Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Nacionālās kiberdrošības likuma subjektiem un citām iestādēm Atbildīgās personas par kiberdrošības pārvaldību

Atbildīgās personas par kiberdrošības pārvaldību

1. Kiberdrošības pārvaldnieka noteikšana
2. Prasības kiberdrošības pārvaldniekiem
3. Kiberdrošības pārvaldības īstenotāji
4. Kiberdrošības pārvaldnieka pienākumi
5. Kiberdrošības pārvaldnieka tiesības
6. Ārpakalpojuma iesaiste kiberdrošības pārvaldībā
7. IT drošības pārvaldības uzraudzība 

1. Kiberdrošības pārvaldnieka noteikšana

Atbilstoši Nacionālās kiberdrošības likuma (NKDL) 25.panta pirmajai daļai subjekta kiberdrošības pārvaldību nodrošina un par to atbild Subjekta vadītājs.

Katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā (turpmāk — kiberdrošības pārvaldnieks). 

Subjekta noteiktais kiberdrošības pārvaldnieks ir paziņojams Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam (ja Subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) veidā un kārtībā, kas noteikta Ministru kabineta noteikumu “Minimālās kiberdrošības prasības” (turpmāk – noteikumi) 10. punktā.  

Fiziskām un juridiskām personām, kas nav NKDL subjekti, CERT.LV rekomendē noteikt atbildīgo personu kiberdrošības jautājumos un to paziņot Kiberincidentu novēršanas institūcijai CERT.LV (nosūtot elektroniski parakstītu pieteikumu (ietverot nepieciešamo kontaktinformāciju (vārds, uzvārds, e-pasta adrese, mobilā tālruņa numurs)) uz e-pasta adresi cert).

2. Prasības kiberdrošības pārvaldniekiem

Prasības kiberdrošības pārvaldniekiem tiek paredzētas atbilstoši Subjekta svarīgumam (kritiskumam):

IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam – MK noteikumu Nr.397 "Minimālās drošības prasības" 11.punktā minētais.

IKT kritiskās infrastruktūras īpašnieka vai tiesiskais valdītāja kiberdrošības pārvaldnieka kandidāts ir saskaņojams ar Satversmes aizsardzības biroju (noteikumu 14., 15. un 16. punktā noteiktajā kārtībā).

Būtisko pakalpojumu sniedzējiem – MK noteikumu Nr.397 "Minimālās drošības prasības" 12.punktā minētais.

Svarīgo pakalpojumu sniedzējiem – MK noteikumu Nr.397 "Minimālās drošības prasības" 13.punktā minētais.

Kiberdrošības pārvaldniekam izvirzītās prasības:

IKT kritiskā infrastruktūra Būtisko pakalpojumu sniedzēji Svarīgo pakalpojumu sniedzēji
  • Spēkā esošs, starptautiski atzīts sertifikāts (piem., CISM, CISSP).

vai

  • Vidējā profesionālā vai augstākā izglītība kiberdrošības pārvaldībā vai saistītā jomā un vismaz 2 gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo 5 gadu laikā.
  • Spēkā esošs, starptautiski atzīts sertifikāts (piem., CISM, CISSP).

vai

  • Vidējā profesionālā vai augstākā izglītība kiberdrošības pārvaldībā vai saistītā jomā.

vai

  • Vismaz 2 gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo 5 gadu laikā.
  • Spēkā esošs, starptautiski atzīts sertifikāts (piem., CISM, CISSP).

vai

  • Vidējā profesionālā vai augstākā izglītība kiberdrošības pārvaldībā vai saistītā jomā.

vai

  • Vismaz 2 gadu darba pieredze kiberdrošības pārvaldībā.

Kiberdrošības pārvaldnieks ir primārā kontaktpersona Kiberincidentu novēršanas institūcijai CERT.LV un Nacionālajam kiberdrošības centram operatīvai saziņai kiberdrošības incidentu gadījumos.

3. Kiberdrošības pārvaldības īstenotāji

Par Subjekta kiberdrošības pārvaldnieku var būt noteikta tikai viena fiziska persona!

Atkarībā no Subjekta lieluma un izmantoto IKT apjoma par IKT drošību var rūpēties viens darbinieks vai pat liela IT drošības komanda. Ja Subjekts nodarbina vairākus darbiniekus, kuru pienākumos ir IKT drošības jautājumi, tad Subjekta vadītājs deleģē atbilstošus pienākumus un kompetences (piem. atbildīgā persona par žurnālfailu pārvaldību, atbildīgā persona par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu u.c.).

Nozīmējot kiberdrošības pārvaldnieku, ir jāņem vērā ierobežojumi Subjektu kiberdrošības pārvaldnieku vienlaicīgai nodarbināšanai vairākās iestādēs (subjektos) kiberdrošības pārvaldnieka lomā (noteikumu 17., 18. 19 un 20.punkti), kā arī jāpārliecinās par kiberdrošības pārvaldnieka spējām operatīvi reaģēt un pildīt savus pienākumus amatu savienošanas gadījumā, it sevišķi gadījumos, kad kiberdrošības pārvaldnieks ir noteikts kā kritiskais darbinieks nepārtrauktas darbības īstenošanas kontekstā. 

4. Kiberdrošības pārvaldnieka pienākumi

Saskaņā ar Nacionālās kiberdrošības likuma 25.panta piekto daļu, kiberdrošības pārvaldniekam ir sekojoši pienākumi:

1) organizēt institūcijas informācijas un komunikācijas tehnoloģiju infrastruktūras drošības pasākumus;

2) ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu;

3) vismaz reizi gadā apmeklēt Kiberincidentu novēršanas institūcijas organizētas apmācības kiberdrošības jautājumos;

4) ne retāk kā reizi gadā nodrošināt, ka tiek veikta institūcijā nodarbināto instruktāža par subjektam aktuālajiem kiberriskiem un kiberdrošību.

Bez minētā Ministru kabineta noteikumi “Minimalās kiberdrošības prasības”  Nr.397 paredz, ka Subjekta kiberdrošības pārvaldnieks:

  • nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes uzraudzību un kontroli. (noteikumu 43.p.);

  • nodrošina žurnālfailu pārvaldības un aizsardzības prasību ievērošanas kontroli. (noteikumu 65.p.);

  • nodrošina rezerves kopiju pārvaldības un aizsardzības prasību ievērošanas kontroli, tostarp veic:

    -    ikdienas rezerves kopiju sagatavošanas uzraudzību; (noteikumu 74.1.p.);

    -    rezerves kopiju nolasīšanas pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskā resursa konfigurācijai. Pārbaudi veic ne retāk kā reizi sešos mēnešos A klases informācijas sistēmai un ne retāk kā reizi gadā B klases informācijas sistēmai, vai pēc būtiskām kopējamās informācijas sistēmas vai rezerves kopiju veidošanas procedūras izmaiņām. (noteikumu 74.2.);

  • organizēt kiberhigiēnas pasākumu īstenošanu, plānotās un ārkārtas instruktāžas (noteikumu 76.p.);

  • ārpakalpojuma līguma slēgšanas saskaņošanu (noteikumu 92.p.).

5. Kiberdrošības pārvaldnieka tiesības

Subjekta kiberdrošības pārvaldniekam ir tiesības:

  • pārbaudīt lietotāju kontu sarakstu, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas. (noteikumu 54.1.p.);
  • nodrošināt žurnālfailu ierakstu analīzi par lietotāju veiktajām darbībām (noteikumu 54.2.p.);
  • kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā bloķēt vai uzdot administratoram bloķēt ar kiberincidentu saistītos lietotāju kontus (noteikumu 54.3.p.);
  • pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu (noteikumu 54.4.p.);
  • pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas žurnālfailu ierakstus, ja informācijas sistēmu vai tās daļu uzturēšana notiek ārpus subjekta īpašumā vai valdījumā esošās IKT infrastruktūras (noteikumu 54.5.p.).

6. Ārpakalpojuma iesaiste kiberdrošības pārvaldībā

Nacionālais kiberdrošības likums, Ministru kabineta noteikumi Nr.397 “Minimālās kiberdrošības prasības” un citi normatīvie akti neierobežo Subjekta tiesības līgumu slēgšanas jomā un pakalpojuma iegādes formā, taču jāatcerās, ka par kiberdrošības pārvaldnieku nevar tikt noteikta juridiska persona vai neidentificēta fiziska persona. Atbilstoši Ministru kabineta noteikumu “Minimālās kiberdrošības prasības” 3.1. daļai “Kiberdrošības pārvaldnieks” un tajā noteikto kārtību kiberdrošības pārvaldnieks var būt tikai fiziska persona, kura atbilst noteiktajiem kritērijiem (noteikumu 11., 12. un 13.punkti) un kurai ir atbilstoša kompetence un pieredze šādā amatā. (Skat. arī 1.3. punktā noteikto vienlaicīgās nodarbinātības pieļaujamību).

7. IT drošības pārvaldības uzraudzība 

Subjekta vadītājs uzrauga kiberdrošības pārvaldnieka un, deleģējuma gadījumā, citu personu (pušu) pienākumu izpildi, jo par IKT drošības pārvaldības prasību ievērošanu Subjektā kopumā ir atbildīgs Subjekta vadītājs.

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2025 CERT.LV