Dati ir vērtība, bet tie vienlaikus spēj gan veicināt organizācijas izaugsmi, gan nogremdēt to, ja tiek pazaudēta kontrole. Informācijas tehnoloģiju drošības pārvaldība sākas ar aizsargājamo resursu identificēšanu un risku analīzes veikšanu, lai tādējādi konstatētu būtiskākos apdraudējumus un saprastu nepieciešamos uzlabojumus un risinājumus produktīvai tālāk virzībai. Latvijā, lai nodrošinātu vienotas prasības IT drošībā, ir vairāki normatīvie akti un rekomendācijas, taču pavisam nesen vienā no tiem ir notikušas būtiskas izmaiņas un pēc tā jāvadās organizācijām, kuru pārraudzībā ir sistēmas ar sevišķu nozīmi sabiedrības funkciju īstenošanai, proti, Ministru kabineta noteikumi Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām“.
Ministru kabineta noteikumi Nr.442[1] , kuri pieņemti jau 2015. gada jūlijā, nosaka kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām. Tie paredz gan valsts informācijas sistēmu vispārējās drošības prasības, gan valsts un pašvaldību institūciju IT un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā šīs institūcijas un IT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina sistēmu atbilstību minimālajām prasībām. Tāpat ar noteikumu palīdzību definē informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kuras ir pamatpakalpojuma un digitālā pakalpojuma sniedzēji.
Šāds sistēmas aizsardzības nolūkos radīts pasākumu kopums tiek īstenots, lai nodrošinātu informācijas pieejamību attiecīgā laikposmā pēc tās pieprasīšanas, rūpētos par informācijas pilnīgumu, nedalāmību un konfidencialitāti, kā arī datņu, sistēmas dokumentācijas, datoru, programmatūru, citu tehnisko iekārtu un resursu stāvokli un drošību. Tāpat nosaka dažādus sistēmas apdraudējumus, kuri var izraisīt informācijas vai tehnisko resursu bojājumus, izmaiņas vai iznīcināšanu.
Taču pavisam nesen, 18. augustā, stājās spēkā Ministru kabineta noteikumu Nr. 442 grozījumi[2], veicot dažādas korekcijas.
Kas mainīsies?
- Sākotnējos noteikumos ir iekļautas atsevišķas prasības publiskajiem iepirkumiem un iepirkumu līgumiem, pievēršot uzmanību tām prasībām, kuras jāievēro attiecībā uz paaugstinātas drošības informācijas sistēmām. Tomēr pašreizējā noteikumu redakcija vairs nespēj garantēt, ka tiek iegādāti pietiekami droši produkti un pakalpojumi. Ar informācijas un komunikācijas tehnoloģiju (IKT) saistītie drošības riski nemitīgi pieaug, tie kļūst arī grūtāk atpazīstami, tādēļ aktuāls ir jautājums par valsts un pašvaldību institūciju spēju nodrošināt savā pārziņā esošo IKT drošību. Grozījumi nosaka nepieciešamību attiecīgajām institūcijām glabāt datus (tekstuāla, skaitliska, grafiska, video un audioinformācija, kuru var interpretēt, apstrādāt vai pārsūtīt) Eiropas Savienības (ES) vai Eiropas Ekonomikas zonas (EEZ) dalībvalstī, kā arī interneta datu plūsmu virzīt ES un EEZ teritorijas ietvaros, ja datu apmaiņa notiek šajā teritorijā. Tādējādi tiks nodrošinātas stingrākas prasības dažādu ierobežotas pieejamības datu privātumam, (piemēram, fizisko personu datiem), kā arī tiks iespējami mazināta spēja pārtvert un nesankcionēti izmantot informāciju.
- Jauninājumi arīdzan paredz valsts un pašvaldību institūcijas vadītājam noteikt atbildīgo personu, kura uzrauga sistēmu izstrādi, ieviešanu un uzturēšanas pakalpojuma līguma izpildi, tādējādi pārliecinoties par līgumā noteikto prasību īstenošanu. Tāpat definētas papildu prasības institūcijai, ja tā slēdz ārpakalpojuma līgumu sistēmas uzturēšanai, lai noskaidrotu, vai pasūtītājs jau laikus ir informēts par riskiem, kas saistīti ar IKT produktu un pakalpojuma drošību.
- Turpmāk līgumā jānosaka – ārpakalpojuma sniedzējam nekavējoties jāziņo par drošības incidentu un jāinformē par piesaistītu apakšuzņēmēju. Lai novērstu potenciālu risku iespējamību, līgumā jādefinē normatīvajos aktos noteiktās un citas sistēmai veicamās drošības pārbaudes, kā arī jānosaka piekļuves prasības datiem un to uzglabāšanai. Saskaņā ar noteikumu grozījumiem pienākumu piegādātājam jādzēš tā rīcībā nonākušie dati pēc līguma termiņa beigām.
- Kas attiecas uz paaugstinātas drošības sistēmām – institūcijām, slēdzot līgumu par pakalpojumu, programmatūru vai iekārtu iegādi vai ārpakalpojuma līgumu, jāidentificē uzņēmuma, ar kuru plānots slēgt līgumu, patiesā labuma guvējs. Tas var būt ES, NATO vai EEZ dalībvalstu pilsonis vai Latvijas nepilsonis, programmatūru vai iekārtu ražotājs – juridiska persona, kura reģistrēta NATO, ES vai EEZ dalībvalstī, kā arī fiziska persona, kura ir Latvijas Republikas valstspiederīgais, NATO, ES vai EEZ valsts pilsonis. Līgums jāizbeidz, ja tā izpildes un realizācijas laikā jaunais patiesā labuma guvējs neatbilst noteikumos apspriestajām prasībām un pilnvarotā valsts drošības iestāde nav saskaņojusi līguma turpināšanu.
- Vēl nesen Ministru kabineta noteikumu Nr. 442 10. punkts paredzēja, ka visi dokumenti, kuri minēti noteikumu 8. pantā, jāapstiprina institūcijas vadītājam. Bet pašreizējās 10. punkta korekcijas informē – institūcijas vadītājam ir obligāti jāapstiprina sistēmas drošības politika ( 8.1. apakšpunkts), bet pārējos dokumentus (8.2.–8.5. apakšpunkts), piemēram, sistēmas darbības atjaunošanas plānu vai sistēmas drošības riska pārvaldības plānu, būs atļauts apstiprināt gan institūcijas vadītājam, gan tā pilnvarotai personai.
- Arī drošības politikas izstrādes procesā atbildīgajām institūcijām nāksies ievērot grozījumu ieviestās papildu prasības. Noteikumi Nr. 442 tiek papildināti ar 15.15. un 15.16. apakšpunktiem, izvirzot, precizējot un papildinot prasību sarakstu, kas attiecas uz elektronisko adrešu sistēmu kārtību. Turpmāk institūcijām būs jānodrošina saņemto elektronisko ziņojumu apstrāde un analīze vismaz atbilstoši DMARC (Domain-based Message Authentication, Reporting and Conformance) protokolam, kas pamatā izstrādāts, lai nodrošinātu e-pastu autentifikāciju un pazeminātu mēstuļu un pikšķerēšanas uzbrukumu risku, prasībām.
- Jaunie noteikumi paredz papildinājumu arī sensitīvajai datu aizsardzības tēmai, ieviešot 15.17. apakšpunktu, kurš nosaka – institūcijai, izstrādājot informācijas sistēmu drošības politiku, noteikti jāņem vērā prasība gan veidot, gan atjaunot informācijas sistēmās esošo datu rezerves kopijas.
Jaunās izmaiņas iezīmē arī kopējo Eiropas un NATO valstu virzību uz pretizlūkošanas risku samazināšanu un sasaucas arī ar mūsu iepriekš rakstīto par TikTok drošība: Kas mainās, ja tas nonāk Microsoft rokās?. Skaidrs, ka noteikumi paši nenodrošina prasību ievērošanu, jo tas ir tikai burts uz papīra. Jautājums būs – cik ļoti atbildīgas būs personas, kam jātur rūpe pār šo prasību ievērošanu.
[1] https://likumi.lv/ta/id/275671-kartiba-kada-tiek-nodrosinata-informacijas-un-komunikacijas-tehnologiju-sistemu-atbilstiba-minimalajam-drosibas-prasibam
[2] https://likumi.lv/ta/id/316706-grozijumi-ministru-kabineta-2015-gada-28-julija-noteikumos-nr-442-kartiba-kada-tiek-nodrosinata-informacijas-un-komunikacijas-tehnologiju-sistemu-atbilstiba-minimalajam-drosibas-prasibam
