menu

IT drošības pārvaldība

Atbildīgajiem par IT drošību iesakam sākt ar aizsargājamo resursu identificēšanu, pēc tam veikt risku analīzi, un no tās izsecināt, kādi ir būtiskākie apdraudējumi, kas attiecas uz aizsargājamajiem resursiem. Atkarībā no apdraudējumiem tad ir jāizvēlas jomas, kas noteikti jāiekļauj IT drošības noteikumu komplektā, iepazīstoties ar standartu ieteikumiem attiecīgajās jomās (pazīstamākie IT nozares drošības standarti ir ISO 27000, ITIL, ISO 20000, COBIT, ISO 13335 un ISF Standard of Good Practice for Information Security (SOGP standarts 2014.gadā papildināts)).

Lai atvieglotu IT drošības noteikumu izstrādi un ieviešanu, pievienojam IT drošības noteikumu  IT drošības pārvaldības shēmu (.pdf dokuments, atjaunots 11.10.2011.) un šādus dokumentu paraugus:

Atkarībā no iestādes specifikas, prasības izmaiņu pārvaldībai var papildināt ar:

  • Resursu darba spēju atjaunošanas plānu,
  • Portatīvo datoru izmantošanas noteikumiem,
  • Ārējo datu nesēju izmantošanas noteikumiem,
  • Virtuālo privāto tīklu (VPN) izmantošanas noteikumiem,
  • Bezvadu interneta izmantošanas noteikumiem,
  • Elektroniskā pasta izmantošanas noteikumiem.
  • Iestādes iekšējo datu bāzu izmantošanas noteikumiem,
  • u.c.

Dokumentu piemēri MK noteikumu Nr.442 prasību izpildei

CERT.LV atbilstoši Ministru kabineta noteikumiem Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” ir sagatavojis iekšējo drošības pārvaldības dokumentu paraugus. Piemēri ir balsīti uz iedomātu virtuālo iestādi (Virtuālās iestādes apraksts un sistēmu novērtējums - docpdf; ).

Jautājumi un atbildes par dokumentu izstrādi.
Lietotie termini.

Dokumentācija:

1. Sistēmas drošības politika pamata drošības sistēmai
    Dokumenta ietvars  - docpdf
    Piemērs virtuālai iestādei - docpdf;

2. Sistēmas drošības politika paaugstinātas drošības sistēmai
    Dokumenta ietvars - docpdf
    Piemērs virtuālai iestādei - docpdf

3. Sistēmas drošības iekšējie noteikumi paaugstinātas drošības sistēmai
    Dokumenta ietvars - docpdf
    Piemērs virtuālai iestādei - docpdf

4. Sistēmas lietošanas noteikumi paaugstinātas drošības sistēmai
    Dokumenta ietvars - docpdf
    Piemērs virtuālai iestādei - docpdf

5. Sistēmas drošības riska pārvaldības plāns paaugstinātas drošības sistēmai
    Dokumenta ietvars - docpdf
    Piemērs virtuālai iestādei - docpdf;

6. Sistēmas darbības atjaunošanas plāns paaugstinātas drošības sistēmai
    Dokumenta ietvars - docpdf
    Piemērs virtuālai iestādei - docpdf;

Paraugiem ir rekomendējošs raksturs un tie neatceļ normatīvajos aktos noteiktās prasības. CERT.LV neuzņemas atbildību par jebkādiem tiešiem, netiešiem, saistītiem, izrietošiem vai īpašiem zaudējumiem, kuri radušies vai var rasties saistībā ar šo paraugu izmantošanu.