menu

Kad ziņot par incidentu vai drošības nepilnību?

Saskaņā ar IT drošības likumu un 05.02.2015. grozījumiem IT drošības likumā, kas stājušies spēkā 04.03.2015.:

Valsts vai pašvaldības institūcija, IT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ziņo CERT.LV gan par IT drošības incidentiem, gan IT drošības nepilnībām:

  • IT drošības incidents likuma izpratnē ir kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte;
  • IT drošības nepilnība likuma izpratnē ir būtiska informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai nejauši radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

Tātad Valsts un pašvaldības Iestādes IT drošības pārzinim jāziņo par incidentu, ja ir noticis ārējs vai iekšējs uzbrukums iestādes IT infrastruktūrai un šī uzbrukuma rezultātā notikusi svarīgu resursu atteice, kā arī apgrūtināta iestādes normāla darbība vai būtisku pakalpojumu sniegšana. Incidenta gadījumā nekavējoties jāveic visas tā novēršanai nepieciešamās darbības (it īpaši izpildot CERT.LV rekomendācijas par vēlamo sākotnējo rīcību attiecīgajā situācijā), kā arī tūlīt jāinformē par notikušo CERT.LV. Drošības incidenta gadījumā CERT.LV vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā. IT drošības pārzinim jānodrošina pierādījumu saglabāšana un jāreģistrē incidents drošības incidentu žurnālā.

Ja tiek konstatēta drošības nepilnība, 90 dienu laikā jāveic visas tās novēršanai nepieciešamās darbības, kā arī par konstatēto tūlīt jāinformē CERT.LV.

Likums paredz informēt CERT.LV tikai par incidentiem un būtiskām sistēmiskām vājībām, kas var apdraudēt informācijas tehnoloģiju integritāti, pieejamību un konfidencialitāti, piemēram, ievainojamībām valsts informācijas sistēmu produkcijas vidēs, ievainojamībām, kas var ietekmēt saistītās ārējās informācijas sistēmas, iestādes pamatfunkciju nodrošināšanu u.c. Reizē norādām, ka likums neparedz izņēmumu attiecībā uz „iekšējo” informācijas sistēmu incidentiem un drošības nepilnībām.