☰

Kritiskās infrastruktūras uzturētājiem

Informācijas tehnoloģiju drošības likums nosaka, ka informācijas tehnoloģiju kritiskā infrastruktūra (turpmāk – kritiskā infrastruktūra jeb KI) ir infrastruktūra, kuru atbilstoši Nacionālās drošības likumam apstiprina Ministru kabinets. KI nodrošina valstij un sabiedrībai būtisku pamatfunkciju veikšanu.  Iespējamo kritisko infrastruktūru apzina un iekļauj kritiskās infrastruktūras kopumā saskaņā ar Ministru kabineta noteikumiem Nr. 508 "Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtība". Kritiskās infrastruktūras saraksts ir valsts noslēpums.

Kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību nosaka Ministru kabineta 2011.gada 1.februāra noteikumi Nr.100 „Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kuros paredzēts:

1. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs norīko par kritiskās infrastruktūras drošību atbildīgo personu, kura plāno kritiskās infrastruktūras drošības pasākumus un sadarbībā ar Satversmes aizsardzības biroju (SAB) un CERT.LV nodrošina kritiskās infrastruktūras aktuālo risku novērtēšanu un pārvaldīšanu.

2. Kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs izstrādā drošības pasākumu dokumentus (ievērojot SAB un CERT.LV ieteikumus) un iekļauj tajos šādu informāciju:

  • vispārīgas ziņas par kritisko infrastruktūru – nosaukums, īpašnieks vai tiesiskais valdītājs, kritiskās infrastruktūras atrašanās vieta (adrese), dokumenta mērķis;
  • struktūrvienība, kas nodrošina drošības pasākumu īstenošanu;
  • kritiskās infrastruktūras uzdevumi;
  • kritiskās infrastruktūras sistēmas detalizēts tehniskais apraksts un shēma;
  • aktuālo risku pārvaldīšanas plāns;
  • kārtība, kādā tiek nodrošināta reaģēšana uz informācijas tehnoloģiju drošības incidentiem un cita veida kaitējumiem vai nodarījumiem, kas apdraud kritiskās infrastruktūras funkcionēšanu;
  • kritiskās infrastruktūras darbības atjaunošanas plāns.

3. CERT.LV  var veikt kritiskās infrastruktūras pārbaudes, mēģinot īstenot riskus kritiskās infrastruktūras loģiskajās daļās, ne vēlāk kā 48 stundas pirms tam rakstiski informējot par pārbaudes laiku un ilgumu kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un SAB. Detalizētus pārbaudes rezultātus CERT.LV  nekavējoties nosūta attiecīgajam KI īpašniekam vai tiesiskajam valdītājam un Satversmes aizsardzības birojam, sniedzot arī attiecīgus ieteikumus. Visa ar pārbaudēm saistītā informācija ir ierobežotas pieejamības.

CERT.LV regulāri sadarbojas ar atbildīgajām personām par kritiskās infrastruktūras drošību gan tās informējot par draudiem un ievainojamībām, gan risinot IT drošības incidentus, gan aicinot piedalīties kursos un semināros, gan iesaistot dažādās IT drošības mācībās un citās aktivitātēs.