Aptauja ilgs līdz 23. oktobrim.
Attēlotā redakcija
Tiesību akts ir zaudējis spēku.
Skatīt Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām". Ministru kabineta noteikumi Nr.765
Rīgā 2005.gada 11.oktobrī (prot. Nr.58 28.§) Valsts informācijas sistēmu vispārējās drošības prasības
Izdoti saskaņā ar Valsts informācijas sistēmu likuma 4.panta otro daļu
2. Valsts informācijas sistēmas (turpmāk — sistēma) drošību nodrošina pasākumu kopums, kurus īsteno, lai: 2.1. nodrošinātu sistēmas darbību atbilstoši normatīvajos aktos noteiktajām funkcijām; 2.2. nodrošinātu informācijas pieejamību (piekļuvi informācijai noteiktā laikposmā pēc informācijas pieprasīšanas); 2.3. nodrošinātu informācijas veselumu (pilnīgas un nemainītas informācijas saglabāšanu); 2.4. nodrošinātu informācijas slepenību (informācijas nodošanu tikai tām personām, kuras ir pilnvarotas to saņemt un lietot); 2.5. aizsargātu sistēmas informācijas resursus (programmatūru, datnes (arī tās, kuras satur sistēmā glabājamo, apstrādājamo un sistēmas lietotājiem pieejamo informāciju) un sistēmas dokumentāciju); 2.6. aizsargātu sistēmas tehniskos resursus (datorus, datu nesējus, datortīkla iekārtas un citas tehniskās iekārtas, kuras nodrošina sistēmas darbību); 2.7. noteiktu sistēmas drošības apdraudējumu (ar nodomu (tīši) vai aiz neuzmanības izdarītu darbību vai notikumu, kas var izraisīt sistēmas informācijas vai tehnisko resursu izmaiņas, bojājumu, iznīcināšanu vai nonākšanu tādu personu rīcībā, kuras nav tam pilnvarotas, vai kura dēļ piekļūšana sistēmas informācijas resursiem var būt traucēta vai neiespējama); 2.8. novērtētu sistēmas drošības risku (iespēju, ka, īstenojoties drošības apdraudējumam, sistēmas informācija vai tehniskie resursi varētu mainīties, sabojāties, tikt iznīcināti vai nonākt tādu personu rīcībā, kuras nav tam pilnvarotas, vai piekļūšana sistēmas informācijas resursiem varētu būt traucēta vai neiespējama); 2.9. atklātu sistēmas drošības incidentu (ar nodomu (tīši) vai aiz neuzmanības izdarītu darbību vai notikumu, kas izraisījis sistēmas informācijas vai tehnisko resursu izmaiņas, bojājumu, iznīcināšanu vai nonākšanu tādu personu rīcībā, kuras nav tam pilnvarotas, vai kura dēļ piekļūšana sistēmas informācijas resursiem ir traucēta vai neiespējama); 2.10. atjaunotu sistēmas darbību pēc sistēmas drošības incidenta. 3. Sistēmas pārzinis nodrošina: 3.1. sistēmas drošības politikas izstrādi un īstenošanu; 3.2. iekšējo sistēmas drošības noteikumu izstrādi un ievērošanu; 3.3. sistēmas lietošanas noteikumu izstrādi un ievērošanu; 3.4. sistēmas drošības riska pārvaldības plāna izstrādi un izpildi; 3.5. sistēmas atjaunošanas plāna izstrādi un izpildi; 3.6. apmācību sistēmas drošības jautājumos. 4. Sistēmas pārzinis ieceļ sistēmas drošības pārvaldnieku. Sistēmas drošības pārvaldnieks organizē un vada sistēmas drošības pasākumu īstenošanu, ievērojot šajos noteikumos noteiktās prasības. 5. Sistēmas drošības politika ietver: 5.1. sistēmas drošības politikas mērķus un pamatnostādnes; 5.2. sistēmas raksturojumu un analīzi drošības jomā; 5.3. sistēmas drošības vadības organizācijas principus; 5.4. sistēmas drošības atbilstību normatīvajiem aktiem un standartiem; 5.5. sistēmas drošības principus un kritērijus (piemēram, sistēmas nepārtrauktās darbības laiks, sistēmas darbības atjaunošanas laiks, sistēmas drošības riska pieņemamais līmenis, sistēmas drošības incidenta atklāšanas laiks, pieļaujamais neveiksmīgo piekļūšanas mēģinājumu skaits). 6. Iekšējie sistēmas drošības noteikumi nosaka: 6.1. sistēmas informācijas resursu izveidošanas, papildināšanas, mainīšanas, apstrādes, pārraidīšanas, glabāšanas, atjaunošanas un iznīcināšanas kārtību; 6.2. sistēmas informācijas un tehnisko resursu lietošanas un tās kontroles kārtību; 6.3. kārtību, kādā tiek nodrošināta piekļūšana sistēmas informācijas un tehniskajiem resursiem; 6.4. sistēmas informācijas resursu rezerves kopiju izgatavošanas un glabāšanas kārtību, kā arī kārtību, kādā pārbauda, vai ar sistēmas informācijas resursu rezerves kopijām iespējams atjaunot sistēmas informācijas resursus; 6.5. datu nesēju lietošanas, pārvietošanas, glabāšanas un iznīcināšanas kārtību; 6.6. kārtību, kādā lieto un glabā informāciju vai datus, kas nepieciešami, lai piekļūtu sistēmas informācijas un tehniskajiem resursiem; 6.7. prasības sistēmas informācijas resursu aizsardzībai, kuru īsteno, izmantojot programmatūras līdzekļus (piemēram, sistēmas lietotāja atpazīšana un viņa pilnvaru atbilstības pārbaude attiecīgajām darbībām sistēmā, pasargājot sistēmas informācijas resursus no tīšas vai nejaušas bojāšanas vai iznīcināšanas); 6.8. prasības sistēmas tehnisko resursu aizsardzībai pret fiziskas iedarbības radītu sistēmas drošības apdraudējumu (piemēram, ugunsgrēks, plūdi, sprieguma pazemināšanās vai pārspriegums enerģijas pievades tīklā, sistēmas tehnisko resursu zādzība, gaisa mitrums vai temperatūra, kas neatbilst ekspluatācijas noteikumiem); 6.9. kārtību, kādā novēro sistēmas drošības apdraudējuma tuvošanās pazīmes; 6.10. kārtību, kādā atklāj un pārvalda sistēmas drošības incidentus; 6.11. kārtību, kādā sistēma darbojas, ja tās informācijas vai tehniskie resursi nav pieejami pilnā apjomā; 6.12. kārtību, kādā maina sistēmas tehniskos resursus; 6.13. sistēmas pārziņa darbinieku apmācības un zināšanu pārbaudes kārtību sistēmas drošības jomā. 7. Sistēmas lietošanas noteikumi ietver: 7.1. sistēmas lietotāju tiesības, pienākumus, ierobežojumus un atbildību; 7.2. sistēmas lietotāju reģistrācijas un tās atcelšanas kārtību; 7.3. sistēmas lietošanas kārtību; 7.4. sistēmas lietotāju atbalsta kārtību. 8. Sistēmas drošības riska pārvaldības plāns ietver: 8.1. sistēmas drošības apdraudējumu uzskaitījumu un sistēmas drošības riska izvērtējumu; 8.2. pasākumus sistēmas drošības riska mazināšanai, to izpildes termiņus, finansējumu un par izpildi atbildīgo personu sarakstu. 9. Īstenojot sistēmas drošības riska pārvaldības plānu, nodrošina sistēmas drošības riska pieņemamo līmeni. 10. Sistēmas drošības riska pārvaldības plānu izstrādā un aktualizē, pamatojoties uz sistēmas drošības risku analīzi. 11. Sistēmas drošības risku analīze ietver: 11.1. sistēmas drošības apdraudējumu uzskaitījumu, to īstenošanās varbūtības novērtējumu un tuvošanās pazīmju uzskaitījumu; 11.2. sistēmas drošības riska novērtējumu; 11.3. sistēmas drošības riska mazināšanas pasākumu un tajos izmantojamo līdzekļu uzskaitījumu; 11.4. sistēmas pārziņa, sistēmas datu subjektu un sistēmas lietotāju iespējamo zaudējumu vai kaitējuma novērtējumu, ja notiktu sistēmas drošības incidents; 11.5. sistēmas drošības riska mazināšanai veikto pasākumu lietderības novērtējumu. 12. Ja plāno izdarīt sistēmā tādas izmaiņas, kas ietekmē sistēmas drošību, laikus analizē sistēmas drošības riskus. 13. Sistēmas drošības riskus analizē, ievērojot Latvijas standartā LVSISO/IEC 17799:2002 “Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai” noteiktās prasības. 14. Sistēmas pārzinis nodrošina, lai sistēmas drošības riska mazināšanas pasākumos izmantojamie līdzekļi būtu samērojami ar iespējamiem zaudējumiem vai kaitējumu, kas sistēmas pārzinim, sistēmas datu subjektiem un sistēmas lietotājiem varētu rasties sistēmas drošības incidenta dēļ. 15. Sistēmas atjaunošanas plāns ietver: 15.1. sistēmas informācijas un tehnisko resursu atjaunošanas pasākumus, kas veicami pēc sistēmas drošības incidenta; 15.2. sistēmas atjaunošanas pasākumu procedūru aprakstu; 15.3. sistēmas atjaunošanas pasākumos iesaistīto atbildīgo personu darbības instrukcijas; 15.4. atbildīgo personu apmācības, nodarbību un sagatavotības pārbaužu plānu. 16. Sistēmas drošības pasākumus nosaka atbilstoši normatīvajiem aktiem, kas regulē elektronisko dokumentu apriti un glabāšanu. 17. Sistēmas drošības pasākumu atbilstību šo noteikumu 2.punktā minētajām prasībām novērtē, pamatojoties uz sistēmas drošības pārbaudes (audita) rezultātiem. Sistēmas pārzinis nodrošina sistēmas drošības pārbaudi (auditu) vismaz reizi gadā. 18. Šo noteikumu 5., 6., 7., 8. un 15.punktā minētos dokumentus apstiprina sistēmas pārzinis. Sistēmas pārzinis tos pārskata un, ja nepieciešams, aktualizē vismaz reizi gadā, kā arī šādos gadījumos: 18.1. ja izmaiņas sistēmā var ietekmēt sistēmas drošību; 18.2. ja izmaiņas sistēmas pārziņa organizatoriskajā struktūrā skar sistēmas drošības vadības organizāciju; 18.3. ja izdarīti grozījumi normatīvajos aktos, kas regulē sistēmas darbību; 18.4. ja mainījušies vai ir atklāti jauni sistēmas drošības apdraudējumi; 18.5. ja pieaug sistēmas drošības incidentu skaits vai noticis nozīmīgs sistēmas drošības incidents. 18.1 Ja valsts institūcijas pārziņā ir vairāk nekā viena sistēma, šo noteikumu 5., 6., 7., 8. un 15.punktā minētos dokumentus var izstrādāt kā vienotu dokumentu kopumu visām pārziņā esošajām sistēmām, norādot specifiskās prasības katrai sistēmai. (MK 09.12.2008. noteikumu Nr.1010 redakcijā) 18.2 Ja sistēmas uzturēšanai sistēmas pārzinis slēdz līgumu ar attiecīgā pakalpojuma sniedzēju, līgumā iekļauj šo noteikumu 5., 6., 7., 8. un 15.punktā minētajos dokumentos noteiktās prasības. (MK 09.12.2008. noteikumu Nr.1010 redakcijā) 19. Ja sistēma saskaņā ar Fizisko personu datu aizsardzības likumu ir atzīta par fizisko personu datu apstrādes sistēmu, sistēmas pārzinis nodrošina šajos noteikumos noteikto prasību izpildi, ciktāl tas nav pretrunā ar normatīvajiem aktiem par personas datu apstrādes sistēmas aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām. 20. Ja, lietojot sistēmu, tiek nodrošināta tādas informācijas aprite, kura saskaņā ar likumu “Par valsts noslēpumu” ir atzīta par valsts noslēpuma objektu, sistēmas pārzinis nodrošina šajos noteikumos noteikto prasību izpildi, ciktāl tas nav pretrunā ar normatīvajiem aktiem par valsts noslēpuma objektu aizsardzību. 21. Ja, lietojot sistēmu, tiek nodrošināta tādas informācijas aprite, kura saskaņā ar Informācijas atklātības likumu ir uzskatāma par informāciju dienesta vajadzībām, sistēmas pārzinis nodrošina šajos noteikumos noteikto prasību izpildi, ciktāl tas nav pretrunā ar normatīvajiem aktiem par informācijas dienesta vajadzībām aizsardzību. 21.1 Ja noticis sistēmas drošības incidents, sistēmas drošības pārvaldnieks informē sistēmas pārzini, kā arī nekavējoties veic nepieciešamos pasākumus sistēmas drošības incidenta novēršanai. Ja incidents var radīt apdraudējumu citu valsts institūciju pārziņā esošajām sistēmām, sistēmas drošības pārvaldnieks par sistēmas drošības incidentu informē informācijas tehnoloģiju drošības incidentu novēršanas institūciju. (MK 09.12.2008. noteikumu Nr.1010 redakcijā, kas grozīta ar MK 14.09.2010. noteikumiem Nr.872; MK 01.02.2011. noteikumiem Nr.95) 21.2 Katru sistēmas drošības incidentu sistēmas drošības pārvaldnieks reģistrē sistēmas drošības incidentu uzskaites reģistrā, norādot incidenta atklāšanas laiku, veidu, ietekmi uz sistēmu un novēršanas aprakstu. (MK 09.12.2008. noteikumu Nr.1010 redakcijā) 22. Sistēmas pārzinis īsteno sistēmas drošības pasākumus atbilstoši tam piešķirtajiem valsts budžeta līdzekļiem. 23. Šo noteikumu izpildi uzrauga Reģionālās attīstības un pašvaldību lietu ministrija. (Grozīts ar MK 26.05.2009. noteikumiem Nr.475) Ministru prezidents A.Kalvītis
Īpašu uzdevumu ministrs elektroniskās pārvaldes lietās J.Reirs |
Tiesību akta pase
Nosaukums: Valsts informācijas sistēmu vispārējās drošības prasības
Statuss:
Zaudējis spēku
Dokumenta valoda:
Satura rādītājs
Saistītie dokumenti
|