Ministru kabineta noteikumi Nr. 497
Rīgā 2020. gada 11. augustā (prot. Nr. 47 6. §)
Izdoti saskaņā ar
Informācijas tehnoloģiju drošības likuma 8. panta
piekto un sesto daļu un Valsts informācijas sistēmu
likuma 4. panta otro daļu
Izdarīt Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (Latvijas Vēstnesis, 2015, 149. nr.; 2017, 254. nr.; 2019, 12. nr.) šādus grozījumus:
1. Papildināt noteikumus ar 5.1 punktu šādā redakcijā:
"5.1 Valsts un pašvaldību institūcija, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, glabā datus Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī un interneta datu plūsmu virza Eiropas Savienības un Eiropas Ekonomikas zonas teritorijā, ja datu apmaiņa notiek Eiropas Savienības un Eiropas Ekonomikas zonas teritorijā."
2. Izteikt 10. punkta ievaddaļas pirmo teikumu šādā redakcijā:
"Šo noteikumu 8.1. apakšpunktā minēto dokumentu apstiprina institūcijas vadītājs, bet 8.2., 8.3., 8.4. un 8.5. apakšpunktā minētos dokumentus apstiprina institūcijas vadītājs vai viņa pilnvarota persona."
3. Papildināt I nodaļu ar 12.1 punktu šādā redakcijā:
"12.1 Valsts un pašvaldību institūcijas vadītājs, slēdzot līgumu par informācijas un komunikācijas tehnoloģiju sistēmu izstrādi, ieviešanu vai uzturēšanu, nosaka atbildīgo personu, kas uzrauga informācijas un komunikācijas tehnoloģiju sistēmu izstrādi, ieviešanu un uzturēšanas ārpakalpojuma līguma izpildi."
4. Aizstāt 15.2. apakšpunktā vārdus "tehniskiem līdzekļiem" ar vārdiem "kontroles mehānismiem".
5. Svītrot 15.12. apakšpunktā vārdu "visiem".
6. Papildināt noteikumus ar 15.15., 15.16. un 15.17. apakšpunktu šādā redakcijā:
"15.15. sistēmās, kas nodrošina elektroniskā pasta saņemšanu no ārējiem resursiem, ienākošo saziņu apstrādā vismaz atbilstoši e-pastu autentifikācijas protokola (DMARC) prasībām, ieviešot e-pasta apstrādi atbilstoši sūtītāja domēna vārda DMARC politikai, atskaites ģenerēšanu un nosūtīšanu DMARC konfigurācijā norādītajam kontaktam;
15.16. institūcija, kas ir elektroniskā pasta domēna īpašnieks, publicē DMARC atbilstošu ierakstu savā domēna vārdu sistēmā (DNS), norādot striktu atteikuma politiku (p=reject), ievieš procedūru DMARC ziņojumu saņemšanai un to analīzei;
15.17. institūcija nodrošina informācijas sistēmās esošo datu rezerves kopiju veidošanu un atjaunošanu."
7. Papildināt noteikumus ar 20.3.5. un 20.3.6. apakšpunktu šādā redakcijā:
"20.3.5. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot par informācijas tehnoloģiju drošības incidentu un veikt visas tā novēršanai nepieciešamās darbības;
20.3.6. ārpakalpojuma sniedzēja pienākumu informēt par apakšuzņēmēju un viņa atbilstību šajos noteikumos un līgumā noteiktajām drošības prasībām;".
8. Papildināt noteikumus ar 20.4. un 20.5. apakšpunktu šādā redakcijā:
"20.4. normatīvajos aktos noteiktās un citas institūcijas vadītāja identificētās sistēmai veicamās drošības pārbaudes;
20.5. piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu."
9. Papildināt II nodaļu ar 23.1 un 23.2 punktu šādā redakcijā:
"23.1 Iegādājoties pakalpojumu, programmatūru vai iekārtu, valsts un pašvaldības institūcija iepirkuma specifikācijā un līgumā iekļauj pienākumu pakalpojuma sniedzējam un produkta ražotājam līguma darbības laikā informēt vai publicēt informāciju par atklātajām informācijas un komunikācijas tehnoloģiju produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem.
23.2 Valsts un pašvaldības institūcija, slēdzot iepirkuma līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par pakalpojumiem, programmatūrām vai iekārtām, kas nodrošina pamata drošības sistēmu aizsardzības un uzraudzības funkcijas, ievēro šo noteikumu 36.1 punktā noteiktās prasības. Slēdzot vispārīgo vienošanos, tās noteikumos ietver norādi uz šo noteikumu 36.1 punktā noteiktajiem ierobežojumiem, kas piemērojami, vienošanās ietvaros slēdzot iepirkuma līgumus šajā punktā minēto preču vai pakalpojumu iegādei."
10. Izteikt 36. un 36.1 punktu šādā redakcijā:
"36. Paaugstinātas drošības sistēmu uzturēšanas ārpakalpojuma līgumu atļauts slēgt vienīgi ar:
36.1. juridisku personu:
36.1.1. kas ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī;
36.1.2. kuras patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis vai Latvijas Republikas nepilsonis;
36.1.3. kuras pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiska persona, kas reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kas ir Latvijas Republikas valstspiederīgais, NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
36.2. fizisku personu, kas ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis vai Latvijas Republikas nepilsonis.
36.1 Līgumu par pakalpojumu, programmatūru vai iekārtu iegādi paaugstinātas drošības sistēmām atļauts slēgt ar:
36.1 1. juridisku personu:
36.1 1.1. kas ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī;
36.1 1.2. kuras patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis vai Latvijas Republikas nepilsonis;
36.1 1.3. kuras pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiska persona, kas reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kas ir Latvijas Republikas valstspiederīgais, NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
36.1 2. fizisku personu, kas ir Latvijas Republikas valstspiederīgais, NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis."
11. Papildināt III nodaļu ar 36.3 un 36.4 punktu šādā redakcijā:
"36.3 Šo noteikumu 36. un 36.1 punktu nepiemēro, ja ir saņemts kompetentās valsts drošības iestādes atzinums, ka līgumu var slēgt.
36.4 Institūcija šo noteikumu 36. un 36.1 punktā minētajos līgumos nosaka piegādātāja pienākumu līguma darbības laikā nekavējoties ziņot par patiesā labuma guvēja maiņu. Līgumu izbeidz, ja iestājies šo noteikumu 36. un 36.1 punktā noteiktais ierobežojums attiecībā uz patieso labuma guvēju un kompetentā valsts drošības iestāde nav saskaņojusi līguma turpināšanu."
12. Papildināt noteikumus ar 44., 45. un 46. punktu šādā redakcijā:
"44. Šo noteikumu 36. un 36.1 punktā minēto prasību par patieso labuma guvēju piemēro iepirkuma procedūrām, kas izsludinātas pēc 2020. gada 1. septembra.
45. Šo noteikumu 15.15. un 15.16. apakšpunkts stājas spēkā 2021. gada 1. janvārī.
46. Šo noteikumu 20.3.5. un 20.3.6. apakšpunktu un 36.4 punktu piemēro līgumiem, kas noslēgti pēc 2020. gada 31. augusta."
Ministru prezidents A. K. Kariņš
Ministru prezidenta biedrs,
aizsardzības ministrs A. Pabriks