Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Nacionālās kiberdrošības likuma subjektiem un citām iestādēm Kiberdrošības pārvaldības process

Kiberdrošības pārvaldības process

1. Ieteikumi atbildīgajiem
2. IKT drošības pārbaudes
3. CERT.LV apmācības atbildīgajiem par IKT drošības pārvaldību
4. Darbinieku instruēšana kiberdrošības jautājumos

1. Ieteikumi atbildīgajiem

Ieteikumi atbildīgajiem par kiberdrošības pārvaldību:

  • sākt ar iestādes resursu identificēšanu (noteikt kuri no resursiem Subjektam ir kritiski nepieciešamie pakalpojumu nodrošināšanai);
  • identificēt informācijas un tehniskos resursus un personas, kuras piekļūst šiem resursiem;
  • pārvaldīt piekļuves tiesības;
  • veikt risku identificēšanu, novērtēšanu un analīzi;
  • riskos balstītā pieejā izsecināt, kādi ir būtiskākie apdraudējumi, kas attiecas uz aizsargājamajiem resursiem;
  • veikt apdraudējumu (risku) mazinošu pasākumu īstenošanu;
  • izveidot darbības nepārtrauktības plānu (un to pārbaudīt).

Atkarībā no identificētajiem apdraudējumiem ir jāizvēlas jomas, uz kurām fokusējoties veidot iestādes IKT drošības stratēģiju, ja nepieciešams, iepazīstoties ar standartu un IKT nozares labās prakses ieteikumiem attiecīgajās jomās, piemēram, kiberdrošības pārvaldības jomā (ISMS) ISO 27001, NIST ietvars, IKT pārvaldības jomā COBIT vai IKT pakalpojumu pārvaldības jomā ITIL4.

Veidojot IKT kiberdrošības dokumentācijas kopumu, ir jāņem vērā Subjekta darbības specifika, atbilstoši papildinot ieviešamās IKT kiberdrošības kontroles. 

2. IKT drošības pārbaudes

Bez Subjektus uzraugošo kompetento iestāžu veiktajām darbībām (Subjektu uzraudzība un auditēšana), Subjektam ir jāveic IKT infrastruktūras drošības pārbaudes (Ielaušanās testi) atbilstoši Ministru kabineta noteikumu Nr.397  “Minimālas kiberdrošības prasības” 8.2. punktā paredzētajai kārtībai. 

CERT.LV ieskatā ikgadējām pārbaudēm būtu jābūt tematiskām, un tās jāveic atbilstoši informācijas sistēmu risku analīzes rezultātiem. Piemēram, ja tiek identificēts, ka nav pārliecības, vai pastāv spēja atjaunot iestādei kritisko un pārējo informācijas sistēmu darbību no rezerves kopijām, tad būtu jāveic pārbaude informācijas sistēmu atjaunošanas plāna un rezerves kopiju integritātes novērtēšanai.

3. CERT.LV apmācības atbildīgajiem par IKT drošības pārvaldību

CERT.LV organizē seminārus IKT drošības speciālistiem ar dažādiem zināšanu līmeņiem, gan tādiem, kas tikai uzsākuši darbu IKT drošības jomā, gan šīs jomas ekspertiem. Ja esat atbildīgais par kiberdrošības pārvaldību, tad vismaz reizi gadā jāieplāno CERT.LV obligāto apmācību apmeklējumu (NKDL 25.panta piektās daļas 3.punkts).

Informācija par CERT.LV pasākumiem pieejama https://cert.lv/lv/zinas/pasakumi un CERT.LV sociālo tīklu profilos X (bij.Twitter|), Facebook un LinkedIn.

4. Darbinieku instruēšana kiberdrošības jautājumos

Kiberdrošības pārvaldnieks, atbilstoši Nacionālās kiberdrošības likuma 25.panta piektās daļas 4.punktam, ne retāk kā reizi gadā nodrošina, ka tiek veikta institūcijā nodarbināto instruktāža par subjektam aktuālajiem kiberriskiem un kiberdrošību.

Savukārt, atbilstoši Ministru kabineta noteikumu Nr.397 “Minimālās kiberdrošības prasības” 76.punktam:

Subjekts organizē tā nodarbināto un amatpersonu, kuri ir subjekta IKT resursu un informācijas sistēmu reģistrētie lietotāji, apmācības kiberdrošības jautājumos, izvēloties tādu apmācību veidu un saturu, kas atbilst nodarbināto un amatpersonu profesionālajai sagatavotībai, ņemot vērā to izglītību, iepriekšējās apmācības, darba pieredzi un spējas, kā arī subjekta darbības specifiku. 

Apmācību kopums ietver subjekta nodarbināto un amatpersonu, kuri lieto IKT resursus un informācijas sistēmas, kiberdrošības instruktāžas, tai skaitā:

  • sākotnējās kiberdrošības instruktāžas – ne vēlāk kā viena mēneša laikā no fiziskās personas lietotāja konta reģistrācijas brīža;
  • kārtējās kiberdrošības instruktāžas – vismaz reizi kalendārajā gadā;
  • ārkārtas kiberdrošības instruktāžas – pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot jaunu risku vai konstatējot ieviesto kontroļu nepilnības, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
  • apmācības kiberrisku pārvaldības un IKT darbības nepārtrauktības pasākumu efektīvai īstenošanai – vismaz reizi kalendārajā gadā. 

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2025 CERT.LV