Pamata nosacījumi un prasības, kuras Valsts augu aizsardzības dienests (turpmāk – dienests) īsteno kiberdrošības pārvaldības un pārraudzības pamatnostādņu izpildei attiecībā uz dienesta pārziņā esošajiem informācijas un komunikācijas tehnoloģiju risinājumiem un elektroniska formāta informācijas resursiem. Pamata nostādnes izstrādātas saskaņā ar Nacionālās kiberdrošības likumu.
1. Dienests, veicot savas funkcijas, tajās piemēro un ietver informācijas un komunikācijas tehnoloģiju kiberdrošības pārvaldības principus, kuri ir vērsti uz dienesta rīcībā esošās elektroniska formāta informācijas konfidencialitātes nodrošināšanu un nepārtrauktu dienesta funkciju izpildes īstenošanu, kas aptver visus dienesta rīcībā esošos informācijas sistēmu un tehnoloģiskos risinājumus.
2. Dienests savu informācijas un komunikācijas tehnoloģiju kiberdrošības pārvaldības vidi veido, ievērojot šādus pamata principus:
2.1. informācijas un komunikācijas tehnoloģiju kibedrošības pārvaldība tiek organizēta un kontrolēta, piemērojot strukturētu atbildības sadalījumu, paredzot atbildīgās personas noteikšanu par informācijas un komunikācijas tehnoloģiju kiberdrošības jomu dienestā;
2.2. informācijas sistēmu un tehnoloģisko risinājumu izveide, izstrāde, testēšana un ieviešana produkcijas vidē tiek veikta kontrolētā veidā, pārvaldot katru no attiecīgajiem posmiem un nodrošinot, ka tiek ieviesta tikai tāda informācijas sistēma, tehnoloģiskais risinājums vai to izmaiņas, kas ir atbilstoši notestētas un pārbaudītas attiecībā uz iespējamiem drošības apdraudējumiem vai nepilnībām;
2.3. informācijas sistēmu resursi tiek izvietoti uz tehniskajiem resursiem, kuri atrodas atbilstošās telpās, kas ir aizsargātas ar pienācīgiem fiziskās un loģiskās aizsardzības pasākumiem;
2.4. piesaistot ārējos pakalpojumu sniedzējus informācijas un komunikācijas tehnoloģiju resursu garantijas apkalpošanai, uzturēšanai un attīstības pasākumu veikšanai, tiek nodrošināta attiecīgo ārējo pakalpojumu sniedzēju atbilstības novērtēšana attiecībā uz spēkā esošajos ārējos un dienesta iekšējos normatīvajos aktos noteikto prasību izpildi kiberdrošības pārvaldības jomā;
2.5. visas izmaiņas informācijas sistēmās un tehniskajos risinājumos tiek veiktas kontrolētā veidā, kas ļauj izsekot to nepieciešamību un izstrādes pasākumu veikšanas secību, un to izmaiņu ieviešanas ietvaros tiek piemēroti nepieciešamie kiberdrošības pasākumi;
2.6. pārstājot izmantot informācijas sistēmu vai ieviešot jaunu informācijas sistēmu, kura funkcionāli aizvieto kādu esošo informācijas sistēmu, tiek nodrošināta novecojušās informācijas sistēmas izvietošana arhīva režīmā vai tās pilnīga darbības pārtraukšana, īstenojot informācijas dzēšanas pasākumus;
2.7. elektroniskās formas informācijas apmaiņa ārpus dienesta tiek veikta veidā, kas ļauj izsekot informācijas plūsmas, informācijas apmaiņai pakļauto datu apjomu un informācijas apmaiņas subjektu;
2.8. elektroniskās formas informācijas izmantošana tiek pārvaldīta veidā, kas ļauj katru veikto darbību izsekot līdz konkrēta lietotāja līmenim, ieviešot nepieciešamās procedūras un tehnisko resursu vadības un kontroles pasākumus to īstenošanai;
2.9. piekļuve informācijas un komunikācijas tehnoloģiju resursiem tiek piešķirta tikai tādā apjomā, kāds ir nepieciešams konkrētā lietotāja vai trešās puses darba pienākumu izpildei, nodrošinot atbilstošu autentifikācijas līdzekļu piemērošanu un lietošanu un vienotu lietotāju identifikācijas parametru izmantošanu;
2.10. informācijas sistēmām tiek veidotas, uzglabātas un pārbaudītas to rezerves kopijas, kas nodrošina informācijas atjaunošanas iespējas saskaņā ar dienesta informācijas sistēmu darbības nepārtrauktības prasībām;
2.11. elektroniskas formas informācijas pārvietošana, izmantojot portatīvos datu nesējus, tiek ierobežota līdz iespējami zemākajam līmenim un tiek nodrošināta aizsardzības pasākumu īstenošana portatīvo datu nesēju pārvaldībai;
2.12. informācijas un komunikācijas tehnoloģiju vidē notiekošās darbības tiek auditētas, nodrošinot auditācijas pierakstu uzkrāšanu un apstrādi iespējamo aizdomīgo darbību identificēšanai un izmeklēšanai;
2.13. tehnisko resursu nomaiņa tiek plānota, organizēta un veikta kontrolētā veidā, paredzot, ka attiecīgās izmaiņas iespējami mazākajā mērā ietekmē dienesta kopējo darbību un neatstāj negatīvu ietekmi uz dienesta darbības nepārtrauktību;
2.14. dienestā tiek izstrādāta, uzturēta un pārvaldīta procedūra informācijas drošības incidentu vadībai, kas paredz kompetento struktūrvienību iesaisti, sadarbību un pasākumu veikšanu iespējamās negatīvās ietekmes mazināšanai;
2.15. dienestā tiek īstenoti regulāri pasākumi ierēdņu un darbinieku (turpmāk – nodarbinātais) izglītošanai attiecībā uz informācijas un komunikācijas tehnoloģiju un informācijas drošības pārvaldības prasībām, kuras ir definējis dienests, lai nodrošinātu izpratnes un zināšanu attīstību par iespējamiem drošības apdraudējumiem un veicamo rīcību gadījumos, kad dienesta nodarbinātais ir saskāries ar noteiktu apdraudējumu;
2.16. dienesta nodarbinātajiem un piesaistītajām trešajām pusēm tiek noteiktas konkrētas tiesības, pienākumi un atbildība attiecībā uz pasākumiem, kuri ir veicami dienesta informācijas un komunikācijas tehnoloģiju drošības pārvaldības nodrošināšanai;
2.17. dienestā tiek izstrādāta, uzturēta un pārvaldīta procedūra informācijas sistēmu lietotāju tiesību pārvaldībai, kas nodrošina pieejas tiesību pieprasījumu izsekojamību un iespēju kontrolēt pieejas tiesību atbilstību konkrēto dienesta nodarbināto vai piesaistīto trešo pušu veicamajiem darba pienākumiem;
2.18. dienestā tiek precīzi definēti pieļaujamie autentifikācijas mehānismi piekļuvei pie informācijas sistēmām, nosakot to darbības principus un pārvaldībai veicamos pasākumus;
2.19. dienesta rīcībā esošās portatīvās iekārtas tiek pārvaldītas, izmantojot dienestam pieejamus aizsardzības pasākumus, un tiek nodrošināta to izmantošana tikai darba pienākumu izpildes vajadzībām;
2.20. dienestā tiek nodrošināta attālinātā darba kontroles pasākumu veikšana un tehnisko risinājumu ieviešana, kas nodrošina drošu attālināto darbu;
2.21. dienestā tiek izstrādāta, uzturēta un pārvaldīta procedūra informācijas un komunikācijas tehnoloģiju lietotāju atbalsta nodrošināšanai, paredzot pieteikumu apstrādes izsekojamību un izpildes gaitas informācijas apkopošanu.
|
Normatīvais akts |
Statuss |
Apraksts |
| Vispārīgā datu aizsardzības regula | spēkā |
Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti |
|
spēkā |
Regulē valsts informācijas sistēmu izveidi, pārvaldību un drošību |
|
|
spēkā |
NIS2 ieviešana; attiecas uz VAAD kā būtisko pakalpojumu sniedzēju |
|
|
spēkā |
IKT jomu regulējošie MK noteikumi |
|
|
Spēkā |
Virza vienotu digitālās pārvaldes, infrastruktūras un datu vidi |
|
|
Spēkā |
Precizē prioritāros projektus IKT jomā valsts pārvaldē |
|
|
VARAM izstrādātie arhitektūras principi |
Spēkā |
Nosaka vienotu IS arhitektūras principu un pieeju, mērķarhitektūras prasības un sadarbspējas principus |
|
Spēkā |
Nacionālā pozīcija VDAR jomā |
|
|
Valdības rīcības plāna sadaļa par IKT jomu |
Spēkā |
IKT attīstības virzieni |
| Informācijas sistēmu vispārējās tehniskās prasības | Spēkā | Valsts informācijas sistēmu vispārējās tehniskās prasības |