Atbildīgajiem par IT drošību
Informācijas tehnoloģiju (IT) drošības pārvaldības nodrošināšanai Informācijas tehnoloģiju drošības likums un saistītie normatīvie akti atbildīgajām personām nosaka pienākumus, kas aptver minimālās IT drošības pārvaldības prasības, kā arī nodrošina CERT.LV un organizācijas informācijas apmaiņu un organizāciju darbinieku izglītošanu par IT drošības jautājumiem.
Institūcijas informācijas tehnoloģiju drošības pārvaldības organizēšana
Ieteikumi atbildīgajiem par IT drošību:
- sākt ar iestādes resursu identificēšanu;
- pēc tam veikt risku analīzi;
- no tās izsecināt, kādi ir būtiskākie apdraudējumi, kas attiecas uz aizsargājamajiem resursiem.
Atkarībā no identificētajiem apdraudējumiem ir jāizvēlas jomas, uz kurām fokusējoties veidot iestādes IT drošības stratēģiju, ja nepieciešams iepazīstoties ar standartu ieteikumiem attiecīgajās jomās (pazīstamākie IT nozares drošības standarti ir ISO 27000, ITIL, ISO 20000, COBIT un ISF Standard of Good Practice for Information Security (SOGP standarts 2016.gadā papildināts)).
Veidojot IT drošības dokumentāciju, ir jāņem vērā iestādes darba specifika, atbilstoši papildinot ieviešamās IT drošības kontroles. Lai atvieglotu IT drošības dokumentācijas izstrādi, CERT.LV ir sagatavojusi arī dokumentācijas paraugus.
Informācijas tehnoloģiju drošības pārbaudes
Atbildīgā persona reizi gadā nodrošina IT drošības pārbaudi. Informācijas tehnoloģiju drošības likumā nav noteikts šo pārbaužu apjoms, tematika un prasības.
CERT.LV ieskatā ikgadējām pārbaudēm būtu jābūt tematiskām, un tās jāveic atbilstoši informācijas sistēmu risku analīzes rezultātiem. Piemēram, ja tiek identificēts, ka nav pārliecības, vai pastāv spēja atjaunot iestādei kritoisko un pārējo informācijas sistēmu darbību no rezerves kopijām, tad būtu jāveic pārbaude informācijas sistēmu atjaunošanas plāna un rezerves kopiju integritātes novērtēšanai.
CERT.LV apmācības atbildīgajiem par IT drošību
CERT.LV piedāvā seminārus IT drošības speciālistiem ar dažādiem zināšanu līmeņiem, gan tādiem, kas tikai uzsākuši darbu IT drošības jomā, gan šīs jomas ekspertiem. Ja esat atbildīgais par IT drošību, tad vismaz reizi gadā jāieplāno CERT.LV apmācību apmeklējumu (to nosaka IT drošības likums).
Informācija par CERT.LV pasākumiem pieejama https://cert.lv/lv/zinas/pasakumi un CERT.LV sociālo tīklu profilos Twitter, Facebook un LinkedIn.
Darbinieku instruēšana informācijas tehnoloģiju drošības jautājumos
Visu darbinieku zināšanas un atbilstoša rīcība ir būtisks pamats organizācijas spējai savlaicīgi un atbilstoši reaģēt uz IT drošības notikumiem, tāpēc ikgadēja darbinieku instruēšana IT drošības likumā ir noteikta kā pienākums.
Lai atvieglotu šī pienākuma izpildi, CERT.LV ir sagatavojusi prezentācijas paraugu, ko atbildīgie par IT drošību var izmantot un pielāgot savas organizācijas vajadzībām.
CERT.LV piedāvā iespēju valsts un pašvaldību iestādēm ikgadējās iestādes instruktāžas ietvaros noklausīties CERT.LV pārstāvja prezentāciju par IT drošību.