Kad ziņot par incidentu
|
Nacionālā kiberdrošības likuma subjekti: |
|
|
Citi |
|
|
Ziņošana par ikdienas |
Ziņošana par nozīmīgiem kiberdrošības incidentiem** |
Ziņošana par kiberdrošības incidentiem* |
|
Būtisko pakalpojumu sniedzēji Svarīgo pakalpojumu sniedzēji IKT kritiskās infrastruktūras
|
Par kiberdrošības incidentu, kurš |
Par kiberincidentu nekavējoties informē kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtos norādījumus par rīcību kiberincidenta gadījumā. Agrīnais brīdinājums – 24 stundu laikā Sākotnējais ziņojums – 72 stundu laikā Gala ziņojums – 6 mēnešu laikā pēc sākotnējā ziņojuma iesniegšanas Progresa ziņojums – ja 6 mēnešu laikā nav izdevies atrisināt incidentu (pēc incidenta atrisināšanas iesniedz gala ziņojumu)
|
Par konstatēto kiberdrošības incidentu ir iespēja brīvprātīgi ziņot kompetentajai kiberincidentu novēršanas institūcijai, nosūtot aprakstu brīvā formā uz e-pasta adresi cert Kiberincidentu novēršanas institūcija vienojas ar personu, kura ziņojusi par kiberdrošības incidentu, par atbalsta sniegšanu kiberincidenta risināšanā. Kā arī pēc savas iniciatīvas var brīvprātīgi ziņot kompetentajai kiberincidentu novēršanas institūcijai par gandrīz notikušu kiberincidentu*** vai kiberapdraudējumu****. Brīvprātīga ziņošana par kiberdrošības incidentu, gandrīz notikušu kiberincidentu vai kiberapdraudējumu neuzliek personai papildu pienākumus.
|
|
IKT kritiskās infrastruktūras |
Vienlaicīgi informē arī kompetento valsts drošības iestādi. |
1. Konstatējot kiberincidentu, subjekts nekavējoties novērtē kiberincidenta nozīmīgumu.
2. Ziņo atbilstoši kiberincidenta nozīmīgumam.
3. Ja informācija par kiberincidentu satur ierobežotas pieejamības informāciju – ziņojumu šifrē (PGP šifrēšanas metode).
4. Informācijas apjoms, kas iespēju robežās (ja attiecas) būtu norādāms par nenozīmīgu kiberincidentu:
- Notikuma apraksts (brīvā formā)
- Vai ir identificēts incidenta cēlonis (iekšējs, ārējs vai nezināms)
- Skarto iekārtu uzturētie servisi un OS
- Pierādījumu saglabāšana pirms darbības atjaunošanas
- Cita informācija kas var palīdzēt incidenta atrisināšanā vai tā radīto seku mazināšanā
5. Incidenta izmeklēšanai būs nepieciešami arī sekojoši dati:
- Vai un kā tika nodrošināta un aizsargāta piekļuve IT sistēmām (konkrēts produkts, tā versijas, piekļuves ierobežojumi, paroļu politika, 2FA veids un lietojums)
- Žurnālfailu pieejamība (iekārtas, ārējs kolektors, IDS, SIEM, rezerves kopijas)
- Skarto iekārtu RAM kopijas izveides iespējas
- Datu nesēju spoguļkopijas, virtuālo mašīnu snapshot iekļaujot RAM
- Tīkla plūsmas pieraksti
- Auditācijas pieraksti (log files)
- Vai ir notikusi personas datu noplūde (ziņošanas pienākums DVI) un vai cietušais zina kā pārbaudīt.
- Plānotais darbības atjaunošanas laiks un uzņēmuma IT sistēmas stāvoklis
- Cita informācija, kas var palīdzēt incidenta izmeklēšanā
Kiberincidentu nozīmīguma kritēriji
Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:
- kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
- kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām;
- kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
- kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
- kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
- kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.
Definīcijas:
*Kiberdrošības incidents (kiberincidents) — notikums, kas apdraud apstrādātus datus vai tādu pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, kurus piedāvā tīklu un informācijas sistēmas vai kuri pieejami ar tīklu un informācijas sistēmu starpniecību.
**Nozīmīgs kiberincidents — pārrobežu kiberincidents vai tāds kiberincidents, kam ir ietekme uz sniegtā pakalpojuma nepārtrauktību vai sabiedrības interesēm un kas atbilst Ministru kabineta noteiktajiem kritērijiem.
Pārrobežu kiberincidents — incidents, kas izraisa traucējumus tādā līmenī, kurš pārsniedz dalībvalsts spēju uz to reaģēt, vai kam ir būtiska ietekme uz vismaz divām dalībvalstīm.
***Gandrīz noticis kiberincidents — notikums, kurš būtu varējis apdraudēt apstrādātus datus vai tīklu un informācijas sistēmu piedāvāto vai ar tīklu un informācijas sistēmu starpniecību pieejamo pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, bet kura pilnīga īstenošanās tika sekmīgi novērsta vai kurš neīstenojās.
****Kiberapdraudējums — jebkādi iespējami apstākļi, notikums vai darbība, kas atbilst Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (turpmāk — regula 2019/881) 2. panta 8. punktā noteiktajai definīcijai.
