☰

Iestāžu vadītājiem

Informācijas tehnoloģiju (IT) drošības likums valsts un pašvaldības institūcijām, pamatpakalpojumu sniedzējiem, digitālo pakalpojumu sniedzējiem un kritiskās infrastruktūras valdītājiem nosaka virkni pienākumu, kas jāizpilda, rūpējoties par institūcijas IT resursu drošību.

Ar ko sākt?

Informācijas tehnoloģiju drošības likumā ietverti pamatsoļi, kas jānodrošina katras institūcijas vadītājam IT drošības pārvaldības jomā.

Pirms šo soļu izpildes CERT.LV iesaka apzināt, kādus IT resursus institūcija izmanto un kas institūcijā ir atbildīgie par šo resursu uzturēšanu. Šāda darbība ļaus novērtēt IT resursu apjomu un pārzināt institūcijas vajadzības informācijas tehnoloģiju drošības jomā.

1. Solis – Atbildīgās personas noteikšana

Institūcijas vadītājs nosaka atbildīgo personu, kura īsteno IT drošības pārvaldību attiecīgajā institūcijā.

1) Vai var būt vairākas atbildīgās personas, kuras īsteno IT drošības pārvaldību attiecīgajā institūcijā?

Atkarībā no institūcijas lieluma un izmantoto informācijas tehnoloģiju apjoma par IT drošību var rūpēties viens darbinieks vai pat liela IT drošības komanda. Ja institūcijā ir vairāki darbinieki, kuru pienākumos ir IT drošības jautājumi, tad institūcijas vadītājam jānosaka ir viena atbildīgā persona, kura īsteno IT drošības pārvaldību. Atbildīgajai personai būtu jābūt tai, kura ir informēta par institūcijas visos IT resursos notiekošo. Atbildīgā persona un CERT.LV operatīvi sazinās IT drošības incidentu gadījumos.

2) Kādi ir atbildīgās personas, kuras īsteno IT drošības pārvaldību pienākumi?

IT drošības likums atbildīgajai personai nosaka šādus pienākumus:

  • organizēt institūcijas informācijas tehnoloģiju drošības pārvaldību;
  • ne retāk kā reizi gadā veikt informācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt atklāto trūkumu novēršanu;
  • vismaz reizi gadā apmeklēt Drošības incidentu novēršanas institūcijas organizētu apmācību IT drošības jautājumos;
  • ne retāk kā reizi gadā veikt institūcijas darbinieku instruktāžu IT drošības jautājumos.

Kā arī nosaka, ka citos normatīvajos aktos var būt noteikti papildus pienākumi. Vairāk par atbildīgās personas pienākumu izpildi, lasiet sadaļā Atbildīgajiem par IT drošību.

3) Kādai jābūt atbildīgās personas kvalifikācijai?

IT drošības likums nenosaka kvalifikācijas prasības atbildīgajām personām. Tomēr tādos aktuālajos profesiju standartos kā Informācijas drošības vadītājs un Informācijas sistēmas drošības pārvaldnieks (kas apstiprināti 2014. gadā) apkopotas pamatuzdevumu veikšanai nepieciešamās profesionālās kompetences, prasmes un zināšanas.

4) Vai IT drošības pārvaldību var pirkt kā ārpakalpojumu?

Ja iestādes vadītājs izvēlas IT drošības pārvaldības nodrošināšanai organizēt iepirkumu, ir iepriekš jāapzin iestādes vajadzības, informācijas resursi un sistēmas, kas būs jāaizsargā ārpakalpojumu sniedzējam. Būtu ieteicams kvalifickācijas prasībās vadīties no iepriekšējā punktā minētajām prasībām (kādai jābūt atbildīgās personas kvalifikācijai). Jāņem vērā arī tas, ka insitūcija ir jāievieš Ministru kabineta Nr.442 prasības.

5) Vai IT drošības pārvaldību var nodrošināt cita institūcija?

Valsts pārvaldes ietvaros var būt gadījumi, kad institūcijas IT resursus uztur cita institūcija. Šajā gadījumā ir būtiski rakstiski noteikt katras institūcijas atbildību, pienākumus un rīcību atbildīgās personas noteikšanas un izmaiņu gadījumā.

2. Solis – Paziņošana CERT.LV par atbildīgo personu

Institūcijas vadītājs 5 darbdienu laikā pēc atbildīgās personas noteikšanas informē CERT.LV par atbildīgo personu. Institūcijas vadītājs informē CERT.LV arī par izmaiņām, piemēram, ir nozīmēta cita atbildīgā persona vai ir izmaiņas atbildīgās personas datos.

Paziņot par atbildīgo personu un izmaiņām var, izmantojot jebkuru no CERT.LV kontaktos norādītajiem saziņas veidiem, nosūtot institūcijas vadītāja vai paraksttiesīgās personas parakstītu dokumentu.

Informējot CERT.LV par atbildīgo personu, ieteicams norādīt:

  • personas amatu;
  • vārdu, uzvārdu;
  • atbildīgās personas e-pasta adresi vai e-pasta adresi, kas izveidota saziņai ar CERT.LV;
  • tālruņa numuru, saziņai ar atbildīgo personu, vēlams mobilā tālruņa numurs.

Šādu datu nosūtīšana CERT.LV ir nepieciešama, lai institūcijas atbildīgā persona un CERT.LV ātri un efektīvi varētu sazināties IT drošības apdraudējumu gadījumos, kā arī vispārīgos jautājumos par IT drošības aktualitātēm, kas attiecas uz IT drošības likuma un saistīto Ministru kabineta noteikumu izpildi.

3. Solis - IT drošības pārvaldības uzraudzība un lēmumu pieņemšana IT drošības pilnveidošanā

Institūcijas vadītājs uzrauga atbildīgās personas pienākumu izpildi, jo par IT drošības pārvaldības prasību ieviešanu institūcijā, kopumā ir atbildīgs institūcijas vadītājs.

4. Solis - Rīcība IT drošības nepilnības konstatēšanas gadījumā

Informācijas tehnoloģiju drošības nepilnība - būtiska informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai nejauši radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

Institūcijai ir pienākums pēc IT drošības nepilnības konstatēšanas 90 dienu laikā veikt nepilnības novēršanai nepieciešamās darbības. IT drošības nepilnību var atklāt pati institūcija, tad nekavējoties par konstatēto drošības nepilnību jāinformē CERT.LV. Tomēr var būt arī gadījumi, kad CERT.LV institūcijai paziņo par institūcijas IT resursos konstatētu drošības nepilnību, arī šajos gadījumos institūcijai ir dots 90 dienu laiks nepilnības novēršanai.

Par konstatētajām drošības nepilnībām var ziņot:

  • atbildīgais, kas nodrošina institūcijas IT drošību, rakstot uz cert, vai
  • institūcijas vadītājs, sūtot oficiālu vēstuli CERT.LV uz pasta adresi vai e-parakstītu uz cert,
  • ja sākotnēji iesaistītās puses sazinās telefoniski vai citos saziņas kanālos, tad pēc tam nosūtams rakstisks paziņojums vienā no iepriekš norādītajiem veidiem.

CERT.LV par konstatēto drošības nepilnību institūcijai paziņo, nosūtot atbildīgajam, kas nodrošina institūcijas IT drošību, e-pasta paziņojumu.

5. Solis - Rīcība IT drošības incidenta gadījumā

Informācijas tehnoloģiju drošības incidents - kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

Ja ir noticis IT drošības incidents, rīcībai ir jābūt:

  • ātrai,
  • koordinētai un  
  • tādai, kas nodrošina pierādījumu saglabāšanu.

Tāpēc būtiski, konstatējot drošības incidentu, jau drošības incidenta sākumposmā iesaistīt CERT.LV, šis pienākums institūcijai noteikts arī IT drošības likumā. Ieteicamā komunikācijas secība ir šāda:

  1. Institūcija konstatē IT drošības incidentu;
  2. Institūcija paziņo par IT drošības incidentu CERT.LV, rakstot uz cert vai zvanot uz 24x7 tālruni 67085888;
  3. CERT.LV nosūta institūcijai rekomendācijas sākotnējai rīcībai;
  4. CERT.LV piedāvā atbalsta sniegšanu IT drošības incidenta novēršanā.

Normatīvie akti nosaka institūcijai pienākumu nekavējoties veikt visas IT drošības incidenta novēršanai nepieciešamās darbības. Institūcijas vadītājam ir jābūt informētam par notikušo IT drošības incidentu un jāņem vērā, ka IT drošības incidenta novēršanas process sastāv no virknes secīgu darbību, ko veic IT drošības incidenta novēršanā iesaistītās personas, proti, tiek veikts IT drošības incidenta:

  • sākotnējās ietekmes novērtējums;
  • datu saglabāšana un analīze;
  • ietekmes mazināšana vai apturēšana, novēršot incidenta izplatību;
  • tikai tad seko pilnīga incidenta novēršana un, ja nepieciešams, datu un sistēmu atjaunošana;
  • notikušā incidenta pārskata sagatavošana un nepieciešamo IT drošības uzlabojumu identificēšana un ieviešana.

6. Solis - Piedalīšanās institūcijas informācijas tehnoloģiju drošības pārvaldības nodrošināšanā

Iestādes darbiniekos jāveido pozitīva attieksme un izpratne, ka ikviens darbinieks ir neatņemama iestādes drošības sastāvdaļa. Ikvienam darbiniekam jāapzinās, ka viņš var kļūt par mērķi, caur kuru veikt kiberuzbrukumu iestādei. Nepietiekama darbinieka nozīmes novērtēšana rada papildus riskus. Jārūpējas, lai iestādē ieviestie drošības pasākumi netiek uztverti kā papildus neērtības, kas var izsaukt darbinieku neapmierinātību un nevēlēšanos šos pasākumus ievērot.

IT drošības incidents var iestāties kļūdas, neuzmanības, zināšanu trūkuma vai dēļ nepietiekamas pieredzes.  Atbildīga rīcība paredz saprotamas un izpildāmas procedūras incidenta gadījumā, problēma tiek risināta, nevis slēpta. Ļaunprātīgas darbinieka darbības nav savienojamas ar atbildīgu rīcību.

Būtiski nodrošināt, ka iestādes vadība saņem informāciju par tās darbinieku pieļautajām kļūdām un trūkumiem viņu darbā. Lai efektīvi varētu konstatēt un risināt radušās krīzes situācijas, ir izšķiroši svarīgi, ka informēšana par pieļautajām kļūdām nerada darbiniekam netaisnīgas sekas.

Drošība iespējama vienīgi tad, ja noteikumus ievēro ikviens lietotājs, ieskaitot augstāko vadību. Papildus riskus rada nepamatoti izņēmumi vai privilēģijas, balstoties uz konkrētā dalībnieka vietu iestādes hierarhijā.