehniskos resursus;
2.10.
integritāte – informācijas resursa un tā elektroniskās apstrādes metožu precizitāte, pareizība un pilnīgums;
2.11.
konfidencialitāte – piekļuve informācijas resursam tikai pilnvarotiem IKT procesiem un lietotājiem;
2.12.
konts – mehānisms, ar kuru lietotājam tiek piešķirta piekļuve IKT resursam vai informācijas sistēmai. Kontam ir unikāls identifikators, kas nodrošina darbības autora identificēšanu un pieejamo darbību un funkciju apjoma noteikšanu IKT resursā. Konts var būt piesaistīts konkrētai fiziskajai personai (piemēram, standarta lietotāja konts, administratora lietotāja konts) vai nebūt piesaistāms nevienai fiziskajai personai (piemēram, sistēmkonts);
2.13.
lietotāja konts – konts, kas ir piesaistīts konkrētam lietotājam;
2.14.
lietotājs – persona, kurai ir piešķirtas tiesības lietot IKT resursu vai informācijas sistēmu;
2.15.
mašīnlasāms formāts – informācijas formāts, kas ir strukturēts tā, lai lietojumprogrammas var automatizēti nolasīt informāciju, kā arī viegli identificēt, atpazīt un iegūt no tās specifiskus datus, tostarp atsevišķas vienības un to iekšējo struktūru. Mašīnlasāma informācija var tikt elektroniski apstrādāta bez manuālas apstrādes no lietotāja puses;
2.16.
pamattīkls – publiskā elektronisko sakaru tīkla daļa, kurā ir savienotas pamattīkla iekārtas (pārraides, komutēšanas, maršrutēšanas, multipleksēšanas vai ekvivalentas iekārtas) un kurai ir pievienots piekļuves tīkls, un kas nodrošina savienojumu ar citu elektronisko sakaru tīklu;
2.17.
pieejamība – iespēja lietotājam lietot informācijas sistēmu vai informācijas resursu noteiktā laikā un vietā;
2.18.
sistēmkonts – konts, kas nodrošina IKT funkciju vai procesu, un kurš nav piesaistāms nevienam lietotājam;
2.19.
šifrēšana – process, kurā dati tiek pārveidoti, izmantojot speciālu algoritmu un atslēgu, lai padarītu tos neizprotamus vai neizlasāmus bez atbilstošas atslēgas. Šifrētos datus iespējams atšifrēt atpakaļ oriģinālajā formā, izmantojot pareizu atslēgu un atbilstošo atšifrēšanas algoritmu. Šifrēšanu var izmantot gan datu uzglabāšanā, gan pārraidē;
2.20.
tehniskais resurss –
2.20.1.
aparatūra (hardware), tostarp iekārta, kas ir tīkla vai informācijas sistēmas sastāvdaļa vai IKT infrastruktūrā izmantota iekārta, kas veic datu apmaiņu ar informācijas sistēmu.
2.20.2.
programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
2.21.
tīkls – komutācijas aparatūras un ar to saistīto tehnisko resursu kopums, kas savstarpēji savienots ar sakaru kanāliem;
2.22.
žurnālfaili – analīzei pieejami pieraksti, kuri tiek automatizēti reģistrēti un satur datus par konkrētiem IKT notikumiem (piemēram, piekļuve, datu ievade, maiņa, dzēšana, izvade);
2.23.
4G tīkls – ceturtās paaudzes mobilo elektronisko sakaru tīkls;
2.24.
5G tīkls – piektās paaudzes mobilo elektronisko sakaru tīkls.
3.
Noteikumi attiecas uz subjektiem un to īpašumā un valdījumā esošajiem tīkliem un informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde.
4.
Normatīvie akti par valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu darbību piemērojami, ciktāl šajos noteikumos nav noteikts citādi.
5.
Uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem attiecas tikai šo noteikumu 10. punkts.
6.
Noteikumi neattiecas uz:
6.1.
kabeļtelevīzijas tīkliem;
6.2.
publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija;
6.3.
publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām, izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā;
6.4.
tālākpārdošanai paredzētajiem tehniskajiem resursiem.
7.
Noteikumos ietvertās kiberrisku pārvaldības pasākumu tehniskās un metodiskās prasības Nacionālās kiberdrošības likuma 20. panta 1. punktā, 2. punktā, 4. punktā, 8. punkta “s”, “t”, “u” un “v” apakšpunktā, 21. panta pirmās daļas 2. punkta “l”, “m”, “n” apakšpunktā un 6. punktā minētajiem subjektiem piemēro, ciktāl tās nav pretrunā ar Eiropas Komisijas 2024. gada 17. oktobra Īstenošanas regulu (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (turpmāk – regula 2024/2690).
2.Statusa paziņošanas kārtība
8.
Būtisko vai svarīgo pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):
8.1.
Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam;
8.2.
Nacionālās kiberdrošības likuma 22. panta otrajā daļā noteiktajā termiņā – par izmaiņām statusa reģistrācijas veidlapā norādītajās ziņās;
8.3.
par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.
9.
Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas šo noteikumu 8. punktā minēto statusa paziņojumu iesniedz arī Satversmes aizsardzības birojam.
10.
Domēnu vārdu reģistrācijas pakalpojumu sniedzējs paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):
10.1.
Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā – par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam;
10.2.
Nacionālās kiberdrošības likuma 23. panta otrajā daļā noteiktajā termiņā – par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja paziņojuma veidlapā norādītajās ziņās;
10.3.
par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.
3.Pamatprasības subjektiem
3.1.Kiberdrošības pārvaldnieks
11.
Subjekts paziņo Nacionālajam kiberdrošības centram, nosūtot uz Aizsardzības ministrijas oficiālo elektronisko adresi, un Satversmes aizsardzības birojam, nosūtot uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu paziņojuma par kiberdrošības pārvaldnieku veidlapu (3. pielikums):
11.1.
Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā – par kiberdrošības pārvaldnieka noteikšanu;
11.2.
Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – par izmaiņām šo noteikumu 11.1. apakšpunktā minētā paziņojuma veidlapā norādītajās ziņās.
12.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par kiberdrošības pārvaldnieku nosaka fizisku personu:
12.1.
kurai ir Latvijas pilsonība;
12.2.
kura ir pilngadīga;
12.3.
pār kuru nav nodibināta aizgādnība;
12.4.
kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta.
12.5.
kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kurai ir spēkā esošs starptautiski atzīts sertifikāts, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).
12.6.
kura nav un nav bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs;
12.7.
kura nav un nav bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas;
12.8.
kura nepieder pie organizētās noziedzības grupējuma, nelikumīga militarizēta vai bruņota formējuma;
12.9.
kurai nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība, kas dod pamatu apšaubīt fiziskās personas uzticamību;
12.10.
par kuru Satversmes aizsardzības birojs nav konstatējis drošības riskus.
13.
Būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:
13.1.
kurai ir NATO, Eiropas Savienības vai Eiropas Brīvās tirdzniecības asociācijas (turpmāk – EBTA) dalībvalsts pilsonība;
13.2.
13.3.
kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā;
14.
Svarīgo pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu:
14.1.
kurai ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonība;
14.3.
kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā;
15.
Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieka kandidāta atbilstību šo noteikumu 12. punktā minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt kiberdrošības pārvaldnieka kandidāta pārbaudi, ja kiberdrošības pārvaldnieka kandidātam ir izsniegta speciālā atļauja pieejai valsts noslēpumam.
16.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka uz termiņu līdz 3 gadiem. IKT kritiskās infrastruktūras īpašnieks vai tiesiskai valdītājs kiberdrošības pārvaldnieka kandidāta saskaņošanai iesniedz Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu pieteikuma veidlapu par kiberdrošības pārvaldnieka kandidāta saskaņošanu (3. pielikums).
17.
Satversmes aizsardzības birojs mēneša laikā no šo noteikumu 16. punktā noteiktā pieteikuma saņemšanas brīža pārbauda IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieka kandidāta atbilstību šo noteikumu 12. punktā minētajām prasībām. Ja objektīvu apstākļu dēļ nav iespējams ievērot viena mēneša pārbaudes termiņu, Satversmes aizsardzības birojs var pagarināt pārbaudes termiņu, par to paziņojot attiecīgā subjekta vadītājam.
18.
Ne vēlāk kā 3 mēnešus pirms noteiktā kiberdrošības pārvaldnieka darbības termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka kandidātu, iesniedzot Satversmes aizsardzības birojam šo noteikumu 16. punktā noteikto veidlapu.
19.
Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā.
20.
Fiziskā persona vienlaicīgi var būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos.
21.
Šo noteikumu 20. punktā minētais ierobežojums neattiecas uz būtisko pakalpojumu sniedzēja, kurā fiziskā persona ir noteikta par kiberdrošības pārvaldnieku, pakļautībā esošiem būtisko pakalpojumu sniedzējiem un būtisko pakalpojumu sniedzējiem, kuru kapitāldaļu īpašnieks vai turētājs ir attiecīgais būtisko pakalpojumu sniedzējs
22.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nodrošina, ka kiberdrošības pārvaldnieks subjektā vienlaicīgi nav atbildīgā persona par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu, nav atbildīgā persona par žurnālfailu pārvaldību vai nav atbildīgā persona par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu.
3.2.Kiberdrošības pārvaldības dokumentācija
23.
Subjekta kiberdrošības pārvaldības dokumentu kopumu veido:
23.1.
kiberdrošības politika;
23.2.
IKT resursu un informācijas sistēmu katalogs;
23.3.
kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
23.4.
kiberincidentu žurnāls.
24.
Subjekts katru kiberdrošības pārvaldības dokumentu kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu.
25.
Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopuma daļas nav publiski pieejamas.
26.
Subjekts kiberdrošības pārvaldības dokumentu kopumu veido un uztur tai skaitā elektroniskā formātā.
27.
Subjekts nodrošina, ka kiberdrošības pārvaldības dokumentu kopumā ietilpstošo dokumentu kopijas tiek uzglabātas atsevišķi no to oriģināliem un ir pieejamas gadījumā, ja dokumentu oriģināli nav pieejami (piemēram, datu nesēja bojājuma gadījumā).
28.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
28.1.
šo noteikumu 23.1. un 23.3. apakšpunktā noteikto kiberdrošības pārvaldības dokumentu kopuma daļu apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā iesniedz Satversmes aizsardzības birojam;
28.2.
šo noteikumu 23.2. un 23.4. apakšpunktā noteikto kiberdrošības pārvaldības dokumentu kopuma daļas iesniedz Satversmes aizsardzības birojam kopā ar pašvērtējuma ziņojumu atbilstoši šo noteikumu 8.4. apakšnodaļā noteikto.
3.3.Kiberdrošības politika
29.
Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trijos gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku.
30.
Kiberdrošības politikā iekļauj:
30.1.
vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
30.2.
subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
30.3.
informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo personu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
30.4.
informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā un valdījumā esošie IKT resursi un informācijas sistēmas;
30.5.
informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu, standartu un sertifikācijas shēmu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā un valdījumā esošajiem IKT resursiem un informācijas sistēmām.
3.4.IKT resursu un informācijas sistēmu katalogs
31.
Subjekts apzina un uzskaita visus tā īpašumā un valdījumā esošos IKT resursus un informācijas sistēmas, kas pakļauti kiberriskam.
32.
Subjekts izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu.
33.
Subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā un valdījumā esošajai informācijas sistēmai un informācijas resursu kategorijai.
34.
Šo noteikumu izpratnē informācijas sistēma uzskatāma par:
34.1.
A klases (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A konfidencialitātes, integritātes vai pieejamības drošības klase;
34.2.
B klases (pamata drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena B konfidencialitātes, integritātes vai pieejamības drošības klase, bet nav noteikta neviena A konfidencialitātes, integritātes vai pieejamības drošības klase;
34.3.
C klases (minimālās drošības) informācijas sistēmu, ja tai ir noteiktas tikai C konfidencialitātes, integritātes un pieejamības drošības klases.
36.
Ja kritiskās infrastruktūras kopumā ir iekļauta visa subjekta IKT infrastruktūra, subjekts informācijas sistēmām nosakāmās drošības klases saskaņo ar Satversmes aizsardzības biroju.
37.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pirms jaunas A vai B klases informācijas sistēmas izveides iesniedz Satversmes aizsardzības birojam jaunveidojamās informācijas sistēmas funkcionālo aprakstu.
38.
Subjekts, kurš ir publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs, identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu 5. pielikumu. Subjekts var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas.
39.
Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē informācijas sistēmas drošības klases noteikšanas vadlīnijas un par tām informē subjektu.
3.5.Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
40.
Subjekts uztur kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Subjekts var izstrādāt vairākus kiberrisku pārvaldības un IKT darbības nepārtrauktības plānus atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Šādā gadījumā par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu uzskatāms šo plānu kopums.
41.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu pārskata un aktualizē:
41.1.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā ir vismaz viena A klases informācijas sistēmas – vismaz reizi gadā;
41.2.
būtisko pakalpojumu sniedzējs, kura īpašumā vai valdījumā nav A klases informācijas sistēmas - vismaz reizi divos gados, svarīgo pakalpojumu sniedzēji – vismaz reizi trijos gados;
41.3.
svarīgo pakalpojumu sniedzējs – vismaz reizi trijos gados.
42.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
42.1.
kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, kiberriska pieņemamās vērtības, novērtēšanas matrica, pārskatīšanas periodiskums);
42.2.
kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, tostarp ar piegādes ķēdēm saistīto risku analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā vai valdījumā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu, ja tāds ir bijis;
42.3.
kiberrisku pārvaldības pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku pārvaldībai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
42.4.
rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, atjaunošanas punkta mērķis (RPO), atjaunošanas laika mērķis (RTO), maksimāli pieļaujamais dīkstāves laiks (MTD)), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
43.
Plānojot kiberrisku pārvaldības pasākumus, subjekts:
43.1.
apzina savā īpašumā vai valdījumā esošo informācijas sistēmu un IKT resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
43.2.
A un B klases informācijas sistēmām paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, lai nodrošinātu 41.1. apakšpunktā noteiktā rīcības plānā minēto pasākuma izpildi);
43.3.
A klases informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) interneta protokola (turpmāk – IP) adreses vai adrešu apgabalus.
44.
Subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli.
45.
Subjekta vadītājs nodrošina, ka kiberdrošības pārvaldniekam un, ja attiecināms, citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai, kiberincidentu risināšanai vai kiberuzbrukuma seku novēršanai.
46.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
46.1.
nosaka atbildīgo personu par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
46.2.
nekavējoties, bet ne vēlāk kā piecu darba dienu laikā pēc šo noteikumu 46.1. apakšpunktā minētās personas noteikšanas, informē Satversmes aizsardzības biroju.
3.6.Kiberincidentu pārvaldība un kiberincidentu žurnāls
47.
Subjekts ievieš pārvaldības procesus, lai identificētu kiberincidentus, gandrīz notikušus kiberincidentus un ievainojamības, kā arī, lai risinātu un novērstu kiberincidentus un ievainojamības, nosakot vismaz:
47.1.
subjekta nodarbināto un ārpakalpojumu sniedzēju (ja attiecināms) lomas un atbildību kiberincidenta pazīmju konstatēšanas gadījumā vai informācijas saņemšanas gadījumā par iespējamo vai gandrīz notikušu kiberincidentu;
47.2.
procedūras kiberincidentu identificēšanai, reģistrēšanai, ietekmes novērtēšanai un mazināšanai, risināšanai un seku likvidēšanai, pirmcēloņu atklāšanai, analīzei un novēršanai, pierādījumu saglabāšanai un drošības pasākumu uzlabošanai;
47.3.
iekšējās un ārējās komunikācijas plānus, procedūras saziņai ar kompetento kiberincidentu novēršanas institūciju, citām kompetentajām institūcijām, citiem subjektiem un pakalpojumu saņēmējiem.
48.
Subjekts uztur kiberinicidentu žurnālu, kurā reģistrē ziņas par subjekta īpašumā un valdījumā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Subjekts nodrošina ziņu reģistrēšanu žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš žurnālā norādītajās ziņās.
49.
Kiberincidentu žurnālā iekļauj vismaz šādu informāciju par kiberincidentiem:
49.1.
kiberincidenta konstatēšanas datumu un laiku, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
49.2.
kiberincidenta veida kodu vai kodus atbilstoši šo noteikumu 6. pielikumā ietvertajai tipoloģijai;
49.3.
kiberincidenta vispārīgo aprakstu;
49.4.
kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
49.5.
kiberincidenta ietekmes novērtējumu;
49.6.
atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
49.7.
atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
49.8.
aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts").
3.7.Lietotāju un piekļuves tiesību pārvaldība
50.
Subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi.
51.
Subjekts katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu veidam:
51.1.
identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam;
51.2.
nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas klasi;
51.3.
piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja vien tas ir tehniski iespējams.
52.
Subjekts nodrošina, ka:
52.1.
lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama, pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā (piemēram maiņu grafiks, videonovērošana, elektronisks vai papīra lietotāju žurnāls).
52.2.
sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu;
52.3.
ja vien tas tehniski ir iespējams, informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;
52.4.
standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības), tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;
52.5.
administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu;
52.6.
pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
53.
Subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu:
53.1.
A klases informācijas sistēmas administratora lietotāja kontam un standarta lietotāja kontam;
53.2.
B klases informācijas sistēmas administratora lietotāja kontam;
53.3.
B klases informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla.
54.
Subjekts nodrošina, ka visi informācijas sistēmas reģistrēti lietotāji ir iepazinušies ar informācijas sistēmas lietošanas noteikumiem. Subjekta pienākums ir nodrošināt, ka:
54.1.
visi informācijas sistēmas reģistrēties lietotāji ir informēti par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas;
54.2.
informācijas sistēmas lietošanas noteikumi ir pieejami informācijas sistēmas reģistrētajiem lietotājiem visā informācijas sistēmas lietošanas laikā.
55.
Subjekta kiberdrošības pārvaldniekam ir tiesības:
55.1.
pārbaudīt lietotāju kontu sarakstu, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas.
55.2.
nodrošināt žurnālfailu ierakstu analīzi par lietotāju veiktajām darbībām;
55.3.
kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā bloķēt vai uzdot administratoram bloķēt ar kiberincidentu saistītos lietotāju kontus;
55.4.
pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu;
55.5.
pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas žurnālfailu ierakstus, ja informācijas sistēmu vai tās daļu uzturēšana notiek ārpus subjekta īpašumā vai valdījumā esošās IKT infrastruktūras.
3.8.Tīklu pārvaldība
56.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs un būtisko pakalpojumu sniedzējs ievieš procesus savā īpašumā vai valdījumā esošo tīklu pārvaldībai, nodrošinot, ka:
56.1.
tīkls ir sadalīts loģiskos segmentos atbilstoši to pielietojumam, subjekta darbības specifikai un elektroniski apstrādājamo informācijas resursu drošības klasēm;
56.2.
ja attiecināms, subjekta viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo publisko IP adresi;
56.3.
tīkla iekārtas un cita aparatūra, kas nav paredzēta tiešai lietotāju izmantošanai, ir loģiski atdalīta, izmantojot atsevišķus virtuālos vai fiziskus tīklus, nodrošinot tai piekļuvi tikai pilnvarotam personālam;
56.4.
ja attiecināms, iekšējā bezvadu tīklā izmanto vismaz WPA2, WPA3 vai jaunāku bezvadu drošības protokolu ar līdzvērtīgu vai augstāku aizsardzības līmeni;
56.5.
iekšējais tīkls ir fiziski vai loģiski nodalīts no ārējā tīkla;
56.6.
informācijas sistēmu darbībai paredzētās datu plūsmas ir fiziski vai loģiski nodalītas no lietotāju ikdienas darbam ar informācijas sistēmām paredzētajām datu plūsmām;
56.7.
datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem ir kontrolējama (piemēram, ugunsmūriem, starpniekserveriem), kas ļauj uzraudzīt un ierobežot neatļautu datu plūsmu (piemēram, izmantojot reāllaika kiberuzbrukumu novēršanas un atklāšanas sistēmu);
56.8.
piekļuve iekšējā tīklā esošajiem informācijas resursiem ārpus iekšējā tīkla ir iespējama tikai, izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar daudzfaktoru autentifikāciju;
3.9.Žurnālfailu pārvaldība
58.
Subjekts nodrošina informācijas sistēmu žurnālfailu un tīkla plūsmas žurnālfailu veidošanu un uzglabāšanu. Žurnālfailus uzglabā:
58.1.
A klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 18 mēnešus pēc ieraksta izdarīšanas;
58.2.
B klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 12 mēnešus pēc ieraksta izdarīšanas;
58.3.
C klases informācijas sistēmām un to darbību nodrošinošām operētājsistēmām, pakalpēm (servisiem), tīklu un serveru iekārtām – vismaz 6 mēnešus pēc ieraksta izdarīšanas.
59.
Informācijas sistēmas žurnālfailos ietver informāciju par konkrētiem informācijas sistēmas notikumiem, tostarp:
59.1.
informācijas sistēmas ieslēgšanu un izslēgšanu;
59.2.
kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
59.3.
kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem;
59.4.
datu pievienošanu, izmaiņām, dzēšanu un datu atlasi;
59.5.
tehnisko resursu konfigurāciju izmaiņām;
59.6.
informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par kiberincidentu vai citu apdraudējumu informācijas sistēmas vai informācijas resursa drošībai.
60.
Informācijas sistēmas žurnālfailos fiksē informācijas sistēmas notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri (vismaz STRATUM 2 līmeņa), IP adresi, no kuras veikta darbība, vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
61.
Tīkla plūsmas žurnālfailos ietver informāciju par datu nosūtīšanas un saņemšanas notikumiem. Tīkla plūsmas žurnālfailos fiksē vismaz šādu informāciju:
61.1.
notikuma laiku, kas sinhronizēts ar augstas precizitātes tīkla laika protokola (NTP) serveri;
61.2.
datu nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses;
61.3.
avota un galamērķa izmantotos tīkla portus (piemēram, HTTP, HTTPS, FTP);
61.4.
ja attiecināms, avota unikālo identifikatoru (MAC adrese);
61.5.
izmantoto tīkla transporta protokolu (piemēram, TCP, UDP);
61.6.
pārsūtīto datu apjomu.
62.
Ja informācijas sistēmas vai tīkla uzbūves dēļ tehniski nav iespējams nodrošināt laika fiksēšanas risinājuma sinhronizēšanu ar kiberincidentu novēršanas institūcijas tīmekļvietnē norādīto augstas precizitātes tīkla laika protokola (NTP) serveri, subjektam ir pienākums nodrošināt citu laika fiksēšanas metodi, to saskaņojot attiecīgi ar Nacionālo kiberdrošības centru vai Satversmes aizsardzības biroju.
63.
Žurnālfailu ierakstus veido mašīnlasāmā formātā. Pārvaldot žurnālfailus, subjekts īsteno drošības pasākumus, lai nodrošinātu IKT notikumu ticamu reģistrēšanu un efektīvu kiberincidentu analīzi.
64.
Subjekts nodrošina žurnālfailu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu.
65.
Subjekts iekšējos normatīvajos aktos nosaka žurnālfailu pārvaldības prasības un kārtību, tostarp žurnālfailu ierakstu analīzes, pārbaužu kārtību un regularitāti, atbildīgos par žurnālfailu pārvaldību, kā arī žurnālfailu aizsardzības prasības.
66.
Subjekta kiberdrošības pārvaldnieks nodrošina žurnālfailu pārvaldības un aizsardzības prasību ievērošanas kontroli.
67.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
67.1.
nosaka par žurnālfailu pārvaldību atbildīgo personu;
67.2.
nekavējoties, bet ne vēlāk kā piecu darba dienu laikā pēc šo noteikumu 67.1. apakšpunktā minētās personas noteikšanas, informē Satversmes aizsardzības biroju.
3.10.Rezerves kopiju pārvaldība
68.
Subjekts nodrošina, ka katrai tā īpašumā vai valdījumā esošajai informācijas sistēmai tiek veidotas rezerves kopijas.
69.
Veidojot rezerves kopijas, subjekts nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes.
70.
Subjekts nodrošina, ka ir pieejamas vismaz:
70.1.
informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
70.2.
informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas, ja tiek izmantotas atvērtā koda bibliotēkas;
70.3.
informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas, ja vien tas ir tehniski iespējams.
71.
Subjekts nodrošina, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmu vismaz tādā stāvoklī, kāds bija:
71.1.
A klases informācijas sistēmai – iepriekšējā dienā, pirms nedēļas (7-31 diena), pirms mēneša (30-365 dienas), iepriekšējā gadā (vecāku par 365 dienām);
71.2.
B klases informācijas sistēmai – pēdējās nedēļas laikā (1-7 dienas), pirms nedēļas (7-31 diena), pirms mēneša (30-365 dienas), iepriekšējā gadā (vecāku par 365 dienām);
71.3.
C klases informācijas sistēmai - pirms pēdējām nozīmīgām izmaiņām informācijas sistēmā (piemēram, pirms migrācijas uz citu tehnoloģisku platformu), bet ne senāk kā pirms sešiem mēnešiem.
72.
Subjekts nodrošina, ka:
72.1.
par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts žurnālfailos;
72.2.
par rezerves kopijām atbildīgā persona un kiberdrošības pārvaldnieks tiek nekavējoties brīdināti, ja kārtējā rezerves kopijas izveide nav izdevusies;
72.3.
A klases informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma.
73.
Uzglabājot A un B klases informācijas sistēmu rezerves kopijas, subjekts nodrošina, ka:
73.1.
rezerves kopijām gan fiziski, gan elektroniskajā vidē var piekļūt subjekta pilnvarotās personas, kā arī par rezerves kopiju atbildīgā persona un kiberdrošības pārvaldnieks;
73.2.
A klases informācijas sistēmai vismaz viena pilna rezerves kopija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
73.3.
A un B klases informācijas sistēmai pēc rezerves kopijas pārvietošanas citā datu nesējā tiek pārbaudīta rezerves kopijas integritāte (piemēram, pārbaudot tās satura kontrolsummu).
74.
Subjekts iekšējos dokumentos nosaka rezerves kopiju pārvaldības prasības un kārtību, tostarp rezerves kopiju veidošanas, glabāšanas un dzēšanas kārtību un kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, atbildīgos par rezerves kopiju pārvaldību, kā arī rezerves kopiju aizsardzības prasības.
75.
Subjekta kiberdrošības pārvaldnieks nodrošina rezerves kopiju pārvaldības un aizsardzības prasību ievērošanas kontroli, tostarp veic rezerves kopiju pārbaudi izvēlētai informācijas sistēmai, informācijas resursam vai tehniskā resursa konfigurācijai. Pārbaudi veic ne retāk kā reizi trīs mēnešos A klases informācijas sistēmai un ne retāk kā reizi sešos mēnešos B klases informācijas sistēmai.
76.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
76.1.
nosaka par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu;
76.2.
nekavējoties, bet ne vēlāk kā piecu darba dienu laikā pēc šo noteikumu 76.1. apakšpunktā minētās personas noteikšanas, informē Satversmes aizsardzības biroju.
3.11.Kiberhigiēnas pasākumi
77.
Subjekts organizē tā nodarbināto, kuri ir subjekta IKT resursu un informācijas sistēmu reģistrētie lietotāji, apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu un saturu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:
77.1.
visu subjekta nodarbināto, kuri lieto IKT resursus instruktāžas, tai skaitā:
77.1.1.
sākotnējās instruktāžas – ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža,
77.1.2.
kārtējās instruktāžas – vismaz reizi kalendārajā gadā,
77.1.3.
ārkārtas instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
77.2.
subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un IKT darbības nepārtrauktības pasākumu efektīvai īstenošanai – vismaz reizi kalendārajā gadā. Kiberdrošības pārvaldnieks ir tiesīgs organizēt papildu apmācības, piemēram, identificējot jaunu risku, ievainojamību vai kiberapdraudējumu;
78.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs organizē ārpakalpojuma sniedzēja darbinieku, kas ir iesaistīti līguma izpildē, instruktāžas pirms līguma izpildes uzsākšanas.
79.
Subjekts nodrošina, ka apmācību saturs tiek pārskatīts un nepieciešamības gadījumā aktualizēts vismaz reizi gadā vai, mainoties apstākļiem (piemēram, izceļoties jauniem kiberapdraudējumiem, mainoties kiberriska līmenim, notiekot kiberincidentam).
80.
Subjekts nodrošina, ka visiem tā nodarbinātajiem, kuri lieto IKT resursus, ir pieejami aktuālie instruktāžu materiāli.
81.
Subjekts uzskaita organizētās apmācības, kā arī ievieš procesus, lai novērtētu nodarbināto, kuri lieto IKT, zināšanas kiberdrošības jautājumos un īstenoto apmācību efektivitāti.
3.12.Šifrēšanas prasības
82.
Subjekts pielieto, ja tas ir tehniski iespējams, šifrēšanas risinājumus vismaz:
82.1.
A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajos datu pārraides tīklos, kā arī ārējos un iekšējos IKT infrastruktūras bezvadu tīklos;
82.2.
A konfidencialitātes klases informācijas resursu glabāšanai (at-rest).
83.
Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādā, vismaz reizi gadā pārskata un nepieciešamības gadījumā aktualizē vadlīnijas subjektiem šifrēšanas risinājumu izmantošanai. Vadlīnijas publicē Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja mājaslapā internetā.
84.
Subjekts iekšējos normatīvajos aktos nosaka:
84.1.
minimālo pieļaujamo šifrēšanas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni;
84.2.
šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
84.3.
prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.
4.Ārpakalpojumu prasības
4.1.Vispārīgās ārpakalpojumu prasības
85.
Subjekts ārpakalpojuma līgumu par IKT resursa vai pakalpojuma iegādi nedrīkst slēgt:
85.1.
ja ārpakalpojuma sniedzējs ir juridiska persona, kas reģistrēta Krievijas Federācijā, Baltkrievijas Republikā vai valstī, kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti;
85.2.
ja ārpakalpojuma sniedzējs, tā dalībnieks, kapitāla daļu īpašnieks vai patiesais labuma guvējs (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patiesā labuma guvēju ir iespējams noskaidrot) ir šo noteikumu 85.1. apakšpunktā minētās valsts pilsonis;
85.3.
ja ārpakalpojuma sniegšanā ir iesaistīts šo noteikumu 85.1. apakšpunktā minētās valsts pilsonis; vai
85.4.
ja iegādājamā IKT resursa ražotājs ir šo noteikumu 85.1. apakšpunktā minētajā valstī reģistrēta juridiska persona vai šīs valsts pilsonis.
86.
Iegādājoties ārpakalpojumu, subjekts paredz:
86.1.
ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
86.2.
norādes uz Nacionālās kiberdrošības likumā un šajos noteikumos noteiktajām prasībām;
86.3.
subjekta un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
86.3.1.
subjekta tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti, un tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, tai skaitā žurnālfailus;
86.3.2.
ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot subjektam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības;
86.3.3.
ārpakalpojuma sniedzēja pienākumu informēt subjektu par ārpakalpojuma sniedzēja ārpakalpojuma izpildei piesaistītu citu pakalpojuma sniedzēju (turpmāk – apakšuzņēmējs) un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
86.3.4.
konfidencialitātes saistības;
86.4.
tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras subjekts ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
86.5.
piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu ārpakalpojuma sniedzējam pēc līguma termiņa beigām pēc subjekta izvēles dzēst ārpakalpojuma sniedzēja rīcībā nonākušos datus vai tos atdot subjektam, dzēšot visas esošās kopijas, izņemot, ja līgums tiek pagarināts;
87.
Slēdzot ārpakalpojuma līgumu par jaunas informācijas sistēmas izstrādi vai esošās informācijas sistēmas izmaiņām, subjekts:
87.1.
nosaka informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
87.2.
paredz iespēju šo noteikumu 87.1. apakšpunktā noteiktajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma jaunākām versijām.
87.3.
paredz, ka A un B konfidencialitātes klases informācijas sistēmu:
87.3.1.
testa vidē tiek izmantoti tikai sintētiski dati (no sākotnējiem datiem izveidoti mākslīgi dati, kas attēlo sākotnējo datu īpašības un struktūru un, veicot vienu un to pašu datu analīzi, sniedz līdzvērtīgus rezultātus);
87.3.2.
ārpakalpojumu līgumu izpilde tiek veikta tikai attiecīgās informācijas sistēmas testa vidē.
88.
Pirms ārpakalpojuma iegādes subjekts apzina un novērtē ar ārpakalpojuma iegādi saistītos riskus, tostarp piegādes ķēdes drošības riskus, un nosaka ārpakalpojuma kvalitātes, drošības un pieejamības prasības minēto risku mazināšanai, kā arī ārpakalpojuma izbeigšanas stratēģiju.
89.
Ārpakalpojuma sniedzējs nodrošina, ka apakšuzņēmējs ievēro un atbilst visām prasībām, kas noteiktas ārpakalpojuma sniedzējam. Subjekts un ārpakalpojuma sniedzējs ir atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām.
90.
Ārpakalpojuma sniedzējs pirms līguma izpildes uzsākšanas par informācijas sistēmas izstrādi, esošās informācijas sistēmas izmaiņām, informācijas sistēmas uzturēšanu vai IKT resursu apkopi iesniedz subjektam ārpakalpojuma izpildē iesaistīto fizisko personu sarakstu ar skaidrojumu attiecīgās fiziskās personas iesaistei ārpakalpojuma līguma izpildē.
91.
Subjekts nodrošina, ka pirms ārpakalpojuma līguma slēgšanas tas tiek saskaņots ar subjekta kiberdrošības pārvaldnieku. Subjekts nosaka atbildīgo personu par līguma izpildes uzraudzību.
4.2.Īpašās ārpakalpojumu prasības IKT kritiskajai infrastruktūrai
92.
IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par pakalpojuma sniegšanu saistībā ar IKT kritiskās infrastruktūras informācijas sistēmu, atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas, izņemot, ja ārpakalpojuma sniedzēja kapitāldaļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona.
93.
IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par IKT kritiskās infrastruktūras informācijas sistēmas tehnisko resursu iegādi atļauts slēgt, ja ārpakalpojuma sniedzējs un tehniksā resursa ražotājs ir:
93.1.
juridiska persona, kura atbilst šādām prasībām:
93.1.1.
tā ir reģistrēta NATO, Eiropas Savienības vai EBTA dalībvalstī vai NATO Indijas un Klusā okeāna reģiona sadarbības valstī (turpmāk - IP4 valstis);
93.1.2.
tās valde un padome sastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības, EBTA vai IP4 valstu pilsoņi;
93.1.3.
tās patiesais labuma guvējs ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsonis (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patiesā labuma guvēju ir iespējams noskaidrot);
93.1.4.
tās dalībnieki un kapitāla daļu īpašnieki (turētāji) ir juridiskas personas, kuras ir reģistrētas NATO, Eiropas Savienības, EBTA vai IP4 valstī, vai fiziskas personas, kuras ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsoņi;
93.2.
fiziska persona, kura ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsonis.
94.
Šo noteikumu 93. punktā minētās prasības nepiemēro:
94.1.
ja ārpakalpojumu sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona;
94.2.
ja ir saņemts Satversmes aizsardzības biroja atzinums, ka līgumu var slēgt izņēmuma kārtā.
95.
Lai saņemtu šo noteikumu 92. punktā vai 94.2. apakšpunktā minēto atzinumu, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs Satversmes aizsardzības birojam iesniedz:
95.1.
elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu atzinuma pieprasījuma veidlapu (7. pielikums);
95.2.
ārpakalpojuma sniedzēja, ārpakalpojumu izpildē iesaistīto apakšuzņēmēju (ja attiecināms) un ārpakalpojuma izpildē iesaistīto fizisko personu piekrišanu pārbaudes veikšanai.
96.
Satversmes aizsardzības birojs, sagatavojot atzinumu, var ņemt vērā šādu informāciju par ārpakalpojuma sniedzēju un ar to saistītajām personām:
96.1.
par juridisku personu:
96.1.1.
juridiskās personas reģistrācijas valsti,
96.1.2.
juridiskās personas valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju izcelsmes valsti,
96.1.3.
informāciju par juridiskās personas darbības laikā konstatētajiem un ar to saistītajiem kiberincidentiem,
96.1.4.
informāciju par juridiskās personas, tās valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju komercdarbības veikšanu Krievijas Federācijā vai Baltkrievijas Republikā, vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku,
96.1.5.
citus Satversmes aizsardzības biroja konstatētus drošības riskus;
96.2.
par fizisku personu:
96.2.1.
pilsonību;
96.2.2.
sodāmību;
96.2.3.
piederību vai atbalsta sniegšanu aizliegtām organizācijām;
96.2.4.
informāciju, kas liecina, ka fiziskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm;
96.2.5.
informāciju par fiziskās personas veikto saimniecisko darbību Krievijas Federācijā vai Baltkrievijas Republikā, vai dalību biedrības, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku;
96.2.6.
diagnosticētus psihiskus traucējumus vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarību, kas dod pamatu apšaubīt personas uzticamību;
96.2.7.
citus Satversmes aizsardzības biroja konstatētus drošības riskus.
97.
Šo noteikumu 92. punktā minētā atzinuma saņemšana ir attiecināma arī uz ārpakalpojuma sniedzēja ārpakalpojuma līguma izpildē piesaistītajiem apakšuzņēmējiem.
99.
IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ir pienākums nekavējoties, bet ne vēlāk kā 10 darba dienu laikā no informācijas iegūšanas brīža informēt Satversmes aizsardzības biroju par izmaiņām IKT kritiskās infrastruktūras informācijas sistēmu ārpakalpojuma sniedzējā vai apakšuzņēmējā, ja tās nav atbilstošas šo noteikumu 93. punkta prasībām.
4.3.Īpašās ārpakalpojumu prasības būtisko pakalpojumu sniedzējiem
100.
Būtisko pakalpojuma sniedzējam, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ārpakalpojuma līgumu saistībā ar A klases informācijas sistēmu atļauts slēgt:
100.1.
ja ārpakalpojuma sniedzējs tehniskā resursa iegādei atbilst šo noteikumu 92. punktā noteiktajām prasībām;
100.2.
ja ārpakalpojuma sniedzējs pakalpojuma sniegšanai atbilst šo noteikumu 92. punktā noteiktajām prasībām un ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsonis.
101.
Būtisko pakalpojumu sniedzējs, kurš ir publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs, slēdzot ārpakalpojuma līgumu par publiskā elektronisko sakaru tīkla kritiskajās daļās izmantojamo tehnisko resursu vai pakalpojumu iegādi, piemēro šo noteikumu 100. punktā noteiktās prasības.
102.
Šo noteikumu 100. punktu nepiemēro:
102.1.
ja ārpakalpojuma sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona;
102.2.
ja ir saņemts Satversmes aizsardzības biroja atzinums, ka tā rīcībā nav negatīvas informācijas par ārpakalpojuma sniedzēju.
103.
Lai pieprasītu šo noteikumu 102.2. apakšpunktā minēto atzinumu, būtisko pakalpojumu sniedzējs nosūta uz Satversmes aizsardzības biroja oficiālo elektroniskā pasta adresi:
103.1.
elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu atzinuma pieprasījuma veidlapu (7. pielikums);
103.2.
ārpakalpojumu sniedzēja, apakšuzņēmēju (ja attiecināms) un ārpakalpojuma izpildē iesaistīto fizisko personu piekrišanu pārbaudes veikšanai.
104.
Būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver atsauci uz šo noteikumu 100. punktā minētajiem ierobežojumiem, kas piemērojami vienošanās ietvaros slēdzot ārpakalpojuma līgumus.
105.
Būtisko pakalpojumu sniedzējam ir pienākums nekavējoties, bet ne vēlāk kā 10 darba dienu laikā no informācijas iegūšanas brīža informēt Satversmes aizsardzības biroju par izmaiņām ārpakalpojuma sniedzējā vai apakšuzņēmējā, ja tās nav atbilstošas šo noteikumu 100. punkta prasībām.
5.Papildu prasības IKT kritiskajai infrastruktūrai
106.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs savā darbībā izmanto IKT, kas atbilst šajos noteikumos noteiktajām prasībām, kā arī ņem vērā Satversmes aizsardzības biroja ieteikumus par izmantojamām IKT un drošības pasākumiem.
107.
Satversmes aizsardzības birojs:
107.1.
apzina iespējamo A, B un C kategorijas IKT kritisko infrastruktūru un iespējamo Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru;
107.2.
sniedz priekšlikumus par A, B un C kategorijas IKT kritiskās infrastruktūras iekļaušanu un izslēgšanu no kritiskās infrastruktūras kopuma;
107.3.
informē A, B vai C kategorijas IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju:
107.3.1.
par IKT kritiskās infrastruktūras iekļaušanu kritiskās infrastruktūras kopumā,
107.3.2.
par IKT kritiskās infrastruktūras noteikšanu par Eiropas mērogā īpaši nozīmīgu kritisko infrastruktūru;
107.3.3.
IKT kritiskās infrastruktūras izslēgšanu no kritiskās infrastruktūras kopuma.
108.
Satversmes aizsardzības birojs pēc savas iniciatīvas sniedz atzinumu par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja nodarbinātajiem vai izvēlētajiem amata pretendentiem, un komersanta, kurš sniedz pakalpojumu IKT kritiskajā infrastruktūrā vai Eiropas mērogā īpaši nozīmīgā kritiskajā infrastruktūrā vai kuram ir piekļuve IKT kritiskās infrastruktūras vai Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām, īpašnieku, valdes locekļu, darbinieku un darbu veikšanai vai pakalpojumu sniegšanai izvēlēto komersantu atbilstību pakalpojuma sniegšanai IKT kritiskajā infrastruktūrā vai Eiropas mērogā īpaši nozīmīgā kritiskajā infrastruktūrā vai piekļuvei tai. Ja ir saņemts negatīvs Satversmes aizsardzības biroja atzinums, IKT kritiskās infrastruktūras, tajā skaitā Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras, īpašnieks vai tiesiskais valdītājs liedz komersantam vai personai piekļuvi A, B un C IKT kritiskajai infrastruktūrai vai Eiropas mērogā īpaši nozīmīgai kritiskajai infrastruktūrai un tās funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām.
110.
Pamatojoties uz šo noteikumu 108. punktā minētās pārbaudes rezultātiem, Satversmes aizsardzības birojs var sniegt IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus un norādījumus par drošības pasākumu veikšanu, tostarp ierobežot šo noteikumu 113. punktā minētajām personām piekļuvi IKT kritiskajai infrastruktūrai.
111.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, izbeidzot darba tiesiskās attiecības ar personu, kurai ir izveidots administratora lietotāja konts, bloķē konkrēto administratora lietotāja kontu brīdī, kad personai tiek paziņots par darba tiesisko attiecību izbeigšanu.
112.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
112.1.
izstrādā darbības nepārtrauktības plānu valsts apdraudējuma gadījumam atbilstoši šo noteikumu 8. pielikumam. Darbības nepārtrauktības plāns valsts apdraudējuma gadījumam pirms tā pirmreizējas apstiprināšanas, kā arī pirms izmaiņu apstiprināšanas, tiek saskaņots ar Satversmes aizsardzības biroju;
112.2.
norīko par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu un nosaka tās uzdevumus:
112.2.1.
sadarbībā ar nozares ministriju un Aizsardzības ministriju sagatavot darbības nepārtrauktības plānu valsts apdraudējuma gadījumam;
112.2.2.
sadarbībā ar nozares ministriju un Aizsardzības ministriju nodrošināt darbības nepārtrauktības plāna valsts apdraudējuma gadījumam regulāru aktualizēšanu.
113.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par šo noteikumu 112.2. apakšpunktā minēto atbildīgo personu nosaka fizisku personu, kura atbilst šo noteikumu 12.1. līdz 12.4. un 12.6. līdz 12.10. apakšpunktā minētajām prasībām. Satversmes aizsardzības birojs pārbauda atbildīgās personas kandidātu atbilstību un šo noteikumu 12.1. līdz 12.4. un 12.6. līdz 12.10. apakšpunktā minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt atbildīgās personas kandidāta pārbaudi, ja atbildīgās personas kandidātam ir izsniegta speciālā atļauja pieejai valsts noslēpumam.
114.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs darbības nepārtrauktības plānu valsts apdraudējuma gadījumam pēc tā apstiprināšanas vai aktualizēšanas nekavējoties, bet ne vēlāk kā viena mēneša laikā nosūta Satversmes aizsardzības birojam.
115.
Ja kritiskās infrastruktūras kopumā iekļauj IKT kritisko infrastruktūru, kuras īpašniekam vai tiesiskajam valdītājam civilās aizsardzības plānos, valsts apdraudējuma pārvarēšanas plānos vai katastrofu medicīnas plānos jau ir noteikta darbības nepārtrauktība vai kurai ir ārējā audita sertificēta darbības nepārtrauktības nodrošināšanas sistēma, vai ja minētos kritērijus uz IKT kritisko infrastruktūru sāk attiecināt pēc šo noteikumu spēkā stāšanās dienas, jauns darbības nepārtrauktības plāns valsts apdraudējuma gadījumam netiek izstrādāts, bet IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs norīko par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu, un minētā persona sadarbībā ar nozares ministriju un Aizsardzības ministriju, ja nepieciešams, papildina jau esošos darbības nepārtrauktības plānus.
116.
Ja kritiskās infrastruktūras kopumā ir vairākas vienas juridiskās personas informācijas sistēmas, attiecīgajai juridiskajai personai tiek izstrādāts viens visaptverošs darbības nepārtrauktības plāns valsts apdraudējuma gadījumam.
117.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ne retāk kā reizi četros gados vai, ja ir būtiskas izmaiņas, ne vēlāk kā gada laikā iesniedz Aizsardzības ministrijā, nozares ministrijā un Satvrsmes aizsardzības birojā pašvērtējumu par darbības nepārtrauktības plāna valsts apdraudējuma gadījumam aktualizēšanu. Nozares ministrija sadarbībā ar Aizsardzības ministriju var jebkurā laikā izlases veidā izvērtēt darbības nepārtrauktības plānu valsts apdraudējuma gadījumam un, ja nepieciešams, ieteikt tajā veicamās izmaiņas.
6.Papildu prasības kiberincidentu novēršanas institūcijām
118.
Kiberincidentu novēršanas institūcija:
118.1.
nodrošina savu saziņas kanālu (oficiālā elektroniskā adrese, e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni, izvairoties no situācijām, kad viena kļūme izraisa visu saziņas kanālu darbības pārtraukumu, un tai ir vairāki saziņas kanāli, kas jebkurā laikā ļauj ar to sazināties;
118.2.
nodrošina piekļuvei savām telpām atbilstošu apmeklētāju kontroli, un nodrošina, ka ēkai, kurā tā atrodas, tiek apsargāta;
118.3.
nodrošina, ka tās informācijas sistēmu darbības nodrošināšanai paredzētā aparatūra ir izvietota telpās ar dublētiem elektroenerģijas un interneta pieslēgumiem;
118.4.
nodrošina, ka tā ir aprīkota ar piemērotu sistēmu atbalsta pieprasījumu pārvaldībai un novirzīšanai, lai atvieglotu efektīvu un lietpratīgu pieprasījumu apstrādi;
118.5.
nodrošina savu darbību konfidencialitāti un uzticamību;
118.6.
nodrošina, ka tai ir pietiekams atbilstoši apmācītu darbinieku skaits, lai nodrošinātu savu uzdevumu izpildi un darbības nepārtrauktību;
118.7.
nodrošina rezerves informācijas sistēmas un rezerves darba telpas vai iespējas pāriet uz attālinātu darbu, lai nodrošinātu kiberincidentu novēršanas institūcijas darbības nepārtrauktību;
118.8.
nodrošina, ka tās rīcībā ir piemērota, droša un noturīga saziņas un IKT infrastruktūra, lai nodrošinātu informācijas apmaiņu ar subjektiem un citām personām, tai skaitā, lai nodrošinātu dalību starptautiskos sadarbības tīklos, veicinot drošu kopīgošanas rīku ieviešanu;
118.9.
sadarbojoties ar citām privāto un publisko tiesību juridiskajām personām, tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskajām personām un citām valsts institūcijām, veicina vienotas vai standartizētas prakses, klasifikācijas shēmas un taksonomiju pieņemšanu un izmantošanu attiecībā uz incidentu risināšanas procedūrām, krīžu pārvaldību un koordinētu ievainojamību atklāšanu.
119.
Kiberincidentu novēršanas institūcijas vadītājs izvērtē tās atbilstību šo noteikumu 118. punktā minētajām prasībām vismaz reizi piecos gados un par to informē Nacionālo kiberdrošības centru.
7.Kiberincidentu vadība
120.
Konstatējot kiberincidentu, subjekts nekavējoties novērtē kiberincidenta nozīmīgumu.
121.
Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst būtiska kiberincidenta definīcijai Eiropas Komisijas 2024. gada 17. oktobra īstenošanas regulas (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku, 3. panta 1. punkta izpratnē.
122.
Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu:
122.1.
agrīnā brīdinājuma veidlapu (9. pielikums);
122.2.
sākotnējā ziņojuma veidlapu (10. pielikums);
122.3.
progresa ziņojuma veidlapu (11. pielikums), ja attiecināms;
122.4.
starpposma ziņojuma veidlapu (12. pielikums), ja attiecināms;
122.5.
galaziņojuma veidlapu (13. pielikums).
123.
Par kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjekts ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.
8.Subjektu kiberdrošības uzraudzība
8.1.Atbilstības audits
125.
Lai subjekts varētu veikt atbilstības auditu, kas noteikts Nacionālās kiberdrošības likumā, Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā (turpmāk – auditoru saraksts) reģistrē auditoru, kurš atbilst šādām prasībām:
125.1.
auditors ir juridiska vai fiziska persona, kura atbilst šo noteikumu 93. punkta prasībām;
125.2.
auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
125.3.
auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām kiberdrošības jomā.
126.
Lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai:
126.1.
aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu (14. pielikums);
126.2.
šo noteikumu 125.2. apakšpunktā minēto sertifikātu kopijas.
127.
Auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību šo noteikumu 125. punkta prasībām.
128.
Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
128.1.
saņemts auditora iesniegums par izslēgšanu no saraksta;
128.2.
konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
128.3.
auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
128.4.
pastāv objektīvas bažas par auditora zināšanām kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
128.5.
publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
128.6.
publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.
129.
Digitālās drošības uzraudzības komiteja auditoru sarakstu pārskata ne retāk kā reizi kalendārajā gadā. Auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.
130.
Slēdzot ārpakalpojuma līgumu par atbilstības auditu, subjekts paredz, ka:
130.1.
auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu;
130.2.
auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un EBTA dalībvalstu teritorijā.
130.3.
auditors pēdējo trīs gadu laikā nav piedalījies auditējamās informācijas sistēmas vai tās daļas izstrādē, uzturēšanā vai testēšanā;
130.4.
auditors atbilst Nacionālās kiberdrošības likuma 44. panta otrās daļas prasībām, šo noteikumu 124. punkta prasībām un nepastāv citi apstākļi, kuru dēļ nav nodrošināma audita objektivitāte un neatkarība.
131.
IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam šo noteikumu 130. punktā noteikto ārpakalpojuma līgumu atļauts slēgt tikai pēc Satversmes aizsardzības biroja atzinuma saņemšanas atbilstoši šo noteikumu 92. punktam.
8.2.Ielaušanās testi un drošības skenēšana
132.
Ielaušanās testus veic šādos gadījumos:
132.1.
A klases informācijas sistēmai:
132.1.1.
pirms informācijas sistēmas nodošanas ekspluatācijā;
132.1.2.
vismaz reizi trīs gados informācijas sistēmas ekspluatācijas laikā;
132.2.
jebkurai informācijas sistēmai – pēc subjekta iniciatīvas;
132.3.
jebkurai informācijas sistēmai – pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma.
133.
Šo noteikumu 132.1. un 132.2. apakšpunktā minētos ielaušanās testus var veikt:
133.1.
subjekta nodarbinātais personāls, kurš pēdējo trīs gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā;
133.2.
svarīgo vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informācijas sistēmai, cita persona, kura:
133.2.1.
ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP), vai kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā;
133.2.2.
pēdējo trīs gadu laikā nav bijusi iesaistīta testējamās informācijas sistēmas izstrādē vai uzturēšanā.
133.3.
IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmai, cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums šo noteikumu 98. punkta kārtībā, un kura atbilst šo noteikumu 133.2.1. un 133.2.2. apakšpunktos noteiktajām prasībām.
134.
Šo noteikumu 132.3. apakšpunktā minētos ielaušanās testus var veikt:
134.1.
svarīgo vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, informācijas sistēmai, Nacionālā kiberdrošības centra vai kompetentās kiberincidentu novēršanas institūcijas amatpersonas vai persona, kas atbilst šo noteikumu 133.2. apakšpunktā noteiktajām prasībām;
134.2.
IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja informācijas sistēmai:
134.2.1.
kompetentās kiberincidentu novēršanas institūcijas amatpersonas, pēc saskaņošanas ar Satversmes aizsardzības biroju;
134.2.2.
cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums atbilstoši šo noteikumu 92. punktam.
135.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nekavējoties, bet ne vēlāk kā 10 darba dienu laikā, informē Satversmes aizsardzības biroju par ielaušanās testa rezultātiem.
136.
Subjekta IKT infrastruktūras drošības skenēšanu (turpmāk - drošības skenēšana) veic:
136.1.
pēc Nacionālā kiberdrošības centra pieprasījuma attiecībā uz svarīgo vai būtisko pakalpojumu sniedzēju, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs;
136.2.
pēc Satversmes aizsardzības biroja pieprasījuma attiecībā uz IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju;
136.3.
pēc subjekta pieprasījuma.
137.
Drošības skenēšanu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā var veikt:
137.1.
Satversmes aizsardzības biroja amatpersonas;
137.2.
kompetentā kiberincidentu novēršanas institūcija pēc Satversmes aizsardzības biroja pieprasījuma;
137.3.
cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums atbilstoši šo noteikumu 92. punktam.
138.
Drošības skenēšanu veic visā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā, ja Satversmes aizsardzības biroja pieprasījumā nav noteikts citādi.
139.
Ja drošības skenēšanu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā veic saskaņā ar šo noteikumu 137.2. un 137.3. apakšpunktu:
139.1.
drošības skenēšanu veic no vides, kura nav kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja īpašumā vai valdījumā, lietojot informāciju, kura ir šīs kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja rīcībā;
139.2.
drošības skenēšanas laikā iegūst tikai to informāciju un tādā apjomā, kas ir nepieciešama pārvaldāmo risku identificēšanai;
139.3.
drošības skenēšanas veicējs ne vēlāk kā 48 stundas pirms skenēšanas uzsākšanas rakstiski informē par skenēšanas laiku un ilgumu kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, kā arī Satversmes aizsardzības biroju;
139.4.
drošības skenēšana tiek veikta tā, lai tā neradītu kaitējumu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrai;
139.5.
detalizētus drošības skenēšanas rezultātus drošības skenēšanas veicējs nekavējoties nosūta attiecīgajam kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam un Satversmes aizsardzības birojam, sniedzot arī attiecīgus ieteikumus;
139.6.
drošības skenēšanas veicējs apkopo informāciju par veiktajām drošības skenēšanām, norādot to veicējus, skenēšanas laiku, rezultātu kopsavilkumu un sniegtos ieteikumus. Visa ar drošības skenēšanām saistītā informācija ir ierobežotas pieejamības, un drošības skenēšanas veicējs nodrošina šīs informācijas aizsardzību.
140.
Vērtējot šo noteikumu 132.3. apakšpunktā minētā ielaušanās testa vai šo noteikumu 136.1. vai 136.2. apakšpunktā minētās drošības skenēšanas nepieciešamību, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs ņem vērā vismaz vienu no šādiem apsvērumiem:
140.1.
subjekta veidu un darbības jomu;
140.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu klasi;
140.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
140.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
140.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošību, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
140.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
141.
Drošības skenēšanu svarīgo vai būtisko pakalpojumu sniedzēja, kas nav IKT kritiskās infrastruktūras īpašnieka vai tiesiskais valdītājs, IKT infrastruktūrā var veikt Nacionālā kiberdrošības centra, kompetentās kiberincidenta novēršanas institūcijas amatpersonas vai vai cita persona, kura atbilst šo noteikumu 93. punkta prasībām.
8.3.Agrās brīdināšanas sensori
142.
Kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.
143.
Agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija vai ārpakalpojumu sniedzējs, kas atbilst šo noteikumu 4.2., 4.3. apakšnodaļas un 5. nodaļas prasībām.
144.
Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību:
144.1.
IKT kritiskā infrastruktūra;
144.2.
būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A klases informācijas sistēmas;
144.3.
pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra;
144.4.
svarīgo pakalpojumu sniedzēju IKT infrastruktūra.
145.
Vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, kiberincidentu novēršanas institūcija ņem vērā vismaz vienu no šādiem apsvērumiem:
145.1.
subjekta veidu un darbības jomu;
145.2.
subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu klasi (A, B vai C);
145.3.
subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
145.4.
pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
145.5.
uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošību, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
145.6.
no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
146.
Subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga.
147.
Kiberincidentu novēršanas institūcija ne vēlāk kā piecu darba dienu laikā informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu.
148.
Kiberincidentu novēršanas institūcija par agrās brīdināšanas sensora uzstādīšanu vai demontāžu IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja IKT infrastruktūrā nekavējoties informē Satversmes aizsardzības biroju.
149.
Pēc kiberncidentu novēršanas institūcijas pieprasījuma subjekts nodrošina tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.
150.
Agrās brīdināšanas sensoru subjekta infrastruktūrā neizvieto, ja subjekta IKT infrastruktūrā ir izveidots kiberincidentu novēršanas institūcijas drošības operāciju centrs.
8.4.Pašvērtējuma ziņojums
151.
Subjekts veic pašvērtējumu par savu atbilstību Nacionālās kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:
151.1.
reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā vai valdījumā ir vismaz viena A klases informācijas sistēma;
151.2.
reizi trijos gados – subjekts, kura īpašumā un valdījumā nav nevienas A klases informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk.
152.
Veicot pašvērtējumu, subjekts sagatavo un līdz attiecīgā kalendārā gada 1. oktobrim iesniedz:
152.1.
Nacionālajam kiberdrošības centram elektroniski aizpildītu pašvērtējuma ziņojuma veidlapu (15. pielikums).
152.2.
Satversmes aizsardzības birojam IKT kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji elektroniski aizpildītu pašvērtējuma ziņojuma veidlapu (15. pielikums).
153.
Ja atbilstība subjekta statusam ir iestājusies pēc 1. jūlija, subjekts pirmreizējo pašvērtējuma ziņojumu iesniedz ne vēlāk kā trīs mēnešu laikā no atbilstības brīža.
154.
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pašvērtējuma ziņojumam nosaka vismaz ierobežotas pieejamības informācijas statusu.
8.5.Neatbilstību novēršana valsts un pašvaldību institūcijās
155.
Ja subjekts, kurš ir tiešās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs, atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam, par šo neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu pret subjekta vadītāju un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam.
156.
Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs, atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam, par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē viedās administrācijas un reģionālās attīstības ministru.
157.
Ja subjekts, kurš ir šo noteikumu 155. un 156. punktā neminēta atvasināta publiska persona, pastarpinātas pārvaldes iestāde vai cita valsts institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs, atbilstoši Nacionālās kiberdrošības likuma 41. pantā noteiktajam uzraudzības dalījumam, par konstatēto neatbilstību ziņo Ministru kabinetam. Ministru kabinets lemj par turpmāko rīcību neatbilstības novēršanai.
8.6.Piekļuves slēgšana elektronisko sakaru tīklam
158.
Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs paziņo elektronisko sakaru komersantam, kura pakalpojumus lietotājs izmanto, un lietotājam, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu informē Valsts policiju.
159.
Pēc piekļuves slēgšanas pieprasījuma saņemšanas elektronisko sakaru komersants nekavējoties atslēdz lietotāju no elektronisko sakaru tīkla un veic darbības, ko noteicis Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs (piemēram, novirza lietotāja IP adreses vai domēna vārda pieprasījumus uz piekļuves slēgšanas pieprasījumā norādīto vietni).
160.
Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.
161.
Pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām elektronisko sakaru komersants atjauno lietotājam piekļuvi elektronisko sakaru tīklam, ja vien nepastāv objektīvi iemesli piekļuves neatjaunošanai (piemēram, līgumisko attiecību izbeigšanās starp elektronisko sakaru komersantu un lietotāju).
9.Noslēguma jautājumi
162.
Atzīt par spēku zaudējušiem Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (Latvijas Vēstnesis, 2023, 46. nr.).
164.
Būtisko pakalpojumu sniedzēji, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, sešu mēnešu laikā no šo noteikumu spēkā stāšanās brīža izvērtē noslēgtos ārpakalpojumu līgumus un informē Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju par ārpakalpojumu līgumiem, kas neatbilst šo noteikumu prasībām.
165.
Ārpakalpojumu līgumi, kas noslēgti pirms šo noteikumu stāšanās spēkā un neatbilst šajos noteikumos noteiktajām ārpakalpojumu prasībām, var palikt spēkā ne vēlāk kā līdz 2028. gada 1. janvārim.
166.
Šajos noteikumos noteiktās ārpakalpojumu prasības var nepiemērot publiskajiem iepirkumiem, kuri ir uzsākti pirms noteikumu stāšanās, paredzot, ka ārpakalpojuma līguma termiņš nav ilgāks par spēkā, bet ne vēlāk kā līdz 2028. gada 1. janvārim.
168.
IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina atbilstību šajos noteikumos noteiktajām prasībām sešu mēnešu laikā no šo spēkā stāšanās brīža.
169.
Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 101. punktā minētās prasības piemēro no 2030. gada 1. janvāra.
170.
Kiberincidentu novēršanas institūcijas vadītājs pirmreizēji par kiberincidentu novēršanas institūcijas atbilstību šo noteikumu 118. punktā noteiktajām prasībām informē Nacionālo kiberdrošības centru līdz 2025. gada 31. decembrim.
Informatīva atsauce uz Eiropas Savienības direktīvām
Noteikumos iekļautas tiesību normas, kas izriet no:
1)
Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza regulu (ES) Nr. 910/2014 un direktīvu (ES) 2018/1972 un atceļ direktīvu (ES) 2016/1148 (TID 2 direktīva);
2)
Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi (pārstrādāta redakcija).
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds
1.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapa
2.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Domēnu nosaukumu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapa
3.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Paziņojuma par kiberdrošības pārvaldnieku veidlapa
4.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Metodika informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klases noteikšanai pēc tajā elektroniski apstrādājamajiem informācijas resursiem
| Drošības klase | Pazīmes | ||
| Konfidencialitātes klase | Integritātes klase | Pieejamības klase | |
|
A klase (augstākais riska līmenis, var būt tikai būtisko pakalpojumu sniedzējam) | |||
informācijas resurss satur vismaz 1 000 000 datu subjektu personas datus; |
informācijas resurss ļauj informācijas sistēmā veikt darbības ar personai piederošo nekustamo īpašumu vai transportlīdzekļu īpašumtiesību reģistrāciju; |
informācijas resursa pieejamības neplānots pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 0,1% mēneša ietvaros; |
|
informācijas resurss satur vismaz 500 000 datu subjektu īpašu kategoriju personas datus; |
informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību; | informācijas resursa nepieejamība var pārtraukt vai būtiski apgrūtināt valsts vai pašvaldības pamatfunkciju īstenošanu vai kritiskās infrastruktūras darbību; | |
| informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu nacionālās drošības interesēm; | informācijas resursa integritātes pārkāpums var izraisīt katastrofu; | no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta A pieejamības klase; | |
|
B klase (vidējais riska līmenis) |
informācijas resurss satur ierobežotas pieejamības informāciju vai īpašu kategoriju personas datus; | informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt subjekta darbību vai tā būtiskā vai svarīgā pakalpojuma sniegšanu; | informācijas resursa pieejamības neplānots pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri nedrīkst pārsniegt 1% mēneša ietvaros; |
| informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde kaitētu Latvijas Republikas reputācijai | informācijas resursa integritātes pārkāpums var pārtraukt vai būtiski apgrūtināt citu subjektu darbību vai to sniegto būtisko un svarīgo pakalpojumu sniegšanu; | no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta B pieejamības klase; | |
|
C klase (zemākais riska līmenis) |
informācijas resurss satur informāciju, kuras neatļauta izpaušana vai noplūde neradītu kaitējumu Latvijas Republikas reputācijai. | informācijas resursa integritātes pārkāpums būtiski neietekmē subjekta vai citu subjektu pamatfunkciju īstenošanu, būtisko vai svarīgo pakalpojumu sniegšanu. | informācijas resursa pieejamības neplānots pārtraukums informācijas sistēmas paredzētajā darbības laikā summāri drīkst pārsniegt 1% mēneša ietvaros. |
5.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Publisko elektronisko sakaru tīklu kritiskās daļas
1. Par publiskā elektronisko sakaru tīkla (turpmāk – sakaru tīkls) kritisko daļu tiek atzīta tāda daļa, ar kuru pilnībā vai daļēji īsteno vismaz vienu no šādām funkcijām:
1.1. galvenās maršrutēšanas funkcijas un cita veida galalietotāju datplūsmas kontrole vai vadīšana sakaru tīklā, kas var būtiski ietekmēt datplūsmu sakaru tīklā (piemēram, sakaru tīkla vai pakalpojuma sastāvdaļas, ja tās kontrolē vai vada būtisku datplūsmas daļu visā tīklā);
1.2. galalietotāju piekļuves pārvaldība, verifikācija un apstiprināšana, tīkla IKT resursu piešķiršana galalietotājiem un galalietotāju savienojumu un sesiju pārvaldība;
1.3. sakaru tīkla un pakalpojumu funkciju reģistrācija, verifikācija un apstiprināšana;
1.4. infrastruktūras pakalpojumi, kas vajadzīgi sakaru tīkla un pakalpojumu darbībai un tā darbības atbalstam;
1.5. funkcijas, ko izmanto, lai īstenotu saskarnes starp sakaru tīkliem vai pakalpojumiem, tostarp viesabonēšanu;
1.6. funkcijas, kas savstarpēji savieno sakaru tīklus vai pakalpojumus, ja šāda funkcija var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu caur tīklu;
1.7. galvenās drošības funkcijas (piemēram, centralizēta sakaru tīkla, tā funkciju un galalietotāju šifrēšanas un atslēgu pārvaldība);
1.8. tīkla pārvaldības un tīkla uzraudzības sistēmas, ja tās attiecas uz sakaru tīkla kritisko daļu pārvaldību vai uzraudzību vai ja tās citādi var būtiski ietekmēt piekļuvi tīklam vai datplūsmu tīklā, kā arī citas rēķinu sagatavošanas, atbalsta un aizmugursistēmas, kas var būtiski ietekmēt piekļuvi sakaru tīklam vai datplūsmu tīklā;
1.9. funkcijas, kas veic telekomunikāciju pārtveršanu vai uzraudzību tiesībaizsardzības iestāžu vajadzībām;
1.10. virtualizācija, ja to izmanto tādas funkcijas vai pasākuma īstenošanai, ko uzskata par kritisku sakaru tīkla daļu;
1.11. jebkura cita funkcija vai pasākums, ja to īsteno, izmantojot virtualizāciju, ko uzskata par kritisku sakaru tīkla daļu, kas minēta šā pielikuma 1.10. apakšpunktā;
1.12. galvenās funkcijas un pasākumi, kas ļauj piekļūt datiem par sakaru tīklā apstrādātās saskarnes vai galiekārtas ģeogrāfisko atrašanās vietu vai ļauj noteikt atrašanās vietu, izmantojot sakaru tīklu.
2. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 4G tīkla pamatfunkcijām ir pakotņu komutācijas funkcijas tādā apmērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 1. tabulā norādītajām 4G tīkla funkcijām.
1. tabula
4G tīkla kritiskās daļas
| Nr. p. k. | Funkcijas | Apraksts |
| 2.1. | Mājas abonentu serveris (HSS) | Abonentu reģistrs, kurā glabā datus, lai apstrādātu lietotāja sesijas un savienojumus |
| 2.2. | Iekārtu identifikatoru reģistrs (EIF) | Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces |
| 2.3. | Abonementa atrašanās vietas noteikšanas funkcija (SLF) | Funkcija, kas uz citām tīkla funkcijām pārraida centrālās datubāzes nosaukumu, kurā ir lietotāja dati (HSS) |
| 2.4. | Mobilo sakaru pārvaldības struktūra (MME) | Struktūrvienība, kas atbild par galiekārtas savienojumu un mobilitātes pārvaldību |
| 2.5. | Apkalpojošā vārteja (SGW) | Apkalpojošā vārteja, kas atbild par datplūsmas maršrutēšanu lietotāja līmenī |
| 2.6. | Pakešdatu tīkla vārteja (PDN GW) | Komutējama pakešu tīkla vārteja starp operatora iekšējo IP tīklu un ārējo IP tīklu |
| 2.7. | Paplašināta pakešdatu vārteja (EPDG) | Vārteja lietotāju savienošanai ārpus mobilā tīkla |
| 2.8. | 3GPP AAA serveris un 3GPP AAA starpniekserveris | Serveris un starpniekserveris, kas atbild par lietotāju verifikāciju un apstiprināšanu ārpus mobilā tīkla |
| 2.9. | Piekļuves tīkla noteikšana un atlases funkcija (ANDSF) | Funkcija, kas kontrolē lietotāja datplūsmu starp mobilo sakaru tīklu un fiksēto sakaru tīklu |
| 2.10. | Politikas un maksas noteikumu funkcija (PCRF) | Lietotāja saskarnes politika un rēķinu izrakstīšanas funkcija |
3. Papildus šā pielikuma 1. punktā minētajām sakaru tīkla kritiskās daļas 5G pamattīkla funkcijām ir arī citas funkcijas tādā mērā, kādā tās būtiski kontrolē vai vada piekļuvi tīklam un datplūsmu tīklā.
4. Sakaru tīkla kritiskās daļas ietver vismaz tās funkcijas un pasākumus, kas pilnīgi vai daļēji īsteno vienu no šā pielikuma 2. tabulā norādītajām 5G tīkla funkcijām.
2. tabula
5G tīkla kritiskās daļas
| Nr. p. k. | Funkcijas | Apraksts |
| 4.1. | Piekļuves un mobilo sakaru pārvaldības funkcija (AMF) | Atbild par lietotāju kontroles datplūsmas terminoloģiju, galiekārtu reģistrāciju un mobilo sakaru pārvaldību |
| 4.2. | Lietotāja plaknes funkcija (UPF) | Atbild par lietotāja datplūsmas maršrutēšanu, vadīšanu un pārvaldību |
| 4.3. | Politikas kontroles funkcija (PCF) | Atbild par datplūsmas kontroli un piekļuves pārvaldības politikas īstenošanu |
| 4.4. | Autentifikācijas servera funkcija (AUSF) | Atbild par lietotāju galiekārtu verificēšanu |
| 4.5. | Vienota datu pārvaldība (UDM) | Atbild par lietotāju piekļuves pārvaldību un šifrēšanas atslēgu izveidi un pārvaldību |
| 4.6. | Lietojumprogrammas funkcija (AF) | Tiešsaistē atbalsta maršrutēšanas lēmumus |
| 4.7. | Tīkla ekspozīcijas funkcija (NEF) un vidējā NEF (I-NEF) | Ļauj nodrošināt 5G pamattīkla funkcijas trešajām personām un ārējām lietojumprogrammām |
| 4.8. | Tīkla repozitorija funkcija (NRF) | Atbild par tīkla pakalpojumu pieejamību, reģistrēšanu un apstiprināšanu |
| 4.9. | Tīkla sadaļu atlases funkcija (NSSF) | Atbild par tīkla sadalīšanas pakalpojumiem un specifikācijām |
| 4.10. | Tīkla sadaļu īpašās autentifikācijas un apstiprināšanas funkcija (NSAAF) | Atbild par tīkla sadaļu verifikāciju un apstiprināšanu |
| 4.11. | Sesiju pārvaldības funkcija (SMF) | Atbild par lietotāja sesiju pārvaldību |
| 4.12. | Drošmalu aizsardzības starpniekserveris (SEPP) | Starpniekserveris, kas ļauj nodrošināt savienojumu ar citiem tīkliem |
| 4.13. | Nestrukturētu datu glabāšanas funkcija (UDSF) | Funkcija, ko izmanto, lai glabātu un izgūtu nestrukturētus datus |
| 4.14. | Vienotais datu repozitorijs (UDR) | Repozitorijs, kas spēj glabāt un izgūt cita starpā abonenta informāciju |
| 4.15. | UE radio iespēju pārvaldības funkcija (UCMF) | Funkcija, kas glabā un saglabā galiekārtu ID radio iespējas datus |
| 4.16. | Funkcija mijiedarbībai ārpus 3GPP tīkla (N3IWF) | Funkcija, kas lietotājiem ārpus mobilā tīkla ļauj piekļūt tīkla funkcijām |
| 4.17. | 5G iekārtu identifikatoru reģistrs (5G-EIR) | Iekārtu identifikatoru reģistrs, kurā ir informācija par atļauju izmantot mobilās ierīces |
| 4.18. | Pakalpojuma sakaru starpniekserviss (SCP) | Maršrutē ziņojumus uz citām tīkla funkcijām |
| 4.19. | Tīkla datu analīzes funkcija (NWDAF), izņemot dalīto funkciju, tādā mērā, kādā tā būtiski nekontrolē vai nevada piekļuvi tīklam un datplūsmu tīklā | Vāc un analizē datus tīkla kontrolei |
6.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Kiberinicidentu un gandrīz notikušu kiberincidentu tipoloģija
| Kods | Kiberincidenta vai gandrīz notikuša kiberincidenta veids |
| 01 | Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs) |
| 02 | Ļaundabīgs kods |
| 03 | Informācijas vākšana |
| 04 | Ielaušanās mēģinājums |
| 05 | Ielaušanās |
| 06 | Pieejamības traucējums |
| 07 | Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana) |
| 08 | Krāpniecība |
| 09 | Ievainojamība |
| 10 | Cits kiberincidenta veids |
| 99 | Pārbaude (mācības) |
7.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Satversmes aizsardzības biroja atzinuma pieprasījuma veidlapa
8.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Minimālās prasības darbības nepārtrauktības plāna izstrādei valsts apdraudējuma gadījumam
1. Atbilstoši nozares specifikai ir pieļaujamas atkāpes no atsevišķiem prasību punktiem, par to atsevišķi vienojoties ar attiecīgo nozares ministriju un Aizsardzības ministriju.
2. IKT kritiskās infrastruktūras, tajā skaitā Eiropas mērogā īpaši nozīmīgā kritiskajā infrastruktūras (turpmāk – kritiskā infrastruktūra), īpašnieks vai tiesiskais valdītājs sadarbībā ar attiecīgo nozares ministriju un Aizsardzības ministriju izstrādā kritiskās infrastruktūras darbības nepārtrauktības plānu valsts apdraudējuma gadījumam (turpmāk – plāns).
3. Plānā nosaka:
3.1. kritiskos pakalpojumus un to minimālo apmēru, kas valsts apdraudējuma laikā jānodrošina vismaz noteiktajā līmenī;
3.2. kritisko personālu un tā pienākumus, kā arī personāla sagatavošanas pasākumus;
3.3. darbībai nepieciešamo nodrošinājumu (infrastruktūra, tehnoloģiskās iekārtas un nepieciešamie materiāltehniskie līdzekļi, resursi un izejvielas, cits nodrošinājums);
3.4. rīcības algoritmus krīzes laikā.
4. Minimālās prasības attiecībā uz kritisko pakalpojumu sniegšanas nepārtrauktību, kas jānodrošina valsts apdraudējuma laikā, tiek noteiktas individuāli sadarbībā ar nozares ministriju un Aizsardzības ministriju un tiek iekļautas plānā. Plānā:
4.1. apraksta kritiskās funkcijas un procesus;
4.2. definē kritisko pakalpojumu apjomu, kas jānodrošina noteiktajā līmenī;
4.3. definē maksimālo pieļaujamo pārtraukuma ilgumu kritisko pakalpojumu sniegšanā, pēc kura nav iespējams turpināt attiecīgā kritiskā pakalpojuma sniegšanu;
4.4. nosaka nepieciešamo atjaunošanas laiku un prioritātes kritisko funkciju atjaunošanai un turpināšanai.
5. Attiecībā uz cilvēkresursiem kritisko funkciju nodrošināšanai kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
5.1. izvērtē un nosaka nepieciešamo kritisko personālu, tostarp arī atbalsta personālu, lai nodrošinātu kritisko pakalpojumu sniegšanas nepārtrauktību un procesu norisi. Valsts apdraudējuma gadījumā izsludināta izņēmuma stāvokļa laikā kritiskais personāls nav pakļauts mobilizācijai, bet tā pienākums ir turpināt strādāt. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka kritiskajam personālam aizliegumu uzteikt darba līgumu;
5.2. informē kritisko personālu par tā statusu un pienākumiem, nosakot to darba līgumā un amata aprakstā, vai ar atsevišķu iestādes izdotu rīkojumu (piemēram, par kritisko personālu) vai citādi, kā arī nodrošina kritiskā personāla apmācību vai sagatavošanu;
5.3. izstrādā kritiskā personāla aizvietošanas vai pastiprināšanas kārtību, tostarp procedūru gadījumā, ja daļa kritiskā personāla nav pieejama;
5.4. atbilstoši iespējām laikus pielāgo infrastruktūru un piešķir resursus, lai nodrošinātu darbu maiņās, personāla nakšņošanu vai ilgstošu uzturēšanos darba telpās;
5.5. nosaka saziņas un iekšējās komunikācijas veidu (tajā skaitā izmantojamos sakaru līdzekļus) kritiskā personāla apziņošanai un informēšanai.
6. Infrastruktūras nodrošinājumā paredz pāreju uz alternatīvām darba telpām (alternatīvo lokāciju), ja ikdienas darba telpas nav pieejamas. Šajā nolūkā kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ja iespējams, izvērtē konkrētā kritiskās infrastruktūras objekta specifiku un:
6.1. laikus apzina piemērotu infrastruktūru (alternatīvu lokāciju), kas atrodas ne mazāk kā 50 kilometru attālumā no esošās infrastruktūras un ir piemērota kritisko funkciju nodrošināšanai (nepieciešamais minimums – sakaru nodrošinājums, atbilstoši iespējām – alternatīvie energoapgādes risinājumi, ūdens pieejamība);
6.2. izstrādā kārtību, kādā uz alternatīvajām darba telpām tiek pārvietots (īslaicīgi vai ilglaicīgi) personāls un tehnoloģiskās iekārtas, laikus identificējot nepieciešamo transporta vienību skaitu un citu nodrošinājuma atbalstu (tostarp personāla izmitināšanai, izvietošanai);
6.3. identificē iespējas piesaistīt alternatīvajā lokācijā pieejamo personālu, iekārtas un materiāltehniskos līdzekļus, laikus definējot prasības.
7. Attiecībā uz kritisko pakalpojumu sniegšanai nepieciešamo tehnoloģisko iekārtu (turpmāk – iekārtas) un materiāltehnisko līdzekļu risinājumu plānā paredz:
7.1. kritiski svarīgu iekārtu un materiāltehnisko līdzekļu uzskaitījumu;
7.2. kritiski svarīgu iekārtu un materiāltehnisko līdzekļu alternatīvu apzināšanu, aizvietošanas iespējas;
7.3. nepārtrauktības nodrošināšanu iekārtu un materiāltehnisko līdzekļu zaudējuma vai nedarbošanās gadījumā;
7.4. rīcību attiecībā uz iekārtu remontu, atjaunošanu, uzlabošanu vai alternatīvu izveidi (tajā skaitā ārpakalpojumu nodrošinātāju aizvietošanu);
7.5. digitālo sistēmu un iekārtu savlaicīgu dublēšanu, lai nodrošinātu pieeju datiem, sistēmām un procesiem arī no alternatīvās lokācijas;
7.6. piegāžu drošības ietekmi uz iekārtu darbības nepārtrauktību (atbalsta personāla pieejamība, rezerves detaļu pieejamība, remonts);
7.7. informācijas sistēmu elektroapgādes pieslēguma dublēšanu un aprīkojumu ar autonomu elektroapgādes sistēmu;
7.8. kritiskā pakalpojuma sniegšanas nepārtrauktības nodrošināšanu alternatīvā veidā ar alternatīviem līdzekļiem, ja Latvijas teritorijā neatrodas informācijas sistēmas, kas nodrošina kritiskā pakalpojuma sniegšanu.
8. Netiek rekomendēts izmantot tādu uzņēmumu ražotās tehnoloģijas, kuru reputācija Eiropas Savienības un NATO dalībvalstīs tiek apšaubīta saistībā ar aizdomām par privātuma pārkāpumiem, publiski nepieejamas informācijas nesankcionētu iegūšanu vai valsts drošības apdraudējumu.
9. Attiecībā uz kritisko pakalpojumu sniegšanai nepieciešamo transportu (ja attiecināms) plānā identificē un apzina:
9.1. kritisko pakalpojumu sniegšanai nepieciešamo transportu;
9.2. alternatīvas;
9.3. autovadītāju un speciālistu pieejamību, aizvietošanas iespējas;
9.4. nodrošinājumu ar degvielu.
10. Plānā atspoguļo:
10.1. elektronisko sakaru un balss telefonijas iekārtas un to datubāzes (tajā skaitā pieeju no alternatīvajām darba telpām, alternatīvās vai dublējošās sakaru un datu pārraides sistēmas);
10.2. elektroenerģijas apgādes iekārtas, alternatīvas un ārpakalpojumu ietekmi;
10.3. dabasgāzes un naftas produktu pieejamību (alternatīvas);
10.4. siltumapgādi (apkuri), ūdensapgādi, kanalizācijas pieejamību (alternatīvas);
10.5. loģistikas risinājumus un to alternatīvas (transporta nepieejamība).
11. Resursu (piegāžu) sistēma paredz kritiskās infrastruktūras darbības specifikai nepieciešamo resursu (piemēram, kritisko izejvielu identificēšana) pieejamību un piegādi valsts apdraudējuma gadījumā, tostarp izvērtējot piegāžu drošības un nepārtrauktības aspektus un laikus apzinot alternatīvās piegāžu ķēdes vai alternatīvu kritiskajām izejvielām, tostarp to iespējamās atrašanās vietas.
12. Informāciju par identificētajiem kritisko izejvielu un materiālu trūkumiem, materiāltehnisko resursu nepieejamību un citām konstatētajām ievainojamībām kopā ar kritiskās infrastruktūras pašvērtējumu iesniedz attiecīgajai nozares ministrijai.
13. Plānā nosaka piegāžu drošības un noturības jautājumus:
13.1. vismaz pirmā līmeņa piegādātāju identificēšana un to ģeogrāfiskā izvietošana, lai apzinātu ievainojamības starptautisko piegāžu ķēžu pārrāvumu situācijās un laikus identificētu iespējamās alternatīvas;
13.2. piegāžu risku sadale (multi-vendor suppliers), izvairoties no atkarības tikai no viena ārvalstu piegādātāja;
13.3. nav atbalstāma tādu augsta riska piegādātāju iesaiste piegāžu ķēdēs, kuru reputācija Eiropas Savienības un NATO dalībvalstīs tiek apšaubīta saistībā ar aizdomām par privātuma pārkāpumiem, cilvēktiesību neievērošanu, publiski nepieejamas informācijas nesankcionētu iegūšanu vai valsts drošības apdraudējumu;
13.4. no piegāžu drošības un noturības viedokļa priekšroka sniedzama vietējām piegāžu ķēdēm un vietējiem ražotājiem, apstrādātājiem un pakalpojumu sniedzējiem.
14. Plānā atspoguļo rīcības algoritmus krīzes laikā:
14.1. paredz kritisko pakalpojumu sniegšanu noteiktajā apjomā valsts apdraudējuma gadījumā;
14.2. paredz kārtību, kādā valsts apdraudējuma gadījumā sazināties ar personālu (nosaka saziņu un iekšējo komunikāciju, apziņošanu un informēšanu);
14.3. nosaka krīzes vadības komandas aktivizēšanas kārtību un darbību krīzes laikā, kā arī koordinācijas mehānismu ar nozares ministriju;
14.4. nosaka krīzes komunikācijas protokolu (iekšējo, ārējo);
14.5. nosaka procedūras elastīgai un operatīvai reaģēšanai uz incidentiem, īstenojot krīzes vadības procedūras un protokolus.
15. Uzņēmuma darbības prioritāte ir kritisko pakalpojumu sniegšana noteiktā apmērā, un tam jānovirza visi pieejamie iekšējie uzņēmuma resursi. Kritisko pakalpojumu sniegšanas pārtraukuma gadījumā visi resursi jāvelta noteikto funkciju un darbības procesu atjaunošanai, pēc iespējas mazinot radītos zaudējumus, operatīvi īstenojot atjaunošanas scenārijus vai pārceļoties un turpinot darbību no alternatīvās lokācijas.
16. Darbības pārtraukšana ir pieļaujama tikai:
16.1. saņemot atļauju vai citus uzdevumus no institūcijas, kas atbildīga par apdraudējuma pārvarēšanu;
16.2. situācijās, kad tiek apdraudēta personāla dzīvība un šo apdraudējumu nav iespējams novērst, pat pārceļoties uz alternatīvo lokāciju.
17. Plānā var identificēt arī nepieciešamo atbalstu no valsts institūcijām, lai nodrošinātu kritisko funkciju īstenošanu valsts apdraudējuma gadījumā:
17.1. prioritāru nodrošinājumu ar energoresursiem, gāzi un naftas produktiem;
17.2. sakaru nodrošinājumu;
17.3. fizisko apsardzi;
17.4. loģistikas atbalstu;
17.5. citu atbalstu atbilstoši nozares ministrijas un Aizsardzības ministrijas sniegtajam izvērtējumam.
18. Plānā paredz darbības nepārtrauktības sistēmas testēšanu un pašvērtēšanu, tostarp ne retāk kā reizi četros gados organizējot mācības sadarbībā ar attiecīgo nozares ministriju un Aizsardzības ministriju.
19. Plānu un grozījumus plānā apstiprina kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs.
9.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Agrīnā brīdinājuma veidlapa
10.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Sākotnējā ziņojuma veidlapa
11.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Progresa ziņojuma veidlapa
12.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Starpposma ziņojuma veidlapa
13.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Galaziņojuma veidlapa
14.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Kiberdrošības auditora reģistrācijas pieteikuma veidlapa
15.
pielikumsMinistru kabineta
[22-TA-3183 Dt]
noteikumiem Nr.[22-TA-3183 Nr]
Pašvērtējuma ziņojuma veidlapa