1. "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētiem finanšu un kapitāla tirgus dalībniekiem (tālāk tekstā – tirgus dalībnieks): kredītiestādēm, krājaizdevu sabiedrībām, maksājumu iestādēm, elektroniskās naudas iestādēm, apdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, privātajiem pensiju fondiem, regulētā tirgus organizētājiem, Latvijas Centrālajam depozitārijam, ieguldījumu brokeru sabiedrībām, ieguldījumu pārvaldes sabiedrībām un alternatīvo ieguldījumu fondu pārvaldniekiem.
2. Noteikumu mērķis ir ierobežot tirgus dalībnieku darbībai un klientiem sniegto pakalpojumu nodrošināšanai izmantojamo informācijas sistēmu (tālāk tekstā arī – IS) riskus, kopumā tiecoties uz piesardzīgu informācijas sistēmu risku pārvaldības līmeni (risku apetīti), kā arī noteikt vienoti strukturētas prasības tirgus dalībnieku IS drošības risku pārvaldībai.
3. Noteikumi nosaka prasību minimumu. Tirgus dalībnieks var ieviest papildu aizsardzības pasākumus atkarībā no informācijas resursu klasifikācijas līmeņa un veiktās risku analīzes, ņemot vērā uzņēmuma sniegtos pakalpojumus, darbinieku skaitu un informācijas tehnoloģiju (tālāk tekstā – IT) izmantošanas līmeni.
4. Auditācijas pieraksti – analīzei pieejami pieraksti, kuros reģistrēti dati par noteiktiem notikumiem IS (piekļuve, datu ievade, maiņa, dzēšana, izvade u.c.).
5. Ārpakalpojuma sniedzējs – trešā persona, kas pēc tirgus dalībnieka pieprasījuma nodrošina tirgus dalībnieka IT un IS pārvaldību, attīstību, drošību, auditu vai sniedz citu tirgus dalībniekam nepieciešamu pakalpojumu, kas saistīts ar IS.
6. Drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina IS risku līdz pieļaujamajam līmenim.
7. Ievainojamība – IS nepilnība, kas ļauj kādam noteiktam apdraudējumam īstenoties un ietekmēt IS drošību.
8. Informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.
9. Informācijas konfidencialitāte – piekļuves nodrošināšana informācijai tikai pilnvarotām personām.
10. Informācijas integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.
11. Informācijas pieejamība – iespēja pilnvarotām personām lietot informāciju noteiktā laikā un vietā.
12. Informācijas resursi – informācijas vienības, kurās ietilpst datu faili, kas satur IS glabājamo, apstrādājamo un IS lietotājiem pieejamo informāciju, kā arī visi IS ievades un izvades dokumenti neatkarīgi no datu nesēja veida.
13. Informācijas resursu turētājs – persona, kas ir atbildīga par informācijas resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
14. Interneta maksājums – kredītpārvedums, tiešais debets vai elektroniskās naudas pārvedums, izmantojot internetu.
15. Autentifikācijas faktori (elementi) – attālināto lietotāju autentifikācijai izmantotie autentifikācijas līdzekļi, kas ir zināmi tikai lietotājam (piemēram, parole, PIN), kas ir lietošanā jeb pieder tikai lietotājam (piemēram, kodu karte, kodu kalkulators, mobilais tālrunis) vai kas ir lietotāja unikāla īpašība (piemēram, pirkstu nospiedums).
17. IS drošības incidents – kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta vai var tikt apdraudēta IS drošība (t.sk. uzbrukumi IS vai datortīkla iekārtai, darbības, kas izraisa vai var izraisīt neautorizētu piekļuvi IS, pakalpojuma atteikumi).
19. Risks – ar IS funkcionēšanu saistīta organizācijas varbūtēja nespēja pilnvērtīgi un kvalitatīvi veikt kādu savu saistību vai funkciju izpildi, ko nosaka kā nevēlamā notikuma iespējamības un tā seku kombināciju.
20. Stingrā autentifikācija – autentifikācija, kurā tiek izmantoti vismaz divi dažādi faktori jeb autentifikācijas elementi, no kuriem vismaz viens faktors jeb elements ir neatkārtojošs/unikāls un to nevar viegli nokopēt.
21. Tehnoloģiskie resursi – IS sastāvdaļa, kurā ietilpst sistēmprogrammas, lietojumprogrammas, palīgprogrammas, sistēmfaili, datori, datortīkli, aparatūra un citas iekārtas, kas nodrošina IS darbību.
22. Tehnoloģisko resursu turētājs – persona, kas ir atbildīga par tehnoloģiskajiem resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
23. Vadības atbildība un atbalsts
23.1. Tirgus dalībnieka vadība ir atbildīga par IS drošības politikas un IT stratēģijas noteikšanu un īstenošanu, darbinieku pienākumu un atbildības noteikšanu, kontroles organizēšanu, kā arī adekvātu resursu piešķiršanu IS drošības un IS audita funkciju pilnvērtīgai nodrošināšanai.
23.2. IS drošības politikas mērķis ir definēt tirgus dalībnieka vadības nostāju un atbalstu IS drošības nodrošināšanai atbilstoši tirgus dalībnieka un tā klientu vajadzībām.
24. Normatīvi
24.1. Tirgus dalībnieks apstiprina hierarhiski strukturētu dokumentu kopumu, kas nosaka IS pārvaldību, t.sk. IS drošības pārvaldību. Definējot IS drošības pārvaldību, nosaka IS drošības mērķus, lomas, atbildību un IS drošības pasākumu piemērošanas kārtību.
24.2. Tirgus dalībnieks dokumentē vismaz tos IS pārvaldības procesus, kuru neizpilde var radīt IS drošības riskus.
24.3. Tirgus dalībnieks nodrošina normatīvu aktualizāciju un pieejamību darbiniekiem.
24.4. Tirgus dalībnieks nosaka darbinieku atbildību par normatīvu neievērošanu.
24.5. Tirgus dalībnieks izveido un uztur aktuālu informācijas un datu plūsmas shēmu.
25. IS drošības jeb IS risku pārvaldības funkcija (tālāk tekstā – IS drošības funkcija)
25.1. Tirgus dalībnieks nodrošina IS drošības funkciju, lai realizētu risku kontroli un IS drošības pasākumu īstenošanu.
25.2. IS drošības funkcijas ietvaros tirgus dalībnieks nodrošina vismaz:
25.2.1. IS drošības normatīvu izstrādi un aktualizēšanu;
25.2.2. IS klasifikācijas un risku vadības procesa koordināciju un apdraudējumu identifikāciju;
25.2.3. vadības informēšanu par drošības līmeņa atbilstību prasībām un būtiskiem IS drošības incidentiem;
25.2.4. noteikto drošības pasākumu uzraudzību;
25.2.5. darbinieku apmācību un informēšanu IS drošības jomā;
25.2.6. IS drošības incidentu pārvaldību;
25.2.7. dalību IS darbības atjaunošanas un nepārtrauktības plānošanā.
25.3. Tirgus dalībnieks nodrošina IS drošības funkcijas neatkarību no IS izstrādes un uzturēšanas funkcijām un pienākumu nepastarpināti informēt tirgus dalībnieka vadību par būtiskiem IS drošības notikumiem. Ja par IS drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
26. IS audita funkcija
26.1. Tirgus dalībnieks nodrošina IS audita funkciju, lai nodrošinātu IS drošības pasākumu īstenošanas neatkarīgu pārbaudi.
26.2. Audita funkciju var nodrošināt arī ārpakalpojuma sniedzējs.
26.3. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā veikto ar IS drošību saistīto auditu sarakstu, norādot auditu tēmas, mērķus un auditu veicēju.
27. Ārpakalpojumu vadība
27.1. Tirgus dalībnieks var izmantot trešās personas – ārpakalpojuma sniedzēja – pakalpojumus. Tirgus dalībnieks veic visu izmantoto ārpakalpojumu uzskaiti.
27.2. Ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. IS drošības līmenis, ja IS attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par tirgus dalībnieka noteikto.
27.3. Pirms lēmuma pieņemšanas par ārpakalpojumu iegādi tirgus dalībnieks izvērtē piegādātājus un, ņemot vērā prasības pakalpojuma kvalitātei un drošībai, tostarp pieejamībai, izvērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
27.4. Tirgus dalībnieks līgumā ar ārpakalpojumu sniedzēju ietver prasības ārpakalpojuma kontrolei, piemēram, skaidru pakalpojuma aprakstu, drošības prasības, konfidencialitātes saistības, tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojumu sniedzējam nekavējoties ziņot par incidentiem, tiesības pārtraukt līgumu.
27.5. Izmantojot ārpakalpojumus, t.sk. mākoņskaitļošanu, tirgus dalībniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par tirgus dalībnieka klientiem. Tirgus dalībnieka klasificētas IS drošā veidā ir fiziski vai loģiski jānošķir no ārpakalpojuma sniedzēja citu klientu IS. Sagatavo un regulāri aktualizē pakalpojuma pārtraukšanas plānu, paredzot datu, programmatūras un tehnisko resursu atpakaļnodošanu un klientu informācijas dzēšanu pie pakalpojuma sniedzēja.
27.6. Tirgus dalībnieks veic ārpakalpojumu kvalitātes uzraudzību un drošības kontroli, t.sk. saņem pārskatus par pakalpojuma kvalitāti un incidentiem.
27.7. Tirgus dalībniekam, sniedzot ārpakalpojumu trešajai pusei, izmantojot savas IS, tostarp autentifikācijas ārpakalpojumu, ir pienākums kontrolēt risinājuma ieviešanu trešās puses uzņēmumā. Tirgus dalībnieks informē sadarbības partnerus par riskiem, kas saistīti ar šādu pakalpojumu izmantošanu. Drošības prasību neizpildes gadījumā ir pienākums pārtraukt sadarbību.
28. Resursu piederība
28.1. Tirgus dalībnieks rakstveidā norīko IS resursu (informācijas un tehnoloģisko resursu) turētājus visiem informācijas un tehnoloģiskajiem resursiem.
28.2. Informācijas resursu turētāja pienākumi ir šādi:
28.2.1. klasificēt viņa turējumā esošos informācijas resursus;
28.2.2. piedalīties viņa turējumā esošo informācijas resursu un saistīto IS risku analīzē un to apstiprināt;
28.2.3. apstiprināt pieejas tiesības IS;
28.2.4. apstiprināt IS izmaiņu veikšanu un ieviešanu;
28.2.5. noteikt prasības auditācijas pierakstu veidošanai;
28.2.6. sadarboties ar IS tehnoloģisko resursu turētāju IS funkcionalitātes un drošības jautājumos.
28.3. Tirgus dalībnieks nodrošina informācijas resursu turētāju apmācību to pienākumu izpildē.
28.4. Tehnoloģisko resursu turētāja pienākumi ir šādi:
28.4.1. nodrošināt tehnoloģisko resursu fizisko un loģisko aizsardzību;
28.4.2. sadarboties ar informācijas resursu turētāju, lai īstenotu viņa prasības par informācijas resursu aizsardzību un piekļuvi tiem;
28.4.3. piedalīties risku analīzē, noteikt ar tehnoloģiskajiem resursiem saistītos IS apdraudējumus un novērtēt šo apdraudējumu īstenošanās varbūtību;
28.4.4. nodrošināt IS atjaunošanas procedūras, ja tehnoloģiskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
28.4.5. sadarboties ar IS informācijas resursu turētāju IS funkcionalitātes un drošības jautājumos.
28.5. Resursu turētājs minētos pienākumus var uzdot pildīt resursu aizbildņiem – personām, kuras norīkojis resursu turētājs un kuras ikdienā ir atbildīgas par attiecīgajiem IS resursiem vai to daļu.
29. IS klasifikācija
29.1. Klasifikācijas mērķis ir novērtēt IS nozīmību un nodrošināt tās aizsardzību atbilstoši klasifikācijas līmenim. Tirgus dalībnieks veic visu IS klasificēšanu, nosakot IS konfidencialitātes, vērtības un pieejamības līmeni, un to dokumentē.
29.2. Konfidencialitātes līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja tiktu pieļauts, ka šai IS piekļūst nepilnvarotas personas.
29.3. Vērtības līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS integritāte.
29.4. Resursu pieejamības līmeni IS tirgus dalībnieks nosaka atkarībā no tirgus dalībnieka pamatdarbības vajadzībām (business requirements), ņemot vērā kaitējumu, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS resursu pieejamība, un nosaka pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un pieļaujamo laika periodu, par kuru datus var zaudēt (Recovery Point Objective).
29.5. Tirgus dalībnieks pielieto IS klasifikācijas shēmu, kura atbilst šiem noteikumiem un kurā ir vismaz divi katras klasifikācijas kategorijas līmeņi.
29.6. Tirgus dalībnieks atbilstoši informācijas klasifikācijas līmenim nosaka klasificētas informācijas lietošanas un aizsardzības prasības.
30. Risku analīzes un pārvaldības mērķi ir:
30.1. noteikt pieļaujamo jeb akceptējamo risku lielumu (risku limitu jeb apetīti);
30.2. novērtēt IS apdraudējuma īstenošanās varbūtību, kurā IS apdraudējums ir ar nodomu (tīši) vai aiz neuzmanības izdarīta darbība vai bezdarbība, vai iespējams notikums, kas var izraisīt IS drošības incidentu;
30.3. novērtēt iespējamo kaitējumu informācijas devējam, tirgus dalībniekam vai citai personai, ja nav nodrošināta IS drošība;
30.4. noteikt atbilstošos un nepieciešamos drošības pasākumus, ja risks ir nepieņemams;
30.5. akceptēt pēc drošības pasākumu īstenošanas atlikušo risku (atbilstību noteiktajam risku limitam).
31. Risku analīze ir regulārs process. Tirgus dalībnieks to veic visā IS dzīves ciklā, t.sk. sākot IS projektu, veicot nozīmīgas IS izmaiņas, parādoties jauniem būtiskiem apdraudējumiem, īstenojoties nozīmīgiem incidentiem vai pieaugot to kopējam skaitam.
32. Tirgus dalībnieks risku analīzi veic, lietojot tā apstiprināto metodiku. Tirgus dalībnieks lieto tādu risku analīzes metodiku, kas ļauj efektīvi realizēt šo noteikumu 30. punktā noteiktos mērķus.
33. Tirgus dalībnieks plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos.
34. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Tirgus dalībnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību.
35. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic pasākumus, kas ierobežo no darbinieku darbības vai bezdarbības izrietošos IS drošības riskus, kā arī nosaka darbinieku lomu IS drošības pasākumos un veicina personāla izpratni par IS lietošanas kārtību un aizsardzības nepieciešamību.
36. Tirgus dalībnieks nodrošina, ka IS lietotāju zināšanu līmenis ir atbilstošs IS lietošanas vajadzībām.
37. Tirgus dalībnieks pirms darba pienākumu izpildes iepazīstina darbiniekus ar IS darbību reglamentējošajiem dokumentiem.
38. Tirgus dalībnieks nosaka IS lietotāja:
38.1. atbildību par IS darbību reglamentējošo dokumentu neievērošanu;
38.2. atbildību par visām darbībām, kuras IS ir veiktas ar viņa lietotāja vārdu;
38.3. pienākumu ievērot konfidencialitātes saistības attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus;
38.4. pienākumu informēt atbilstošo personu (piemēram, IS drošības vadītāju) par IT drošības incidentiem un apdraudējumiem.
39. Drošības apzināšanās veicināšana
39.1. Tirgus dalībnieks regulāri veic plānveida pasākumus, kas sekmē katra darbinieka izpratni par IS aizsardzību un veicina darbinieku kopējo IS drošības apzināšanos (security awareness).
39.2. Tirgus dalībnieks nosaka, kā un cik bieži darbinieki tiek informēti un apmācīti par IS drošības jautājumiem.
39.3. Tirgus dalībnieks veic darbinieku apmācību klasificētas informācijas aizsardzībā.
40. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS fiziskās aizsardzības pasākumus, kas aizsargā no nevēlamiem apkārtējās vides (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem (neatbilstoša elektroenerģijas padeve, elektromagnētiskā lauka iedarbība u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.).
41. IS infrastruktūras (tehnoloģisko resursu, t.sk. serveru, disku masīvu, datortīkla iekārtu un kabeļu u.c., izņemot gala lietotāju tehnoloģiskos resursus) fiziskā aizsardzība
41.1. Tirgus dalībnieks IS infrastruktūru ekspluatē ierobežotas pieejas telpās, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi. Ja to nosaka tehnoloģiska nepieciešamība, tad, ekspluatējot ārpus ierobežotas pieejas telpām, IS tehnoloģiskos resursus fiziski norobežo. IS infrastruktūras telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība.
41.2. Tirgus dalībnieks nosaka, kuras personas drīkst iekļūt šo noteikumu 41.1. punktā minētajās telpās, un to piekļuvi reģistrē. Šo personu sarakstā iekļauj tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve IS infrastruktūrai.
41.3. Trešās personas IS infrastruktūras telpās drīkst uzturēties tikai to personu klātbūtnē, kurām ir tiesības piekļūt IS infrastruktūras telpām.
41.4. Tirgus dalībnieks nodrošina IS infrastruktūras telpu mikroklimatu (mitrumu, temperatūru u.tml.) atbilstoši IS infrastruktūras darbināšanai izmantotās aparatūras ražotāju noteiktajām prasībām.
41.5. Tirgus dalībnieks aprīko IS infrastruktūras telpas ar apsardzes signalizāciju un vides detektoriem.
41.6. Tirgus dalībnieks tehnoloģiskos resursus administrējošā personāla darba vietas nodala ierobežotas pieejas telpās.
42. Datu nesēju fiziskā aizsardzība
42.1. Tirgus dalībnieks veic nepieciešamos drošības pasākumus datu nesēju fiziskai aizsardzībai atkarībā no IS klasifikācijas, bet neatkarīgi no to veida (t.sk. demontētas disku iekārtas, papīra izdrukas, zibatmiņas kartes u.tml.).
42.2. Tirgus dalībnieks nosaka kārtību, kādā lieto, glabā un drošā veidā iznīcina datu nesējus.
42.3. Tirgus dalībnieks datu nesēju aizsardzības ietvaros veic datu izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu informācijas resursu iegūšanu (piemēram, printeru iekārtu aizsardzība, saskarņu lietošanas ierobežošana).
42.4. Ja datu nesēju, kas satur nepubliskojamus IS resursus, ir paredzēts iznīcināt, tad tirgus dalībnieks to dara tādā veidā, lai nebūtu iespējams veikt datu atjaunošanu.
43. Tirgus dalībnieks veic papildu fiziskās aizsardzības pasākumus atkarībā no IS klasifikācijas līmeņa. Nepieciešamības gadījumā fiziskās aizsardzības pasākumus drīkst kompensēt ar loģiskās aizsardzības (programmatūras un procesu) līdzekļiem.
44. Jauna IS lietotāja reģistrāciju, tiesību piešķiršanu, anulēšanu un bloķēšanu tirgus dalībnieks veic saskaņā ar dokumentētu pieprasījumu, kuru apstiprina informācijas resursu turētājs. Dokumentēšanas metodei jānodrošina iespēja veikt efektīvu aktuālo pieejas tiesību kontroli.
45. Katram tirgus dalībnieka IS lietotājam un administratoram tiek piešķirts unikāls lietotāja kods.
46. Lietotāja autentiskuma noteikšana
46.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka klasificētu IS lieto pilnvarotais lietotāja koda īpašnieks.
46.2. Tirgus dalībnieks nosaka autentifikācijas līdzekļu (piemēram, paroļu, kodu kalkulatoru, privāto atslēgu, biometrisko līdzekļu u.c.) lietošanas kārtību, t.sk. paroļu politiku (paroles garumu, sarežģītību, derīguma termiņu, atkārtojamības ierobežojumu).
46.3. IS paroles glabā šifrētā veidā. Ievadot paroli, tā nedrīkst būt salasāma uz ekrāna. Paroli nekavējoties nomaina, ja tā varētu būt vai ir nesankcionēti kļuvusi zināma citai personai.
46.4. Izveidojot, piegādājot un aktivizējot autentifikācijas līdzekli, tirgus dalībnieks nodrošina, ka tas lietošanai ir pieejams vienīgi attiecīgā lietotāja koda īpašniekam (t.sk. drošs personalizācijas un lietotāja paroles izveides process).
46.5. Ja tirgus dalībnieka lietotās tehnoloģijas to pieļauj, papildus iebūvētam administratora kontam tirgus dalībnieks izveido individuālu kontu katram administratoram, kurš tiek izmantots ikdienas IS uzturēšanas darbu veikšanai. IS administratoru kodu un paroļu kopijas glabā drošā ierobežotas pieejas vietā ārpus datortīklam pievienotajiem tehnoloģiskajiem resursiem.
47. Pieejas tiesības IS tirgus dalībnieks nosaka saskaņā ar dokumentēti apstiprinātām lomām vai lietotāju profiliem. IS lietotājam piešķir pieeju tikai tai informācijai un funkcijām, kas ir nepieciešamas viņa pienākumu izpildei. Minētā prasība ir jāievēro, nosakot arī IS tehnoloģisko lietotāju (kontu) pieejas tiesību līmeni.
48. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā tirgus dalībnieks nekavējoties maina vai bloķē IS lietotāja un administratora tiesības.
49. Tirgus dalībnieks regulāri veic aktuālo pieejas tiesību pārbaudi, lai kontrolētu šo noteikumu 47. un 48. punkta prasību ievērošanu.
50. Darbiniekiem, kas veic IS uzturēšanu, tirgus dalībnieks nosaka pienākumus un atbildību un nodrošina aizvietojamību un kvalifikācijas uzturēšanu. Procesu kontroles nodrošināšanai veic pienākumu nodalīšanu.
51. Konfigurācijas pārvaldība un kontrole
51.1. Tirgus dalībnieks veic tehnoloģisko resursu un to aktuālo konfigurāciju uzskaiti.
51.2. Tirgus dalībnieks nosaka kārtību, kādā pieprasa, autorizē, testē un maina tehnoloģiskos resursus.
51.3. Tirgus dalībnieks risku kontroles ietvaros uztur un kontrolē IS konfigurāciju, ņemot vērā drošības prakses ieteikumus (hardening standards) un zināmās sistēmu ievainojamības.
51.4. Tirgus dalībnieks risku kontroles ietvaros veic nepieciešamās un tehnoloģiski iespējamās izmaiņas tehnoloģisko resursu standarta konfigurācijā un samazina funkcionalitāti līdz nepieciešamajam apjomam.
51.5. Tirgus dalībnieks savlaicīgi veic nepieciešamos IS standarta programmatūras atjaunināšanas darbus (t.sk. drošības labojumu uzstādīšanu).
52. Datortīklu aizsardzība
52.1. Tirgus dalībnieks iekšējo datortīklu nodala no ārējā datortīkla. Datu plūsmā starp iekšējo un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei.
52.2. Tirgus dalībnieks izveido un uztur aktuālu datortīkla un pieslēgumu shēmu.
52.3. Tirgus dalībnieks regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām.
52.4. Tirgus dalībnieks risku kontroles ietvaros realizē nepieciešamos un iespējamos papildu datu plūsmas ierobežojumus (t.sk. aplikāciju, vietņu ierobežošanu) starp iekšējo un ārējo datortīklu.
52.5. Tirgus dalībnieks veic datortīkla monitoringu un ievainojamības (t.sk. kaitīgo programmu) kontroli.
52.6. Ja IS administrēšana tiek veikta no attālinātas vietas, tirgus dalībnieks lieto kriptogrāfijas līdzekļus (piemēram, virtuālo privāto tīklu (VPN)) un drošu (vismaz divu faktoru) lietotāja autentifikāciju.
52.7. Ja tiek lietotas bezvadu datu pārraides tehnoloģijas, tirgus dalībnieks risku pārvaldības ietvaros veic to papildu aizsardzību, lai nodrošinātu vienīgi autorizētu IS lietošanu.
53. Personālo datoru un ierīču aizsardzība
53.1. Tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt un kā tos aizsargāt individuālās lietošanas datu apstrādes iekārtās, t.sk. galda un portatīvajā datorā (tālāk tekstā – personālais dators), viedtālrunī, planšetdatorā u.tml.
53.2. Personālajā datorā tiek uzstādīta un lietota tikai tā programmatūra un tādā konfigurācijā, kādu noteicis tirgus dalībnieks, kurš arī nosaka kārtību un veic pasākumus aizsardzībai pret kaitīgām programmām, izmantojot, piemēram, antivīrusu programmatūru, software restriction policy.
53.3. Personālā datora funkcionalitāti tirgus dalībnieks ierobežo līdz darba vajadzībām nepieciešamam funkciju līmenim, t.sk. kontrolē datora portu izmantošanu un iekārtu pieslēgšanu, kontrolē pieeju publiskā tīkla informācijai (blacklisting, whitelisting) un loģiski nodala pieeju publiskā tīkla (interneta) informācijai no organizācijas iekšējām IS, izmantojot, piemēram, virtualizāciju.
53.4. Personālais dators tiek pieslēgts tikai tirgus dalībnieka noteiktiem datortīkliem.
53.5. Tirgus dalībnieks nodrošina, ka, lietotājam atstājot personālo datoru bez uzraudzības, atsākt IS lietošanu vai pieslēgties tirgus dalībnieka datortīklam iespējams tikai tad, ja ir veikta lietotāja autentifikācija.
53.6. Izmantojot personālos datorus, kuriem ir pastiprināti fiziskās drošības apdraudējumi t.sk. portatīvās ierīces, kuras lieto ārpus tirgus dalībnieka telpām, klasificētā informācija tiek pārraidīta un glabāta šifrētā veidā.
53.7. Tirgus dalībnieks veic visu tā rīcībā esošo personālo datoru, kurus paredzēts lietot ārpus tirgus dalībnieka telpām, uzskaiti, lai noteiktu, kura persona lieto attiecīgo iekārtu.
53.8. Ja tirgus dalībnieks ļauj darbiniekiem darba vajadzībām lietot viņiem piederošus personālos datorus, tas nosaka lietošanas kārtību. Šī kārtība nedrīkst samazināt noteikto IS aizsardzības līmeni.
53.9. Ja tiek sniegta attālināta pieeja tirgus dalībnieka IS, izmantojot viedtālruni vai planšetdatoru, šo ierīču drošība ir jāaizsargā, lai incidenta gadījumā tiktu novērsta klientu vai tirgus dalībnieka sensitīvu datu nokļūšana trešo pušu rīcībā (piemēram, aizsargāta pieeja ierīcei, dati ierīcē netiek glabāti vai pēc sesijas tiek automātiski dzēsti).
54. Datu rezerves kopēšana
54.1. Lai ierobežotu integritātes un pieejamības riskus, tirgus dalībnieks veic datu rezerves kopēšanu.
54.2. Tirgus dalībnieks izstrādā dokumentētu datu rezerves kopiju veidošanas kārtību, nosakot, kāda tehnoloģija un darbības ir noteiktas datu rezerves kopiju izgatavošanai un informācijas atjaunošanai, kā arī nosaka, cik bieži un kādā apjomā tiek veidotas datu rezerves kopijas, ņemot vērā pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un laika periodu, par kuru datus var zaudēt (Recovery Point Objective), kā arī cik bieži tiek veikta kopiju un atjaunošanas procedūru pārbaude.
54.3. Tirgus dalībnieks nodrošina, ka vismaz tām IS, kuras nodrošina tirgus dalībniekam vai tā klientiem būtiskus pakalpojumus, datu rezerves kopēšanu veic ar metodi, kas minimizē riskus (no IS fiziski vai loģiski nodalīti datu nesēji). Datu rezerves kopijas glabā no IS ģeogrāfiski nošķirtā vietā.
54.4. Tirgus dalībnieks aizsargā datu rezerves kopijas pret nesankcionētu lietošanu un bojāšanu.
55. IS pārraudzība
55.1. Tirgus dalībnieks IS pārraudzībai nosaka vismaz šādus mērķus – veikt preventīvās darbības IS drošības uzturēšanai un savlaicīgu incidentu identificēšanu. Pārraudzības pasākumi tiek piemēroti atbilstoši IS klasifikācijai.
55.2. Tirgus dalībnieks pastāvīgi veic IS pārraudzību:
55.2.1. savlaicīgi identificējot gan iekšējo, gan ārējo apdraudējumu;
55.2.2. identificējot sistēmu ievainojamību un veicot to novēršanu;
55.2.3. uzraugot neautorizētu iekārtu un programmatūras lietošanu un veicot tās novēršanu;
55.2.4. kontrolējot IS un iekārtu konfigurācijas izmaiņas;
55.2.5. pārraugot IS, iekārtu un procesu pieejamību.
56. Auditācijas pierakstu pārvaldība
56.1. Lai identificētu lietotāju veiktās darbības un IS kļūdas, tirgus dalībnieks veido, uzglabā un analizē auditācijas pierakstus.
56.2. Auditācijas pierakstos tirgus dalībnieks iekļauj vismaz visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu laiku un lietotāju kodus. Papildu auditācijas pierakstus veic par IS parametru maiņu, t.sk. par darbībām ar lietotāju kontiem, ciktāl to var nodrošināt ar lietoto tehnoloģisko risinājumu.
56.3. Tirgus dalībnieks lieto metodes un rīkus, kas ļauj efektīvi analizēt auditācijas pierakstus. Šie rīki ir pieejami tikai autorizētam personālam.
56.4. Tirgus dalībnieks nodrošina auditācijas pierakstu integritāti.
56.5. Tirgus dalībnieks sinhronizē visu to IS laika uzskaiti, kuras ir savstarpēji saistītas datu apmaiņā vai transakciju apstrādē.
57. Kriptogrāfijas līdzekļu lietošana
57.1. Tirgus dalībnieks atkarībā no informācijas resursu konfidencialitātes līmeņa lieto kriptogrāfijas līdzekļus.
57.2. Tirgus dalībnieks nosaka kriptogrāfijas līdzekļu lietošanas kārtību, kā arī veic to aizsardzību.
58. Tirgus dalībnieks, klientiem piedāvājot attālinātos pakalpojumus, nodrošina pakalpojumu drošības pārvaldību, lai minimizētu klientu riskus.
59. Tirgus dalībnieks veic klienta identifikāciju un citus nepieciešamos pasākumus, lai attālināto pakalpojumu autentifikācijas līdzekli saņemtu tikai tā īpašnieks. Klienta autentifikācijas līdzekļi (rīki, programmatūra) tiek pieprasīti, piegādāti un aktivizēti drošā veidā.
60. Klientam veicot interneta maksājumus, klienta autentificēšanai lieto stingro autentifikāciju. Maksājumiem tiek noteikts klienta riska profilam atbilstošs limits.
61. Pārsūtot klienta datus, tos aizsargā ar kriptogrāfijas līdzekļiem. Pārsūtot klienta datus, tos var nešifrēt, ja informācija nesatur cita klienta datus un klients akceptē iespējamos riskus.
62. Tirgus dalībnieks lieto vismaz divu faktoru klienta autentifikāciju ar atkārtojošu faktoru (piemēram, kodu karti) un var nelietot 60. punktā noteikto autentifikāciju:
62.1. interneta maksājumiem, kam ir noteikts klienta riska profilam atbilstošs dienas limits, kurš nepārsniedz 5000 EUR un kuru pēc klienta pieprasījuma var samazināt vismaz līdz 150 EUR;
62.2. interneta maksājumiem, kurus saņēmējs klients ir iekļāvis apstiprināto maksājumu sarakstā (white list), lietojot stingro autentifikāciju, t.sk. ierodoties personīgi klientu apkalpošanas centrā;
62.3. citiem 60. punktā neminētiem pakalpojumiem, kas saistīti ar piekļuvi klienta finanšu informācijai, piemēram, pārskatiem par darījumu vēsturi.
63. Tirgus dalībnieks lieto vismaz viena faktora klienta autentifikāciju un var nelietot 60. punktā noteikto autentifikāciju, ja:
63.1. pie viena tirgus dalībnieka lietojot attālinātos pakalpojumus, nemainās aktīvu īpašnieks (t.sk. valūtas konvertācija, aktīvu pārvedums starp klienta kontiem);
63.2. interneta maksājumam ir mikromaksājuma limits (30 EUR) ar atbilstošu dienas limitu (150 EUR);
63.3. pakalpojums ļauj skatīt tikai to informāciju par klienta kontu, kas neietver trešo personu datus, t.sk. konta atlikumu, darījumu vēsturi, konta numuru;
63.4. pakalpojums ietver finanšu instrumentu izmantošanu (pirkšana/pārdošana).
64. Klienta lietotāja piekļuve tiek bloķēta ne vairāk kā pēc pieciem neveiksmīgiem autentifikācijas mēģinājumiem.
65. Neaktīva sesija tiek bloķēta ne vairāk kā pēc piecpadsmit minūtēm. Klienta lietotāja piekļuve atkārtoti tiek aktivizēta drošā veidā.
66. Klients tuvu reāla laika režīmam var saņemt informāciju par klienta apstiprinātās transakcijas statusu (iniciāciju un izpildi).
67. Tirgus dalībnieks klientu drošības apzināšanās programmas ietvarā nodrošina klientiem pilnvērtīgu informāciju par attālināto pakalpojumu lietošanas riskiem un informāciju par to, kā droši un efektīvi lietot IS. Tirgus dalībnieks, pirms klientam sniedz pieeju attālinātiem pakalpojumiem un arī turpmāk, regulāri, sadarbības laikā informē klientu par tirgus dalībnieka un klienta tiesībām un atbildību, pakalpojuma izmantošanu, maksājumu sagatavošanu un autorizēšanu, nepieciešamajiem drošības pasākumiem klienta pusē (t.sk. klienta darbstacijā, mobilajā iekārtā), autentifikācijas līdzekļu drošu izmantošanu un darbībām to nozaudēšanas gadījumā, kā arī pasākumiem, lai identificētu iespējamas krāpnieciskās darbības, t.sk. money mule riskus.
68. Tirgus dalībnieks, komunicējot ar klientu, izvērtē informācijas saturu un nepieciešamības gadījumā izmanto drošu sakaru kanālu, piemēram, internetbanku, kas nodrošina sniegtās informācijas autentiskumu.
69. Tirgus dalībnieks veic interneta maksājumu uzraudzību jeb monitoringu, identificē netipiskus maksājumus, kas atbilst noteiktiem aktualizētiem paraugiem (paterniem), un tos aptur, lai preventīvi novērstu krāpnieciskus darījumus. Tiesības apturēt iespējami krāpniecisku maksājumu izpildi ir jāparedz savstarpējā līgumā ar klientu.
70. Pirms attālināto pakalpojumu ieviešanas, parādoties jauniem apdraudējumiem vai veicot būtiskas izmaiņas IS, tirgus dalībnieks veic drošības pārbaudes vai testus.
71. Tirgus dalībnieks vismaz 13 mēnešus glabā auditācijas pierakstus par veiktajiem un atteiktajiem attālināto pakalpojumu izmantošanas pieslēgumiem (t.sk. avota IP adresi, laiku) un lietotāja veikto transakciju un citu darbību identificēšanai nepieciešamo informāciju.
72. Tirgus dalībnieks vada IS izstrādes un pārmaiņu pārvaldības procesus, lai minimizētu IS drošības riskus gan izstrādājamajai IS, gan citām saistītajām IS.
73. Tirgus dalībnieks nosaka IS izstrādes, iegādes, testēšanas, ieviešanas un izmaiņu pārvaldīšanas procesus.
74. IS izstrādes uzsākšana
74.1. Tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus.
74.2. Atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus.
74.3. Izstrādājamās IS resursu turētāji sadarbībā ar darbinieku, kas atbild par IS drošību, veic IS drošības prasību noteikšanu.
75. IS izstrāde
75.1. Tirgus dalībnieks IS izstrādes vidi nodala no lietošanas vides.
75.2. Tirgus dalībnieks dokumentē katru IS. Dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS apraksts, IS administratora un lietotāju instrukcijas u.c.).
75.3. Tirgus dalībnieks dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim.
76. IS testēšana
76.1. Pirms IS ieviešanas tirgus dalībnieks saskaņā ar plānu veic IS testus. Testa plānā iekļauj arī IS nefunkcionālo prasību, t.sk. IS drošības testu.
76.2. Tirgus dalībnieks nodala IS testa vidi no lietošanas vides.
76.3. Testa un izstrādes vidē neizmanto lietošanas vides datus, tomēr, ja IS drošības risku mazināšanas nolūkā testa vai izstrādes vidē nepieciešams izmantot lietošanas vides datus, tad tos lieto un tiem piemēro tādus pašus drošības pasākumus kā lietošanas vidē (t.sk. tiesību piešķiršanas, autentifikācijas, auditācijas kārtību).
77. IS ieviešana
77.1. IS ievieš pēc IS resursu turētāju atļaujas saņemšanas, kas apliecina, ka testēšana ir pabeigta un IS ir gatava ieviešanai.
77.2. Pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību.
77.3. Tirgus dalībnieks nodrošina, ka tiek veikta IS versiju kontrole.
78. Izmaiņu pārvaldība
78.1. IS Izmaiņas veic tikai ar saistīto IS resursu turētāju atļauju.
78.2. Tirgus dalībnieks analizē, kā izmaiņas ietekmēs esošos IS drošības pasākumus un piešķirtajās pieejas tiesībās pieejamo informāciju un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis.
78.3. Tirgus dalībnieks veic IS dokumentācijas papildināšanu.
78.4. Tirgus dalībnieks izstrādā kārtību par darbībām ārkārtas (neplānotu) izmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas izmaiņām. Tirgus dalībnieks nosaka, kā tiek plānoti pasākumi, lai preventīvi samazinātu nepieciešamību veikt ārkārtas izmaiņas, un veic pasākumus, lai nepieļautu neautorizētu izmaiņu veikšanu.
79. Pārtraucot IS lietošanu, likvidējot vai nododot to citai personai, t.sk. gadījumos, ja tirgus dalībnieks pārtrauc kādu darbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus, t.sk. risku analīzi.
80. Incidentu pārvaldības mērķis ir minimizēt IS drošības incidentu ietekmi uz tirgus dalībnieka klientiem un tirgus dalībnieka darbību un mazināt to atkārtošanās risku.
81. Tirgus dalībnieks nosaka un īsteno praksē IS drošības incidentu pārvaldības procesu, kas ietver vismaz:
81.1. IS drošības incidentu identificēšanu;
81.2. incidenta ietekmes mazināšanu un seku likvidēšanu;
81.3. incidentu reģistrēšanu incidentu reģistrā;
81.4. notikušā IS drošības incidenta analīzi (t.sk. cēloņu un risku mazināšanas pasākumu noteikšanu) un vadības informēšanu;
81.5. nepieciešamo pierādījumu saglabāšanu.
82. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā reģistrēto IS drošības incidentu sarakstu, kurā iekļauj informāciju par incidentu grupām jeb kategorijām, papildus pievienojot incidentu ietekmes novērtējumu un kopējo incidentu skaitu ar šo ietekmes līmeni.
83. IS darbības atjaunošana
83.1. Tirgus dalībnieks nodrošina savlaicīgu IS darbības un datu atjaunošanu, ja noticis IS darbības pārtraukums.
83.2. Tirgus dalībnieks izstrādā IS darbības atjaunošanas plānu saskaņā ar tirgus dalībnieka darbības nepārtrauktības plānu.
83.3. IS darbības atjaunošanas plānā tirgus dalībnieks iekļauj atjaunojamos IS pakalpojumus prioritārā secībā, izmantojamos resursus, veicamo darbu sarakstu un atbildīgos darbiniekus.
83.4. Tirgus dalībnieks saskaņā ar iepriekš noteiktu kārtību veic regulāru IS darbības atjaunošanas procesos iesaistīto personu apmācību un dokumentētu plāna testēšanu un izmaiņu gadījumā to atjauno, lai nodrošinātu plāna aktualitāti.
84. Noteikumu 60. un 62. punkts stājas spēkā un attiecas uz tiem tirgus dalībnieka klientiem, kas slēdz līgumu par attālināto pakalpojumu izmantošanu, sākot ar 2015. gada 1. janvāri, savukārt attiecībā uz pārējiem tirgus dalībnieka klientiem minētie punkti stājas spēkā ar 2017. gada 1. janvāri.
86. Klientiem, kuri līgumu par attālināto pakalpojumu izmantošanu slēguši līdz 2014. gada 31. decembrim, tirgus dalībnieks, piedāvājot piekļuvi šiem pakalpojumiem, līdz 2016. gada 31. decembrim var lietot vismaz divu faktoru klienta autentifikāciju ar atkārtojošu faktoru, piemēram, kodu karti.
87. Līdz ar šo noteikumu stāšanos spēkā spēku zaudē Finanšu un kapitāla tirgus komisijas 2010. gada 8. oktobra noteikumi Nr. 278 "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības noteikumi''.
(FKTK 24.09.2014. noteikumu Nr.192 redakcijā)