☰

Pamatpakalpojumu un digitālo pakalpojumu sniedzējiem

Kopš 2018. gada 11. oktobra grozījumiem Informācijas tehnoloģiju drošības likumā (ITDL), ar kuriem Latvijā ieviesta 2016. gada 6. jūlija direktīva 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Eiropas Savienībā (NIS direktīva), ir definēti parametri, pēc kuriem nosaka pamatpakalpojumu un digitālo pakalpojumu sniedzējus.

Attēls: Icons designed by 0melapics / Freepik.

Informācijas sistēmām un tīkliem ir būtiska nozīme, veicinot preču un pakalpojumu brīvu apriti un personu brīvu pārvietošanos Eiropas Savienībā. Šo sistēmu būtiski traucējumi neatkarīgi no tā, vai tie ir tīši vai netīši un kur tie notiek, var ietekmēt dalībvalstis atsevišķi un ES kopumā. Tāpēc tīklu un informācijas sistēmu drošībai ir būtiska nozīme iekšējā tirgus netraucētas darbības nodrošināšanā. Līdz šim katrā dalībvalstī bija atšķirīgs tiesību subjektu loks, uz kuriem attiecās nacionālā līmenī noteiktās IT drošības prasības un incidentu ziņošanas kārtība. NIS direktīvu ieviešot, prasības ir salāgotas.

Pamatpakalpojums un pamatpakalpojumu sniedzēji: ieviešot direktīvu nacionālā līmenī, atbildīgās ministrijas līdz 2019. gada 31. janvārim lēma par pamatpakalpojuma sniedzēja un pamatpakalpojuma statusa piešķiršanu (pēc kritērijiem, kas noteikti 2019. gada 15. janvāra MK noteikumos Nr. 43).

Attēls: Icons designed by Good Ware, Pixel perfect, Freepik, monkik, Kiranshastry, Eucalyp from www.flaticon.com.

Par pamatpakalpojuma sniedzēju tiek uzskatīta valsts vai pašvaldības institūcija vai privāto tiesību juridiska persona, kas sniedz/ nodrošina:

  1. finanšu pakalpojumus Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumus, dzeramā ūdens piegādes vai izplatīšanas pakalpojumus, interneta plūsmas apmaiņas punkta pakalpojumus, domēnu nosaukumu sistēmas pakalpojumus, augstākā līmeņa domēna nosaukumu reģistra pakalpojumus vai pakalpojumus enerģētikas, transporta vai veselības nozarē kādā no Eiropas Savienības dalībvalstīm;

  2. pakalpojumus, kuru sniegšana ir atkarīga no informācijas tehnoloģijām;

  3. pakalpojumus, kuru sniegšanu var būtiski ietekmēt informācijas tehnoloģiju drošības incidents.

     

Digitālo pakalpojumu sniedzējs ir privāto tiesību juridiskā persona, kas atbilst vienai no šādām pazīmēm:

  1. veic saimniecisko darbību Latvijas Republikā un sniedz tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas vai mākoņdatošanas pakalpojumu kādā no Eiropas Savienības dalībvalstīm;

  2. veic saimniecisko darbību ārpus Eiropas Savienības un digitālo pakalpojumu Latvijas Republikā sniedz ar pilnvarota pārstāvja starpniecību.

Atšķirībā no pamatpakalpojumu sniedzējiem, kuru atbilstību statusam nosaka par nozari atbildīgā ministrija, digitālo pakalpojumu sniedzējam savs statuss ir jāsaprot/ jāapzinās pašam, ņemot vērā IT drošības likuma noteiktos kritērijus.

 

Attēls: Icons designed by Gregor Cresnar, Freepik from www.flaticon.com.

Sadarbība ar CERT.LV

MK noteikumi Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu" definē tos IT drošības incidentus, kuru gadījumā pamatpakalpojumu un digitālo pakalpojumu sniedzējiem jāsadarbojas ar CERT.LV, ziņojot par IT incidentu un, nepieciešamības gadījumā, iespējams saņemt atbalstu IT incidenta risināšanā.

Finanšu pakalpojumu Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumu sniedzējiem piemērojams speciālais regulējums, tāpēc Informācijas tehnoloģiju drošības likuma un saistīto MK noteikumu normas par rīcību būtiska informācijas tehnoloģiju drošības incidenta gadījumā nav piemērojamas.

MK noteikumi Nr. 442 nosaka vienotu kārtību un minimālās drošības prasības pamatpakalpojumu un digitālo pakalpojumu sniedzēju informācijas un komunikāciju tehnoloģiju sistēmām. Tie ir saistoši arī informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem.

Finanšu pakalpojumu Kredītiestāžu likuma izpratnē un finanšu tirgus infrastruktūras pakalpojumu sniedzējiem piemērojams speciālais regulējums, tāpēc Informācijas tehnoloģiju drošības likuma un saistīto MK noteikumu normas par minimālajām drošības prasībām, kas jānodrošina to informācijas un komunikāciju tehnoloģiju sistēmām, nav piemērojamas.

CERT.LV piedāvājums aktīvai aizsardzībai

DNS Ugunsmūris: bezmaksas rīks individuālu lietotāju un organizāciju pasargāšanai no kiberapdraudējumiem, tādiem kā viltus banku lapas, krāpnieciskas tirdzniecības platformas, vīrusus izplatošas vietnes u.c. Ugunsmūris nodrošina aktīvu aizsardzību, kā piemēram, ļaunatūras lejupielādes bloķēšana, tā novēršot lietotāju piekļūšanu bīstamajiem resursiem un pārvirzot tos uz brīdinājuma vietni (landingpage). Arī gadījumos, kad ļaunatūra jau ir inficējusi kādu iekārtu, DNS ugunsmūris sniedz iespēju ātrāk identificēt inficētās iekārtas, kas sistēmu administratoriem dod iespēju operatīvi veikt seku novēršanu. Vairāk: www.dnsmuris.lv

Agrās Brīdināšanas Sistēma (ABS): ABS jeb sensors ir pasīva drošības iekārta, kas ļauj apzināt apdraudējumu un aizsargāt lietotāju. ABS nodrošina datu pārraides tīkla plūsmas anomāliju analīzi, ļaunatūras atpazīšanu un brīdinājumu saņemšanu par konstatētajiem apdraudējumiem.

ABS iekārtas uzstādīšanu un konfigurāciju nodrošina CERT.LV, organizācijai ir jānodrošina divi elektrības pieslēgumi un divi tīkla pieslēgumi (access + mirror). Par ABS uzstādīšanu tiek slēgts sadarbības līgums, lai uzzinātu vairāk par ABS un lemtu par tā uzstādīšanu savā organizācijā, lūgums rakstīt: cert.

Normatīvais regulējums

IT drošības likums - kā ietvars:
https://likumi.lv/ta/id/220962-informacijas-tehnologiju-drosibas-likums

Tīklu un informācijas sistēmu drošības direktīva (NIS Direktīva):
https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX:32016L1148

Ministru kabineta noteikumi Nr.15 par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu:
https://likumi.lv/ta/id/304284-noteikumi-par-drosibas-incidenta-butiskuma-kriterijiem-informesanas-kartibu-un-zinojuma-saturu

Ministru Kabineta noteikumi nr. 43 par nosacījumiem drošības incidenta būtiski traucējošās ietekmes noteikšanai un kārtību, kādā piešķir, pārskata un izbeidz pamatpakalpojuma sniedzēja un pamatpakalpojuma statusu:
https://likumi.lv/ta/id/304327-noteikumi-par-nosacijumiem-drosibas-incidenta-butiski-traucejosas-ietekmes-noteiksanai-un-kartibu-kada-pieskir-parskata-un-izbe

Ministru kabineta noteikumi Nr.442, par kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām:
https://likumi.lv/ta/id/275671-kartiba-kada-tiek-nodrosinata-informacijas-un-komunikacijas-tehnologiju-sistemu-atbilstiba-minimalajam-drosibas-prasibam