Latvijas Banka
Padomes lēmums Nr. 48/5
Rīgā 1998. gada 16. jūlijā
Par "Banku informācijas
tehnoloģijas drošības noteikumu" apstiprināšanu
Latvijas Bankas padome nolemj:
1. Apstiprināt "Banku informācijas tehnoloģijas drošības noteikumus" (pielikumā).
2. Noteikt, ka Latvijas Bankas licencētām bankām un ārvalstu banku nodaļām (filiālēm) līdz 1998. gada 31. decembrim jāizstrādā "Banku informācijas tehnoloģijas drošības noteikumu" ieviešanas plāns.
3. Atcelt Latvijas Bankas padomes 1996. gada 11. jūlija lēmumu Nr. 34/11 "Norādījumi par banku informācijas sistēmām".
Latvijas Bankas prezidents E. Repše
Banku informācijas tehnoloģijas
drošības noteikumi
"Banku informācijas tehnoloģijas drošības noteikumi" (tālāk tekstā - noteikumi) izstrādāti saskaņā ar Latvijas Republikas "Kredītiestāžu likumu" un likumu "Par Latvijas Banku".
Noteikumi ir saistoši visām Latvijas Bankas licencētām bankām un ārvalstu banku nodaļām (filiālēm) (tālāk tekstā - bankas).
Noteikumi nosaka kārtību, kādā bankām Latvijā jānodrošina tām piederošo informācijas un tehnisko resursu aizsardzība.
1. NOTEIKUMOS LIETOTIE TERMINI
1.1. Informācijas resursi - informācijas sistēmas (tālāk tekstā - IS) sastāvdaļa. Tās ir sistēmprogrammas, lietojumprogrammas, sistēmu faili, datu faili u.c. informācija, ko izmanto informācijas apstrādei, pārraidei, glabāšanai u.c. IS funkciju veikšanai.
1.2. Tehniskie resursi - IS sastāvdaļa. Tie ir datori, datortīklu aparatūra, komunikāciju līnijas u.c. tehniskie līdzekļi, ko izmanto informācijas apstrādei, pārraidei un glabāšanai.
1.3. Informācijas resursu īpašnieks - darbinieks, kurš ir atbildīgs par informācijas resursiem (to pieejamību, integritāti, konfidencialitāti, lietošanu un lietošanas sekām).
1.4. Tehnisko resursu īpašnieks - darbinieks, kurš ir atbildīgs par tehniskajiem resursiem (to pieejamību, integritāti, lietošanu un lietošanas sekām).
1.5. Informācijas vai tehnisko resursu aizbildnis - darbinieks, kuru norīkojis informācijas vai tehnisko resursu īpašnieks un kurš ikdienā uzņemas atbildību par īpašniekam piederošajiem informācijas vai tehniskajiem resursiem vai to daļu.
1.6. Informācijas pieejamība - informācijas pastāvēšana un saglabāšana tā, lai pilnvarotiem lietotājiem būtu iespēja to izmantot īstajā laikā un vietā.
1.7. Informācijas integritāte - informācijas pareizība, pilnīgums, precizitāte un saskaņotība ar bankas darbības vajadzībām.
1.8. Informācijas konfidencialitāte - informācijas slepenība un piederība tās īpašniekam, kas ir saistīta ar tās aizsardzību pret nesankcionētu atklāšanu.
1.9. Klasificēta informācija - informācija, kurai ir piešķirts konfidencialitātes un/vai vērtības līmenis.
1.10. Neklasificēta informācija - informācija, kura neatbilst augsta riska, vidēja riska, slepenas vai konfidenciālas informācijas līmenim.
1.11. Informācijas klasificēšana - process, kurā informācijai tiek piešķirts kāds no divu kategoriju - informācijas konfidencialitātes un/vai informācijas vērtības - līmeņiem. Katrā kategorijā ir vismaz divi līmeņi - slepenā un konfidenciālā informācija (iedalīšana pēc konfidencialitātes pakāpes, kad tiek vērtēti draudi konfidencialitātei) un augsta un vidēja riska informācija (iedalīšana pēc vērtības, kad tiek vērtēti draudi informācijas integritātei un pieejamībai).
1.12. Slepena informācija - informācija, kuras nesankcionētas atklāšanas gadījumā bankai var rasties ievērojami un ilgstoši zaudējumi un cieš bankas reputācija.
1.13. Konfidenciāla informācija - informācija, kuras nesankcionētas atklāšanas gadījumā bankai var rasties jūtami zaudējumi un cieš bankas reputācija.
1.14. Augsta riska informācija - informācija, kuru lietojot nevietā, nesankcionēti mainot, sabojājot vai padarot nepieejamu kādu laika periodu, bankai var rasties nozīmīgi un ilgstoši zaudējumi un var ciest bankas reputācija.
1.15. Vidēja riska informācija - informācija, kuru lietojot nevietā, nesankcionēti mainot, sabojājot vai padarot nepieejamu kādu laika periodu, bankai var rasties jūtami zaudējumi un var ciest bankas reputācija.
1.16. Elektroniskie taloni ( hand held authentication devices - electronic tokens, smart cards ) - ierīces, kuras izmanto lietotāju autentiskuma noteikšanai brīdī, kad lietotājs pieslēdzas IS vai vēlas veikt kādu funkciju, ko pastiprināti aizsargā. Biežāk sastopamās ir ierīces, kas ģenerē unikālu paroli vienam darba seansam, kā arī speciālas viedkartes ( smart cards ).
1.17. Tiesību sertifikāts ( access right certificate, ticket ) - elektroniskā veidā esošs pilnvaru saraksts, kurā uzrādīti lietotājam pieejamie informācijas resursi.
1.18. Auditācijas pieraksti - analīzei pieejams IS veikto darbību (piekļūšana, datu ievade, mainīšana, dzēšana, izvade) atspoguļojums elektroniskas informācijas veidā.
2. VISPĀRĪGIE NOTEIKUMI
2.1. Par šo noteikumu ievērošanu ir atbildīgs bankas valdes priekšsēdētājs, kam rakstiski jānorīko konkrēta persona, kuras pienākums ir organizēt pasākumus noteikumos minēto prasību izpildei. Šim darbiniekam jābūt iespējai tieši kontaktēties ar bankas valdes priekšsēdētāju.
2.2. Bankā jābūt bankas padomes apstiprinātam IS attīstības stratēģiskajam plānam, kas ir izstrādāts saskaņā ar bankas attīstības stratēģisko plānu.
2.3. Bankā jābūt izstrādātai IS drošības politikai. Drošības politika nosaka vadlīnijas un noteikumus IS aizsardzības organizēšanai, tā jāapstiprina bankas padomei. Drošības politika var būt atspoguļota vienā vai vairākos dokumentos. Šajos dokumentos:
2.3.1. jānosaka IS drošības politikas mērķi un ietvari, kā arī darbinieki, kas atbildīgi par politikas veidošanu un ieviešanu;
2.3.2. jānosaka dažādu darbinieku (informācijas un tehnisko resursu īpašnieku, IS un IS drošības administratoru, IS lietotāju, dažādu līmeņu vadītāju u.c.) loma un atbildība informācijas un tehnisko resursu aizsardzībā;
2.3.3. jānosaka, kā rīkoties, ja tiek pamanīti IS drošības pārkāpumi;
2.3.4. jānosaka atbildīgais par IS drošības politikas dokumentu periodisku aktualizēšanu;
2.3.5. jānosaka ar IS drošību saistīto dokumentu kopums un apstiprināšanas kārtība.
3. INFORMĀCIJAS UN TEHNISKO RESURSU PIEDERĪBA
3.1. Bankā jānorīko īpašnieki visiem informācijas un tehniskajiem resursiem.
3.2. Informācijas resursu īpašnieka pienākumi ir:
3.2.1. klasificēt viņam piederošos informācijas resursus;
3.2.2. veikt viņam piederošo informācijas resursu riska analīzi;
3.2.3. veikt viņam piederošo informācijas resursu aizsardzības pasākumus;
3.2.4. izstrādāt informācijas resursu lietošanas kārtību;
3.2.5. nodrošināt auditācijas pierakstu veidošanu;
3.2.6. piešķirt darbiniekiem tiesības piekļūt viņam piederošajiem informācijas resursiem un lietot tos.
3.3. Tehnisko resursu īpašnieka pienākumi ir:
3.3.1. aizsargāt tehnisko resursu pieejamību un integritāti, veicot to saskaņoti ar atbilstošo informācijas resursu īpašniekiem;
3.3.2. sadarboties ar informācijas resursu īpašniekiem, lai īstenotu viņu prasības par informācijas resursu aizsardzību un piekļūšanu tiem.
3.4. Informācijas un tehnisko resursu īpašnieka pienākumi ir:
3.4.1. nodrošināt pareizas informācijas un tehnisko resursu atjaunošanas procedūras gadījumiem, kad tehniskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
3.4.2. nodrošināt viņam piederošo informācijas un tehnisko resursu drošības uzraudzības funkcijas;
3.4.3. nodrošināt viņam pakļauto darbinieku izpratni par informācijas un tehnisko resursu aizsardzības nepieciešamību, kā arī noteikt atbildību par darbinieku pienākumiem šajā jomā.
3.5. Informācijas un tehnisko resursu īpašnieki minētos pienākumus var uzdot informācijas un tehnisko resursu aizbildņiem.
4. INFORMĀCIJAS KLASIFICĒŠANA
4.1. Informācijas klasificēšanas mērķis ir novērtēt visas bankas informācijas nozīmību un nodrošināt katras informācijas grupas aizsardzību atbilstoši tās klasifikācijas līmenim. Banka var izmantot savu iekšējo informācijas klasifikācijas shēmu, tač4.2. u shēmā jābūt vismaz č4.3. etriem līmeņiem, no kuriem divi atspoguļo iedalījumu pēc konfidencialitātes pakāpes un divi - pēc vērtības.
4.4. Informācijas klasifikācija attiecas uz visu informāciju neatkarīgi no informācijas nesēja (papīrs, mikrofilmas, videokasetes, magnētiskās lentes, kasetes, kompaktdiski, datoru cietie diski, disketes vai citi informācijas nesēji).
4.5. Bankā jāveic informācijas klasificēšana pēc informācijas konfidencialitātes pakāpes.
4.6. Bankā jāveic informācijas klasificēšana pēc informācijas vērtības.
5. KLASIFICĒTAS INFORMĀCIJAS AIZSARDZĪBA
5.1. Dokumentiem, kas satur slepenu vai konfidenciālu informāciju, katrā lappusē jābūt attiecīgai atzīmei, piem., "Bankas iekšējā klasifikācija: Slepena".
5.2. Uz pārvietojamiem informācijas nesējiem, kuros klasificētā informācija glabājas elektroniskā veidā, piem., disketēm, ir jābūt attiecīgai norādei, piem., "Bankas iekšējā klasifikācija: Slepena" vai "Bankas iekšējā klasifikācija: Vidēja riska".
5.3. Slepenas informācijas aizsardzība
5.3.1. Slepenai informācijai, kas glabājas personālajā datorā, neatkarīgi no tā, vai tas ir pievienots datortīklam vai portatīvs, ir jābūt šifrētai un nodrošinātai ar stipru loģisko un fizisko aizsardzību.
5.3.2. Serveriem, kas satur slepenu informāciju, ir jāatrodas vidē, kura ir nodrošināta ar ļoti stipru loģisko un fizisko aizsardzību.
5.3.3. Slepenai informācijai, kura tiek sūtīta pa globālo tīklu, ir jābūt šifrētai. Izņēmums ir privāts tīkls, kas ir pietiekami drošs un ir pilnībā bankas rīcībā.
5.3.4. IS funkcijām, kuru izmantošana ļauj piekļūt slepenai informācijai pa globālo tīklu, jābūt aizsargātām ne tikai ar lietotāja individuālo paroli; kontrolei jābūt stingrākai (sk. 8., 9., 12. punktu).
5.3.5. Aizliegts sūtīt slepeno informāciju pa faksu bez papildu aizsardzības. Faksa aparātam jānodrošina fiziskā aizsardzība.
5.4. Konfidenciālas informācijas aizsardzība
5.4.1. Konfidenciāla informācija, kas glabājas personālajā datorā, neatkarīgi no tā, vai tas ir pievienots datortīklam vai portatīvs, ir jāaizsargā vienā no šādiem veidiem:
5.4.1.1. jānodrošina ar stipru loģisko un fizisko aizsardzību;
5.4.1.2. jāšifrē un jānodrošina ar stipru loģisko aizsardzību.
5.4.2. Serveriem, kas satur konfidenciālu informāciju, ir jāatrodas vidē, kura ir nodrošināta ar stipru loģisko un fizisko aizsardzību.
5.4.3. Konfidenciālai informācijai, kura tiek sūtīta pa globālo tīklu, jābūt šifrētai. Izņēmums ir privāts tīkls, kas ir pietiekami drošs un ir pilnībā bankas rīcībā.
5.4.4. IS funkcijām, kuru izmantošana ļauj sūtīt konfidenciālu informāciju pa globālo tīklu, jābūt aizsargātām ne tikai ar lietotāja individuālo paroli; kontrolei jābūt stingrākai (sk. 8., 9., 12. punktu).
5.4.5. Ja nepieciešams sūtīt konfidenciālu informāciju pa faksu, tad tas ir jāsaskaņo ar saņēmēju tieši pirms sūtīšanas. Lai nodrošinātu faksu nosūtīšanu un saņemšanu, jālieto administratīvas kontroles metodes.
5.5. Augsta riska informācijas aizsardzība
5.5.1. Augsta riska informācijai, kas glabājas personālajā datorā, neatkarīgi no tā, vai tas ir pievienots datortīklam vai portatīvs, ir jābūt šifrētai un nodrošinātai ar stipru loģisko un fizisko aizsardzību.
5.5.2. Serveriem, kas satur augsta riska informāciju, ir jāatrodas vidē, kura ir nodrošināta ar ļoti stipru loģisko un fizisko aizsardzību.
5.5.3. Pa globālo tīklu sūtītas augsta riska informācijas integritāte ir jānodrošina, izmantojot kriptogrāfijas tehnoloģiju vai citu līdzvērtīgu metodi. Izņēmums ir privāts tīkls, kas ir pietiekami drošs un ir pilnībā bankas rīcībā.
5.5.4. IS funkcijām, kuru izmantošana ļauj sūtīt augsta riska informāciju pa globālo tīklu, ir jābūt aizsargātām ne tikai ar lietotāja individuālo paroli; kontrolei jābūt stingrākai (sk. 8., 9., 12. punktu).
5.5.5. Aizliegts sūtīt augsta riska informāciju pa faksu bez papildu aizsardzības. Faksa aparātam jānodrošina fiziskā aizsardzība.
5.6. Vidēja riska informācijas aizsardzība
5.6.1. Vidēja riska informācija, kas glabājas personālajā datorā, neatkarīgi no tā, vai tas ir pievienots datortīklam vai portatīvs, ir jāaizsargā vienā no šādiem veidiem:
5.6.1.1. jānodrošina ar stipru loģisko un fizisko aizsardzību;
5.6.1.2. jāšifrē un jānodrošina ar stipru loģisko aizsardzību.
5.6.2. Serveriem, kas satur vidēja riska informāciju, ir jāatrodas vidē, kas ir nodrošināta ar stipru loģisko un fizisko aizsardzību.
5.6.3. Pa globālo tīklu sūtītas vidēja riska informācijas integritāte ir jānodrošina, izmantojot kriptogrāfijas tehnoloģiju vai citu līdzvērtīgu metodi. Izņēmums ir privāts tīkls, kas ir pietiekami drošs un ir pilnībā bankas rīcībā.
5.6.4. IS funkcijām, kuru izmantošana ļauj sūtīt vidēja riska informāciju pa globālo tīklu, ir jābūt aizsargātām ne tikai ar lietotāja individuālo paroli; kontrolei jābūt stingrākai (sk. 8., 9., 12. punktu).
5.6.5. Ja nepieciešams sūtīt vidēja riska informāciju pa faksu, tad tas ir jāsaskaņo ar saņēmēju tieši pirms sūtīšanas. Lai nodrošinātu faksu nosūtīšanu un saņemšanu, jālieto administratīvas kontroles metodes.
5.7. Klasificētas informācijas lietošana
5.7.1. Bankā jāizstrādā klasificētas informācijas lietošanas noteikumi, kuros jāietver vismaz šādi ierobežojumi:
5.7.1.1. slepenu un konfidenciālu informāciju nedrīkst izpaust ārpus bankas bez informācijas īpašnieka atļaujas;
5.7.1.2. informācijas nesējus ar slepenu, konfidenciālu, augsta vai vidēja riska informāciju aizliegts iznest no bankas bez informācijas īpašnieka atļaujas;
5.7.1.3. informācijas nesējus ar slepenu, konfidenciālu, augsta vai vidēja riska informāciju aizliegts atstāt nedrošās vietās, piem., viesnīcas istabā, automašīnas salonā vai bagāžas nodalījumā;
5.7.1.4. dokumentus, kas satur slepenu vai konfidenciālu informāciju, aizliegts lasīt publiskās vietās.
6. RISKA ANALĪZE
6.1. Jāveic visu ar bankas informācijas un tehnisko resursu izmantošanu saistīto risku analīze. Tās mērķis ir atrast un uzskaitīt tos riska faktorus, kuri apdraud informācijas pieejamību, integritāti un konfidencialitāti. Saskaņā ar riska analīzes rezultātiem jāizvēlas un jāveic attiecīgas darbības riska novēršanai.
6.2. Veicot riska analīzi, nepieciešams:
6.2.1. noteikt riskam pakļautos bankas darbības procesus un informāciju, kā arī informācijas īpašniekus;
6.2.2. klasificēt bankas darbības procesus pēc pieejamības vajadzībām;
6.2.3. klasificēt informāciju, kuru izmanto bankas darbības procesos, pēc konfidencialitātes pakāpes un vērtības;
6.2.4. noteikt iespējamos draudus informācijai un bankas darbības procesiem;
6.2.5. analizēt draudu īstenošanās iespējamību;
6.2.6. analizēt iespējamās draudu īstenošanās tiešās un netiešās sekas;
6.2.7. noteikt draudus, pret kuriem ir jāveic aizsardzība to novēršanai;
6.2.8. noteikt draudu novēršanas pasākumus;
6.2.9. novērtēt, vai atlikušais risks ir pieņemams informācijas un/vai tehnisko resursu īpašniekam;
6.2.10. veikt draudu novēršanas pasākumus;
6.2.11. pēc noteikta laika novērtēt veikto pasākumu lietderību.
6.3. Informācijas un tehnisko resursu īpašnieks ir atbildīgs par riska analīzes veikšanu viņam piederošajiem resursiem.
6.4. Riska analīze ir jāveic katram jaunam ar informācijas tehnoloģiju saistītam projektam.
6.5. Riska analīze jāveic esošajām IS, kurām tā nav veikta.
7. PERSONĀLS
7.1. Bankā jābūt izstrādātām procedūrām, kas nosaka:
7.1.1. kārtību jaunu darbinieku apmācībai IS drošības jomā. Tajā jāietver, piem., iepazīstināšana ar darbinieka pienākumiem, atbildību, IS drošības politiku, datora lietošanas noteikumiem;
7.1.2. to darbinieku kontroles metodes, kuriem ir pieeja slepenas, konfidenciālas, augsta un vidēja riska informācijas apstrādei.
7.2. Bankā jābūt izstrādātām darba procedūrām, kas nosaka katras ar IS saistītās funkcijas izpildes kārtību.
7.3. Bankā jābūt izstrādātam IS personāla pienākumu sarakstam.
7.4. Bankas IS personāla atbildībai ir jābūt rakstiski noteiktai.
7.5. Bankā jābūt darbiniekiem, kas:
7.5.1. veic IS drošības funkciju;
7.5.2. veic IS audita funkciju;
7.5.3. veic IS kvalitātes kontroles funkciju;
7.5.4. nodrošina kompetentu darbinieku rezervi jebkuras funkcijas veikšanai.
8. INFORMĀCIJAS UN TEHNISKO RESURSU
FIZISKĀ AIZSARDZĪBA
8.1. Bankas svarīgāko tehnisko resursu telpas
8.1.1. Bankai jāiekārto viena vai vairākas speciālas telpas, kurās atrodas bankas svarīgāko datu apstrādes un glabāšanas galvenie resursi, piem., datu bāzu serveri, failu serveri, komunikāciju līdzekļi u.c.
8.1.2. Bankā jāizstrādā procedūra, kas nosaka piekļūšanas kārtību telpām, kurās atrodas bankas svarīgāko datu apstrādes un glabāšanas galvenie resursi.
8.1.3. Minētās telpas ir jānodrošina ar stipru fizisko aizsardzību, lai tajās varētu iekļūt tikai pilnvarotas personas.
8.2. Komunikāciju tīklu, serveru un personālo datoru aizsardzība
8.2.1. Multipleksoriem, maršrutētājiem, komutatoriem, datortīklu serveriem u.c. svarīgākajiem komunikāciju līdzekļiem ir jābūt nodrošinātiem ar stipru fizisko aizsardzību.
8.2.2. Svarīgākie tehniskie resursi ir jānodrošina ar elektriskās strāvas nepārtrauktas padeves iekārtām.
8.2.3. Serveriem, kuri neatrodas speciālā telpā un satur klasificētu informāciju un pie kuriem var piekļūt bankas darbinieki, ir jābūt fiziski aizsargātiem, lai tos nevarētu pārvietot, noņemt metāla apvalku, nesankcionēti pie tiem pieslēgties vai nesankcionēti lietot diskešu lasīšanas iekārtas.
8.2.4. Datoriem, ar kuriem veic elektroniskā talona un personas identifikācijas numura (tālāk tekstā - PIN) sagatavošanu klientam, ir jābūt nodrošinātiem ar stipru fizisko aizsardzību. Tiem jāatrodas atsevišķā telpā un jābūt pieejamiem tikai šo funkciju veikt pilnvarotiem darbiniekiem.
8.3. Informācijas nesēju glabāšana un iznīcināšana
8.3.1. Bankā jāizstrādā klasificēto informāciju saturošo informācijas nesēju iznešanas, glabāšanas un iznīcināšanas noteikumi. Tajos jāietver vismaz šādi norādījumi:
8.3.1.1. aizliegums, beidzot darbu, dokumentus un visus citus klasificētas informācijas nesējus atstāt atklātā vietā;
8.3.1.2. kādu informāciju nedrīkst iznest no bankas bez informācijas īpašnieka atļaujas;
8.3.1.3. kā jāglabā klasificētas informācijas nesēji, nodrošinot tos ar stipru fizisko aizsardzību;
8.3.1.4. kā jāglabā ar naudas operācijām saistītie informācijas nesēji (neaizpildīti bankas čeki, klientiem neizsniegtas kredītkartes un debetkartes u.c.), nodrošinot tos ar īpaši stipru fizisko aizsardzību.
8.3.2. Dokumenti un citi informācijas nesēji, kas satur slepenu vai konfidenciālu informāciju, pēc izņemšanas no aprites neatgriezeniski jāiznīcina bankā noteiktajā kārtībā.
8.3.3. Ja banka atbrīvojas no nevajadzīgiem tehniskajiem resursiem, ir jāpārliecinās, vai tajos ir iznīcināta bankas informācija.
9. INFORMĀCIJAS UN TEHNISKO RESURSU
LOĢISKĀ AIZSARDZĪBA DAŽĀDĀS VIDĒS
9.1. Personālie datori un portatīvie datori
9.1.1. Bankā jānosaka atbildīgais par katra bankas personālā datora lietošanu (parasti datora lietotājs, bet, ja to lieto vairāki darbinieki, - struktūrvienības vai grupas vadītājs).
9.1.2. Informācijas īpašnieks, kas ne vienmēr ir datora lietotājs, ir atbildīgs par to datu rezerves kopiju sagatavošanu un glabāšanu, kuri atrodas personālajā datorā vai tam pievienotajos informācijas nesējos, piem., cietajā vai optiskajā diskā.
9.1.3. Personālais dators ir sistemātiski jāpārrauga, lai konstatētu neautorizētas konfigurācijas vai nelicencētas programmatūras uzstādīšanu. Bankā ir jānosaka atbildīgais par šo pasākumu veikšanu.
9.1.4. Visos personālajos datoros, kas satur klasificētu informāciju, jālieto loģiskās pieejas vadības programmatūra ( logical access control software ), kas ļauj piešķirt, anulēt lietotāja tiesības un pārraudzīt piekļūšanu datora resursiem.
9.1.5. Tīklam pievienotos datoros jālieto tīkla loģiskās pieejas vadības programmatūra (parasti tīkla operētājsistēma), kas ļauj piešķirt, anulēt lietotāja tiesības un pārraudzīt piekļūšanu datora resursiem.
9.1.6. Visos personālajos datoros ir jālieto ieslēgšanas parole ( power-on password ). Izņēmums ir datori, kas nesatur klasificētu informāciju.
9.1.7. Ja personālo datoru atstāj ieslēgtu uz neilgu laiku, jālieto ekrānsaudzētājs ar paroli vai arī darbiniekam jāatsakās ( logoff ) no visām IS. Izņēmums ir datori, kas nesatur klasificētu informāciju un kas nav pievienoti datortīklam.
9.1.8. Parolēm, kas atrodas personālā datora cietajā diskā, ir jābūt šifrētām (piem., ar vienvirziena algoritmu).
9.1.9. Maksimāli jāierobežo lietotāja piekļūšana operētājsistēmas komandām.
9.1.10. Slepenai informācijai personālajā datorā jābūt šifrētai.
9.1.11. Konfidenciālai informācijai personālajā datorā jābūt šifrētai vai arī personālajam datoram jāatrodas vidē ar stipru fizisko aizsardzību.
9.1.12. Ja personālo datoru administrators ir atbildīgs par pieejas vadības programmatūru vairākiem datoriem, viņam jāaizsargā sava administratoru identificējošā parole.
9.1.13. Bankas IS drošības politikā jānosaka:
9.1.13.1. vai banka atļauj lietot darbam darbinieku personiskos datorus;
9.1.13.2. vai darbinieks drīkst izmantot bankas datoru (ja tas atrodas darbinieka mājās) personiskajām vajadzībām;
9.1.13.3. riska analīzes nepieciešamība portatīvo un mājās lietoto personālo datoru izmantošanai.
9.1.14. Bankā jāizstrādā bankai piederošo un mājās lietojamo personālo datoru izmantošanas noteikumi, kuros jānosaka, ka jāievēro vīrusu kontroles noteikumi (sk. 12.8. punktu), pārmaiņu pārvaldības noteikumi (sk. 12.7. punktu) un noteikumi par pieslēgšanos bankas IS, izmantojot globālos tīklus (sk. 9.3. punktu).
9.2. Lokālie datortīkli
9.2.1. Datortīkla administratora darba vietai jābūt speciāli nodalītai un nodrošinātai ar loģisko aizsardzību.
9.2.2. Datortīkla administratoram jāaizsargā savs lietotāja kods un parole.
9.2.3. Datortīkla administratoram jāveic šādi pienākumi:
9.2.3.1. datortīkla lietotāju pārvaldība (lietotāja kodu reģistrācija, dzēšana, tiesību piešķiršana pēc informācijas resursu īpašnieka norādījumiem);
9.2.3.2. jānovērš iespējas nesankcionēti pieslēgt tīklam svešu aparatūru (citi datortīkli, komunikāciju ierīces, piem., adapteri vai modemi);
9.2.3.3. jāuzrauga lokālais datortīkls, jāreģistrē pārkāpumi (nesankcionēti pieslēgšanās mēģinājumi, tiesību pārkāpšanas mēģinājumi) un jāziņo par tiem saskaņā ar bankas izstrādātajām procedūrām;
9.2.3.4. jāizstrādā un jāuztur datortīkla shēma, kurā parādīta visa datortīklā savienotā aparatūra un tās atrašanās vieta;
9.2.3.5. jāuztur datortīkla programmatūra un jāveic tās versiju pārraudzība;
9.2.3.6. jāierobežo datortīkla lietotāju tiesības piekļūt operētājsistēmas programmatūrai, operētājsistēmas komandām, datortīkla analizēšanas programmu, piem., LANA lyzer , lietošanai.
9.2.4. Par katru lokālo datortīklu jābūt atbildīgajam, kurš nodarbojas ar datortīkla drošības jautājumiem. Atbildīgais var būt datortīkla administrators, bankas IS drošības administrators vai vairāku lokālo datortīklu drošības administrators.
9.3. Globālo tīklu vide
9.3.1. Jānodrošina bankai piederošās tīkla aparatūras loģiskā un fiziskā aizsardzība.
9.3.2. Ja nomātos privātos vai publiskos tīklos daļa no tīkla aparatūras ir bankas uzraudzībā, jānodrošina šīs tīkla aparatūras loģiskā un fiziskā aizsardzība.
9.3.3. Jānomaina bankai piederošās tīkla aparatūras noklusētās paroles pirms aparatūras uzstādīšanas tīklā.
9.3.4. Ja banka izmanto nomātus privātos un/vai publiskos tīklus, jāveic ar šo tīklu izmantošanu saistīto risku analīze un pēc tam jāveic attiecīgi risku samazināšanas pasākumi.
9.3.5. Nomātos privātos un publiskos tīklos (piem., Internet ) jāaizsargā klasificētas informācijas konfidencialitāte un integritāte. Slepena informācija ir jāšifrē, augsta riska informācijas sūtīšanā jālieto kriptogrāfiskie autentiskuma noteikšanas paņēmieni vai līdzvērtīga aizsardzības metode.
9.3.6. Bankas datortīklā līdz minimumam jāsamazina iespējamās pieslēgšanās vietas no loģiski attālas ( remote access ) vietas (piem., portatīvā datora, izmantojot modemu un tālruņa līniju vai Internet tīklu), kā arī bankas datortīkla un publisko tīklu pastāvīgo savienojumu fiziskie punkti.
9.3.7. Informācijas un tehnisko resursu īpašniekam ir jādod atļauja gan pieslēgumam no ārpuses, gan pastāvīgam savienojumam.
9.3.8. Jāveic pieslēgumu un tīklu savienošanas projektu riska analīze.
9.3.9. Jāseko informācijai par aparatūras un programmatūras jauninājumiem ( patches, fixes ), lai novērstu citur atklātos un publicētos IS drošības trūkumus.
9.4. Savienojumi ar ārējiem un publiskiem tīkliem
9.4.1. Nepastāvīgo savienojumu (piem., iezvanpieejas savienojumu) aizsardzības noteikumi
9.4.1.1. Ne retāk kā reizi trijos mēnešos jāpārbauda visu ārējo savienojumu eksistence un jāpārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst bankas darbības vajadzībām.
9.4.1.2. Savienojumi ar IS, kurās informācija nav klasificēta un kuras nav savienotas ar bankas datortīklu, var pieļaut lietotāju autentiskuma noteikšanu ar paroli.
9.4.1.3. Pieslēgšanās bankas datortīklam no loģiski attālas vietas ir jāaizsargā, lietojot kriptogrāfijas tehnoloģiju (ieteicams izmantot elektronisko talonu) kopā ar lietotāja paroli tā, lai droši noteiktu lietotāja autentiskumu.
9.4.1.4. Ja, pieslēdzoties no loģiski attālas vietas, ir pieejama slepena vai augsta riska informācija, tad lietotāja autentiskums ir jāpārbauda, lietojot kriptogrāfijas tehnoloģiju, brīdī, kad tiek veiktas darbības ar šo informāciju (ieteicams izmantot elektronisko talonu).
9.4.1.5. Bankā jāizstrādā procedūra, kas nosaka tūlītējas lietotāja elektroniskā talona derīguma atcelšanas kārtību, ja lietotājs paziņo, ka elektroniskais talons ir pazaudēts vai nozagts.
9.4.1.6. Bankas IS, kura pieļauj pieslēgšanos no loģiski attālas vietas, jābūt nodrošinātai ar stipru loģisko un fizisko aizsardzību.
9.4.1.7. IS ir jāglabā auditācijas pieraksti par visiem veiksmīgajiem un neveiksmīgajiem pieslēgšanās mēģinājumiem.
9.4.2. Pastāvīgo savienojumu aizsardzības noteikumi
9.4.2.1. Tīklu savienošanu drīkst veikt, ievērojot bankas pārmaiņu pārvaldības noteikumus.
9.4.2.2. Tīklu savienojuma mezgls ir jānodrošina ar stipru fizisko aizsardzību.
9.4.2.3. Visi bankas datortīkla un publisko tīklu savienojumi jāaizsargā ar ugunsmūri, un visai informācijai, ko sūta starp tīkliem, ir jāplūst caur to. Izņēmums ir tīkls, kas nesatur klasificētu informāciju un kas ir fiziski atdalīts no bankas datortīkla.
9.4.2.4. Ugunsmūrī ietilpstošie datori jāizmanto tikai un vienīgi ugunsmūra funkcijas veikšanai.
9.4.2.5. Ugunsmūrim ir jābūt nodrošinātam ar stipru loģisko un fizisko aizsardzību (sk. 12. punktu).
9.4.2.6. Caur ugunsmūri saņemtajai informācijai un pa elektronisko pastu sūtītajiem piesaistītajiem ( attached ) failiem jāveic vīrusu pārbaude.
9.4.2.7. Jānodrošina, lai no bankas WWW (World Wide Web) servera nebūtu iespējams nesankcionēti piekļūt bankas datortīklam.
9.4.2.8. Jānodrošina WWW servera loģiskā un fiziskā aizsardzība.
9.4.2.9. Jāveic ar Internet izmantošanu saistīto risku analīze.
9.4.2.10. WWW lietojumprogramma ir jāveido tā, lai netiktu izpausta bankas klasificētā informācija.
9.4.2.11. Ja pa Internet saņem slepenus vai konfidenciālus klienta datus, jāveic pasākumi, lai pie tiem nevarētu piekļūt citi klienti, kā arī bankas darbinieki, kuriem nav attiecīgu pilnvaru.
9.4.2.12. Ja banka piedāvā klientam pakalpojumus, izmantojot publiskos tīklus, tad bankai jānodrošina klienta datu integritāte un konfidencialitāte.
9.4.2.13. Uzsākot sesiju bankas datortīklā (caur publisko tīklu), lietotāja autentiskums jāpārbauda, lietojot kriptogrāfijas tehnoloģiju.
9.4.2.14. Ja bankas datortīklā ir pieejama slepena un/vai augsta riska informācija, tad lietotāja autentiskums ir jāpārbauda, lietojot kriptogrāfijas tehnoloģiju, brīdī, kad tiek veiktas darbības ar šo informāciju (ieteicams izmantot elektronisko talonu).
9.4.2.15. Bankā jāizstrādā procedūra, kas nosaka tūlītējas lietotāja elektroniskā talona derīguma atcelšanas kārtību, ja lietotājs paziņo, ka elektroniskais talons ir pazaudēts vai nozagts.
9.5. Tālruņu tīkli
9.5.1. Bankas darbiniekiem jābūt skaidri zināmai atbildībai un ierobežojumiem, izmantojot tālruņus.
9.5.2. Bankai ir jānodrošina no publiskā operatora (piem., SIA "Lattelekom") ienākošo kabeļu pilnīga kontrole savas iestādes robežās, kur tā ir jānodrošina ar labu fizisko aizsardzību.
9.5.3. Tālruņu tīkla komutācijas skapji ir jānodrošina pret nesankcionētu piekļūšanu.
9.5.4. Tālruņu tīkla komutatoru PBX ( Private Branch Exchange ) telpa ir jānodrošina ar labu fizisko aizsardzību. Šāda aparatūra drīkst būt pieejama tikai pilnvarotiem darbiniekiem.
9.5.5. Visiem tālruņa izsaukumiem (gan savienojumiem ar publisko tīklu tieši, gan caur vietējo centrāli) jābūt iekļautiem auditācijas pierakstos.
9.5.6. Bankā jāizstrādā balss pasta, mobilo tālruņu lietošanas un glabāšanas un informācijas aizsargāšanas noteikumi. Tajos jāietver vismaz šādi norādījumi:
9.5.6.1. aizliegums izpaust citiem lietotājiem savus balss pasta sistēmas lietotāja kodus un paroles;
9.5.6.2. ka jāizmanto auditācijas pieraksti un speciālas to analīzes programmas, lai būtu iespējams regulāri pārbaudīt balss pasta sistēmas izmantošanu;
9.5.6.3. kā mobilie tālruņi jāglabā, lai tos nevarētu nozagt vai nesankcionēti lietot.
9.5.7. Bankā jāizstrādā faksa aparātu izmantošanas noteikumi, kuros jāietver vismaz šādi norādījumi:
9.5.7.1. aizliegums izmantot faksu slepenas vai augsta riska informācijas sūtīšanai, sevišķi maksājuma uzdevumu sūtīšanai, bet, ja īpašos gadījumos tas jādara, tad jāievēro šādi noteikumi:
9.5.7.1.1. slepena informācija ir jāšifrē,
9.5.7.1.2. augsta riska informācijas sūtīšanā jāizmanto kriptogrāfijas tehnoloģija;
9.5.7.2. faksa aparāts ir jāuzstāda tā, lai uz sūtītajiem dokumentiem būtu redzams sūtītāja tālruņa numurs un identifikators;
9.5.7.3. jānosaka, kādi faksa dokumenti ir jākopē glabāšanai.
9.6. IS izstrāde
9.6.1. Bankā jābūt IS izstrādāšanas procesa aprakstam, kas nosaka kvalitatīvas, bankas darbības vajadzībām atbilstošas IS izstrādāšanas kārtību un kvalitātes prasības.
9.6.2. Pirms jaunas IS ieviešanas lietošanas vidē ir jāsaņem to informācijas un tehnisko resursu īpašnieku atļauja, kuru informācijas un/vai tehniskie resursi tiks skarti, lietojot jauno IS.
9.6.3. Pirms ieviešanas ir jāveic katras jaunas IS riska analīze.
9.6.4. Kad izstrādātā IS tiek ieviesta, ir jāievēro pārmaiņu pārvaldības noteikumi (sk. 12.7. punktu) un pārmaiņas jāatspoguļo auditācijas pierakstos.
9.6.5. Katrai esošai IS ir jābūt labi dokumentētai.
9.6.6. Katrai jaunai IS, ko izstrādā vai/un ievieš, jābūt labi dokumentētai. Dokumentācijā jāiekļauj šādas sastāvdaļas:
9.6.6.1. programmu vai IS shēmas;
9.6.6.2. atsevišķu programmu dokumentācija;
9.6.6.3. datubāzes datu vārdnīca;
9.6.6.4. datu plūsmas shēmas;
9.6.6.5. IS administratora instrukcijas;
9.6.6.6. lietotāju instrukcijas;
9.6.6.7. IS instalācijas apraksts.
9.6.7. Ja IS dokumentācijā ietverta tehniska rakstura klasificēta informācija, tad IS dokumentācija jāglabā saskaņā ar klasificētas informācijas nesēju glabāšanas noteikumiem.
9.6.8. IS dokumentācijas rezerves kopijas jāglabā drošā vietā (piem., ugunsdrošā seifā citā bankas ēkā), lai nepieciešamības gadījumā tās varētu kalpot bankas darbības atjaunošanai.
9.6.9. IS izstrādāšanas videi jābūt pilnīgi atdalītai no lietošanas vides:
9.6.9.1. jānodala reālie bankas darbības dati no testēšanas datiem;
9.6.9.2. jānodala loģiskās pieejas kontroles;
9.6.9.3. fiziski jānodala izstrādāšanas un lietošanas vide (telpas).
9.6.10. Bankā jāizstrādā IS izstrādes, ieviešanas, pieņemšanas, pārmaiņu pārvaldības un versiju uzraudzības noteikumi.
9.6.11. Visas pārmaiņas pirms to veikšanas jāsankcionē informācijas īpašniekam.
9.6.12. Programmu pirmkodiem un objektkodiem ir jābūt nodrošinātiem pret nesankcionētu piekļūšanu un lietošanu.
9.6.13. Izstrādātājs nedrīkst piekļūt programmu pirmkodiem, kas nodoti ieviešanai.
9.6.14. Jābūt no izstrādātāja neatkarīgai kvalitātes kontroles funkcijai, kuru izmanto, lai pārbaudītu IS kvalitāti, pirms IS tiek ieviesta lietošanas vidē.
9.6.15. IS ekspluatācijas gaitā izstrādātājam nedrīkst būt tiesības veikt pārmaiņas IS lietošanas vidē. IS izstrādātājam tā jānodod uzturēšanas vai ieviešanas funkcijas izpildītājam, kas kompilē IS un, pēc kvalitātes kontroles saņemot atļauju, to ievieš.
9.6.16. Kad IS tiek uzstādīta lietošanas vidē, tajā nedrīkst būt saglabājušies testētāju lietotāja kodi vai testēšanas datu faili.
10. REZERVES KOPIJU VEIDOŠANA
10.1. Informācijas īpašnieks ir atbildīgs par viņam piederošās informācijas un programmatūras rezerves kopiju veidošanu; viņš nosaka informācijas kopēšanas biežumu.
10.2. Bankā jāizstrādā rezerves kopiju veidošanas procedūra. Tajā jānosaka:
10.2.1. kas un cik regulāri jākopē (vai jākopē tikai iepriekšējās dienas, nedēļas vai mēneša informācija utt.);
10.2.2. kur un cik ilgi kopijas jāglabā;
10.2.3. ka jāievēro informācijas nesēju rotācijas princips - jālieto vairāki informācijas nesēji un jāseko, lai viena un tā pati informācija vienmēr netiktu kopēta uz viena un tā paša ārējā informācijas nesēja;
10.2.4. ka viens rezerves kopiju komplekts jāglabā citā ēkā;
10.2.5. ka jāievēro informācijas nesēju glabāšanas noteikumi (sk. 8.3. punktu).
10.3. Regulāri ir jāpārbauda, vai no rezerves kopijām iespējams atjaunot datus un IS. Šādu praktisku pārbaudi nedrīkst veikt IS lietošanas vidē.
11. ATTIECĪBAS AR
INFORMĀCIJAS TEHNOLOĢIJU PIEGĀDĀTĀJIEM
11.1. Šajā punktā minētie noteikumi attiecas uz gadījumiem, kad banka sadarbojas ar citām organizācijām - informācijas tehnoloģiju piegādātājām:
11.1.1. cita organizācija apkalpo bankas IS, t.i., bankas operācijas tiek veiktas ar citas organizācijas datortehniku, kas atrodas šīs organizācijas telpās, un to veic šīs organizācijas darbinieki;
11.1.2. citas organizācijas darbinieki uztur bankas IS, bet IS pieder bankai un atrodas tās telpās;
11.1.3. citas organizācijas darbinieki pēc bankas pasūtījuma izstrādā jaunu IS;
11.1.4. banka no citas organizācijas nopērk gatavu programmatūru.
11.2. Informācijas tehnoloģiju iegāde
11.2.1. Līgumā, ko banka slēdz ar citu organizāciju:
11.2.1.1. skaidri jāformulē citas organizācijas atbildība drošības jomā;
11.2.1.2. jānosaka darbības un atbildība gadījumos, kad notiek drošības pārkāpums;
11.2.1.3. jānosaka, ka bankas informāciju, kuru atklāj darbības gaitā, nedrīkst izpaust;
11.2.1.4. jānosaka, ka bankai ir tiesības pārbaudīt citas organizācijas aparatūru pirms tās aizvešanas, ja šāda aparatūra bankas ēkā izmantota līguma izpildīšanai;
11.2.1.5. jānosaka, ka noteikumi, kas saistīti ar vispārējās loģiskās aizsardzības metodēm, attiecas arī uz citas organizācijas pārstāvjiem, kuri saņem lietotāja kodus, lai izmantotu bankas IS;
11.2.1.6. jānosaka, ka jaunas IS ieviešanas laikā vai jau esošas IS mainīšanas procesa laikā citai organizācijai ir jāievēro bankas pārmaiņu pārvaldības noteikumi (sk. 12.7. punktu);
11.2.1.7. jānosaka, ka citai organizācijai ir jāievēro bankas vīrusu kontroles noteikumi (sk. 12.8. punktu).
11.2.2. Ja citas organizācijas darbinieki bankā saņem lietotāja kodus, lai izmantotu bankas IS, lietotāja kodiem jānosaka derīguma termiņš. Šis laiks ir atkarīgs no līguma termiņa.
11.2.3. Piekļūšana bankas iekšējai informācijai jāatļauj tādā apjomā, lai būtu pieejams darba veikšanai nepieciešamais informācijas minimums. Pieejas tiesības drīkst piešķirt pēc pareizi noformēta pieejas tiesību pieprasījuma.
11.2.4. Cita organizācija nedrīkst pārvaldīt bankas kriptogrāfiskās atslēgas.
11.3. Gatavas programmatūras iegāde
11.3.1. Jaunā programmatūra nedrīkst samazināt bankas esošās vai plānotās drošības kontroles.
11.3.2. Programmatūra, kurai ir saskare ar bankā esošo drošības kontroli, ir jātestē pirms ieviešanas reālā lietošanas vidē.
11.3.3. Jaunā programmatūra jāievieš saskaņā ar pārmaiņu pārvaldības noteikumiem (sk. 12.7. punktu).
11.3.4. Jaunā programmatūra jāievieš saskaņā ar vīrusu kontroles noteikumiem (sk. 12.8. punktu).
11.3.5. Kad jaunā programmatūra tiek uzstādīta bankā, ir jāmaina vai jāizdzēš visi jaunajā programmatūrā esošie noklusētie lietotāja kodi un paroles (nedrīkst izdzēst noklusētos lietotāja kodus, pirms ir ievadīti savējie).
12. VISPĀRĒJĀS LOĢISKĀS AIZSARDZĪBAS METODES
12.1. Bankā jāizstrādā IS lietotāju reģistrācijas, pilnvarošanas un tiesību anulēšanas procedūras.
12.2. Ja IS satur klasificētu informāciju vai informācijas resursi atrodas bankas datortīklā, jānodrošina, lai lietotāja identificēšanai tiktu izmantots individuāls lietotāja kods.
12.3. Loģiskās pieejas vadība
12.3.1. Lietotāja identifikācija
12.3.1.1. Katram lietotājam katrai IS ir jābūt individuālam unikālam lietotāja kodam. Lietotājs ir atbildīgs par darbībām, kuras IS veiktas ar viņa lietotāja kodu.
12.3.1.2. IS administrators nedrīkst lietot savu administratora kodu, ja viņš IS veic darbu kā parasts lietotājs.
12.3.1.3. Lai reģistrētu jaunu lietotāju, IS administratoram ir jāsaņem rakstiska atļauja no informācijas resursu īpašnieka. IS administratoram ir jāpārliecinās par saņemtā pieprasījuma autentiskumu.
12.3.1.4. Informācijas resursu īpašniekam kopā ar tehnisko resursu īpašnieku jānosaka, kuri informācijas un tehniskie resursi lietotājam ir nepieciešami.
12.3.1.5. IS administratoram jāglabā šāda informācija:
12.3.1.5.1. lietotāja kods;
12.3.1.5.2. lietotāja vārds, uzvārds;
12.3.1.5.3. lietotāja tiesības;
12.3.1.5.4. lietotāja darba vieta un tālruņa numurs;
12.3.1.5.5. informācijas resursu īpašnieka pieprasījums.
12.3.1.6. IS administratoram regulāri jāpārbauda, vai lietotāja kodi, kas uzstādīti IS, atbilst pašreizējām vajadzībām, piem., vai IS nav saglabājušies to lietotāju kodi, kuri vairs nelieto IS vai kuri vairs nestrādā bankā.
12.3.1.7. IS administratoram ir regulāri jāpārbauda, vai lietotāja tiesības atbilst tām, ko pieprasījis informācijas resursu īpašnieks.
12.3.1.8. Lai mainītu lietotāja tiesības vai reģistrētu lietotāju citā IS, ir jāsaņem rakstiska atļauja no informācijas resursu īpašnieka.
12.3.1.9. Bankā jāizstrādā procedūra, kas nosaka, kādā veidā ziņu par to, ka lietotājs vairs nestrādā bankā, saņem visi IS administratori.
12.3.1.10. Bankai, saņemot jaunu aparatūru un sistēmas, nekavējoties jānomaina noklusētās administratoru paroles.
12.3.1.11. Katrs administratora kods jākontrolē tikai vienai personai. Izņēmums var būt galvenā administratora kods.
12.3.1.12. Galvenā administratora kods kopā ar paroli (to kopijas) ir jāglabā drošā vietā, piem., aizzīmogotā aploksnē ugunsdrošā seifā, lai nodrošinātu iespēju nepieciešamības gadījumā informācijas resursu īpašniekam operatīvi nomainīt galveno administratoru.
12.3.1.13. Ja IS vai datoru aparatūra tiek piegādāta ar duālām parolēm galvenajam administratoram, administratora kods un paroļu kopijas jāglabā atsevišķās aizzīmogotās aploksnēs ugunsdrošā seifā.
12.3.1.14. Ja administrators beidz darbu bankā vai maina amatu (vairs nav administrators), nepieciešams nekavējoties atcelt viņa administratora kodu vai nomainīt paroli.
12.3.2. Lietotāja autentiskuma noteikšana
12.3.2.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka lietotāja koda izmantotājs ir pilnvarotais lietotāja koda īpašnieks. Autentiskuma noteikšanai var izmantot paroles, elektroniskos talonus, tiesību sertifikātus u.c.
12.3.2.2. Ja IS satur klasificētu informāciju vai informācijas resursi atrodas bankas datortīklā, lietotāja autentiskuma noteikšanai jāizmanto lietotāja kods kopā ar kādu no 12.3.2.1. punktā minētajiem līdzekļiem.
12.3.2.3. Bankā jānodrošina, lai lietotāji apzinātos savas paroles aizsargāšanas nepieciešamību.
12.3.2.4. Par parolēm ir jāizvēlas pietiekami sarežģītas burtu un ciparu kombinācijas, lai citiem tās būtu grūti uzminēt. Parolēm jābūt ne īsākām par 6 simboliem.
12.3.2.5. IS jābūt tādām, lai parole neparādītos uz ekrāna, kad lietotājs to ievada.
12.3.2.6. Paroles elektroniskajos nesējos ir jāglabā šifrētas.
12.3.2.7. Parolēm, kuras sūta pa lokālo vai globālo tīklu, jābūt šifrētām.
12.3.2.8. Bankas iekšējos noteikumos jānosaka:
12.3.2.8.1. cik bieži parole jāmaina;
12.3.2.8.2. ka nedrīkst lietot vienu un to pašu paroli, lai pieslēgtos bankas iekšējām un ārējām IS;
12.3.2.8.3. pēc cik neveiksmīgiem paroles ievadīšanas mēģinājumiem lietotāja darbība jāaptur;
12.3.2.8.4. kā jārīkojas, ja lietotāja darbība ir apturēta.
12.3.2.9. Lietotāja koda darbības apturēšanai automātiski jāfiksējas auditācijas pierakstos.
12.3.2.10. Ja datoru aparatūra, programmatūra un operētājsistēmas tiek piegādātas kopā ar lietotāja kodiem un parolēm, tad šīs paroles ir nepieciešams nomainīt.
12.3.2.11. Ja paroles tiek pierakstītas uz papīra, tās jāglabā drošā vietā, piem., seifā, aizzīmogotā aploksnē ar atzīmi par slepenību.
12.3.2.12. Parole ir jānodod lietotājam drošā veidā un atsevišķi no lietotāja koda.
12.3.2.13. Bankā jābūt izstrādātai procedūrai, kas nosaka kārtību, kādā lietotājs iegūst jaunu paroli vai nomaina veco.
12.3.2.14. Kad lietotājs pirmo reizi izmanto savu lietotāja kodu un paroli, IS ir tūlīt jāliek lietotājam paroli nomainīt. Izņēmums ir IS, kas nesatur klasificētu informāciju un informācijas resursi, kas atrodas datortīklam nepievienotā datorā.
12.3.2.15. Ja lietotāja autentiskuma noteikšanai tiek izmantoti elektroniskie taloni, tad katram lietotājam jābūt savam elektroniskajam talonam. Šis noteikums jāievēro arī tad, ja talonus izmanto bankas klienti.
12.3.2.16. Tiem darbiniekiem, kas veic elektroniskā talona un PIN uzstādīšanu, nedrīkst būt pieeja citām ar klienta apkalpošanu saistītām funkcijām.
12.3.2.17. Darbinieks, kurš ir atbildīgs par elektronisko talonu sagatavošanu bankas klientam, un darbinieks, kurš ir atbildīgs par PIN uzstādīšanu, nedrīkst būt viena un tā pati persona.
12.3.2.18. Datoriem, ar kuriem veic elektroniskā talona un PIN sagatavošanu bankas klientam, jābūt nodrošinātiem ar stipru loģisko un fizisko aizsardzību.
12.3.2.19. Pieeja PIN sagatavošanas funkcijai jāpakļauj duālai kontrolei ( dual control ), t.i., funkcijai iespējams piekļūt tikai vismaz divu attiecīgo funkcijas izpildītāju klātbūtnē.
12.3.2.20. PIN sagatavošanas funkcija jānodrošina ar stipru loģisko aizsardzību. Ieteicams pieeju funkcijai aizsargāt ar individuālo elektronisko talonu katram funkcijas izpildītājam.
12.3.2.21. Pieeja datu bāzēm, kuras glabā informāciju par klienta elektroniskajiem taloniem un PIN, ir jāpakļauj duālai kontrolei. Pieeju nedrīkst aizsargāt tikai ar lietotāja kodu un paroli.
12.3.2.22. Elektroniskie taloni ir jānodrošina ar stipru fizisko aizsardzību un duālo kontroli.
12.3.2.23. Ja elektroniskā talona un PIN sagatavošanai tiek izmantota vairāk nekā viena aparatūras vienība, visai aparatūrai ir jāatrodas vienā fiziski drošā telpā. Ja tomēr kāda aparatūras daļa atrodas ārpus šīs telpas, informācijai, kuru sūta starp aparatūras daļām, ir jābūt šifrētai.
12.3.2.24. Elektroniskā talona un PIN sagatavošana jāatspoguļo auditācijas pierakstos. Šiem pierakstiem jābūt labi aizsargātiem un neizdzēšamiem.
12.3.2.25. Elektroniskais talons un PIN ir jānodod bankas klientam atsevišķās aploksnēs vai jāsūta atsevišķos pasta sūtījumos.
12.3.2.26. PIN, kurus sūta pa komunikāciju līnijām, jābūt šifrētiem.
12.3.2.27. Bankas iekšējos noteikumos jānosaka:
12.3.2.27.1. ka PIN ir jāsastāv vismaz no četrām zīmēm;
12.3.2.27.2. PIN neveiksmīgas ievadīšanas mēģinājumu skaits;
12.3.2.27.3. PIN nodošanas kārtība;
12.3.2.27.4. kādā veidā bankai ir jāinformē savi klienti par pareizu PIN lietošanu.
12.3.2.28. Ja elektroniskos talonus izmanto bankas darbinieki, tad bankai jāizstrādā to izmantošanas noteikumi.
12.3.3. Lietotāja pilnvarošana
12.3.3.1. Šajā punktā minētie noteikumi attiecas uz IS, kas satur klasificētu informāciju, un informācijas resursiem, kas atrodas bankas datortīklā.
12.3.3.2. Informācijas resursu īpašnieks, pieprasot lietotāja reģistrēšanu, nosaka, kuriem informācijas resursiem lietotājs drīkstēs piekļūt. Pēc pieprasījumā uzrādītās informācijas IS administrators piešķir lietotāja kodu un pieejas tiesības.
12.3.3.3. Piešķirot pieejas tiesības, jāievēro princips, ka sākuma stāvoklī pieeja informācijas resursiem ir aizliegta. Pēc tam lietotājam tiek piešķirtas nepieciešamās tiesības.
12.3.3.4. Kad lietotājs mēģina pieslēgties kādam informācijas resursam, pieejas vadības programmatūrai ir jāpārbauda, vai lietotājam ir attiecīgās tiesības.
12.4. Auditācijas pieraksti
12.4.1. Auditācijas pieraksti ir jāizmanto IS, kas satur klasificētu informāciju, kā arī tad, ja informācijas resursi atrodas datortīklam pievienotā datorā.
12.4.2. Auditācijas pierakstos jāfiksē šāda informācija:
12.4.2.1. visi veiksmīgie un neveiksmīgie pieslēgšanās gadījumi, fiksējot datumu un laiku;
12.4.2.2. visi lietotāja kodi, kuri ir atcelti to neizmantošanas dēļ vai nepareizi ievadītas paroles dēļ;
12.4.2.3. visi neveiksmīgie mēģinājumi lietot elektronisko talonu vai tiesību sertifikātu;
12.4.2.4. IS administratora darbības, viņa veiksmīgie un neveiksmīgie pieslēgšanās mēģinājumi.
12.4.3. Auditācijas pieraksti jānodrošina ar loģisko aizsardzību.
12.4.4. Auditācijas pierakstu dzēšana jāatspoguļo auditācijas pierakstos.
12.4.5. Visi mēģinājumi, gan veiksmīgie, gan neveiksmīgie, grozīt auditācijas pierakstu saturu jāatspoguļo auditācijas pierakstos.
12.4.6. Auditācijas pierakstiem regulāri jāveido rezerves kopijas saskaņā ar 10. punktā minētajiem noteikumiem.
12.4.7. Bankas iekšējos noteikumos jānosaka, kurām IS un cik ilgi auditācijas pieraksti ir jāglabā.
12.5. Pārraudzības funkcija ( monitoring )
12.5.1. Bankai ir jāpārrauga savu IS lietošana, izmantojot auditācijas pierakstos iekļauto informāciju un/vai informāciju no citiem avotiem, piem., speciālas pārraudzības programmatūras. Bankā jāizstrādā noteikumi, kuros jānosaka:
12.5.1.1. kuras IS un kādi gadījumi jāpārrauga (jāpārrauga vismaz tās IS, kas satur klasificētu informāciju);
12.5.1.2. par pārraudzību atbildīgās personas;
12.5.1.3. pārraudzības regularitāte.
12.5.2. Jāveic pārraudzības efektivitātes pārbaudes - jāpārliecinās, vai pārraudzība spēj atklāt attiecīgos drošības pārkāpumus.
12.5.3. Jāpārrauga šādi gadījumi:
12.5.3.1. neveiksmīga pieslēgšanās IS ( login failures );
12.5.3.2. mēģinājumi piekļūt informācijas resursiem, kuriem lietotājs nav pilnvarots piekļūt;
12.5.3.3. IS izmantošanas gadījumi neparastā laikā, piem., ārpus darba laika;
12.5.3.4. atkārtoti mēģinājumi izmantot lietotāja kodus, kuri jau ir atcelti;
12.5.3.5. privileģēto lietotāja kodu piešķiršana un izmantošana (piem., IS administratoru kodi);
12.5.3.6. mēģinājumi pieslēgt datortīklam datoru vai citu aparatūru;
12.5.3.7. finanšu u.c. darījumu integritāte, t.i., jāpārbauda, vai dati pēc to apstrādes IS ir pareizi ( transaction tracking );
12.5.3.8. piekļūšana slepenai, konfidenciālai, augsta un vidēja riska informācijai un funkcijām;
12.5.3.9. ja tiek ieviesta jauna IS vai jauna programmas versija un ja tiek izmantoti esošie bankas dati, jāuzrauga datu integritāte laikā, kad dati tiek pārnesti no vecās IS uz jauno.
12.6. Kriptogrāfija
12.6.1. Bankā jāizstrādā kriptogrāfijas tehnoloģijas izmantošanas noteikumi.
12.6.2. Ja kriptogrāfiskās atslēgas tiek izmantotas, lai piekļūtu klasificētai informācijai vai funkcijām (piem., maksājuma sūtīšanai), tad šīs atslēgas nedrīkst lietot vairākas personas, bet tās jāpiešķir katram individuālam lietotājam.
12.6.3. Ja individuālas kriptogrāfiskās atslēgas izmanto bankas darbinieki vai klienti, ir jābūt rakstiskiem šo atslēgu glabāšanas un aizsardzības noteikumiem.
12.6.4. Bankā jāizstrādā atslēgu pārvaldības procedūras (t.i., atslēgu ģenerēšanas, glabāšanas, lietošanas, dzēšanas, atjaunošanas kārtība) un jānorīko par atslēgu pārvaldību atbildīgās personas.
12.6.5. Datoriem, kas glabā atslēgu datubāzi, vai citām tehniskām ierīcēm, kas glabā atslēgas, jābūt nodrošinātiem ar stipru loģisko un fizisko aizsardzību. Atslēgas drīkst glabāties elektroniskajos nesējos tikai šifrētā veidā.
12.6.6. Kriptogrāfiskajām atslēgām, ja tās sūta pa lokālo vai globālo tīklu, jābūt šifrētām.
12.6.7. Jāveic riska analīze tiem datiem un funkcijām, kurām paredzēts izmantot kriptogrāfijas tehnoloģiju. Riska analīzes rezultātā jāizvēlas atbilstošs kriptogrāfiskais algoritms, atslēgu garums un atslēgu pārvaldības procedūras.
12.6.8. Kriptogrāfisko atslēgu ģenerēšanas metode nedrīkst pieļaut, ka lietotāja atslēga tiek veidota, izmantojot tikai lietotāja paroles datus.
12.7. Pārmaiņu pārvaldība
12.7.1. Bankā jāizstrādā informācijas un tehnisko resursu pārmaiņu pārvaldības noteikumi.
12.7.2. Jāidentificē visi informācijas un tehniskie resursi, kurus skar pārmaiņas.
12.7.3. Pārmaiņas atļauts veikt tikai tad, ja ir saņemta pārmaiņām pakļauto informācijas un tehnisko resursu īpašnieku atļauja.
12.7.4. Jāizanalizē, kā pārmaiņas iespaidos esošās drošības kontroles un vai tās nepazeminās informācijas integritātes un konfidencialitātes līmeni.
12.7.5. Jāpārrauga IS dokumentācijas papildināšana.
12.7.6. Jāuztur visu pārmaiņu reģistrācijas žurnāls ( audit log ).
12.7.7. Pārmaiņu pārvaldībai jānodrošina tikai testētas un pārbaudītas programmatūras nodošana lietošanā.
12.7.8. IS auditoriem vai pārraudzības funkcijas izpildītājiem jābūt iespējai pārbaudīt veikto pārmaiņu reģistrācijas žurnālus.
12.7.9. Jābūt iespējai uzstādīt programmas iepriekšējo versiju, ja jaunā, mainītā versija neapmierina prasības.
12.7.10. Pārejot no vecās IS uz jauno, pārmaiņu pārvaldības funkcijas izpildītājiem ir jāpārliecinās, vai IS maiņas rezultātā datu integritāte ir saglabāta.
12.7.11. Pirms operētājsistēmas pārmaiņu veikšanas jāsagatavo operētājsistēmas rezerves kopijas gadījumam, ja pārmaiņas bijušas neveiksmīgas un jālieto iepriekšējā versija.
12.7.12. Pirms operētājsistēmas pārmaiņu ieviešanas jāpārliecinās, ka pārmaiņas ietekmē tikai paredzētās funkcijas.
12.7.13. Pēc operētājsistēmas mainīšanas ir jāpārbauda IS integritāte un IS iestrādātās aizsardzības metodes, lai pārliecinātos, ka tās nav cietušas.
12.7.14. Jaunas operētājsistēmas instalēšanas laikā jānodrošina, lai visas operētājsistēmas noklusētās paroles tiktu mainītas.
12.7.15. Ja tiek veiktas pārmaiņas iegādātajās IS, tad pirms to veikšanas ir jāveido oriģinālās programmatūras, kā arī IS datu kopijas.
12.7.16. Tehnisko resursu pārmaiņas jāplāno, pirms pārmaiņām jāveido tajos esošo datu un programmatūras rezerves kopijas, pēc pārmaiņu veikšanas jāveic testēšana.
12.7.17. Bankā jāizstrādā noteikumi darbībām ārkārtas pārmaiņu apstākļos, nosakot, kas ir tiesīgs pieņemt lēmumu par ārkārtas pārmaiņām.
12.7.18. Ārkārtas pārmaiņas nedrīkst būt pastāvīgas (kļūt par normu); pēc problēmas atrisināšanas ārkārtas pārmaiņas ir jāatceļ vai tās jāievieš ar parasto pārmaiņu procedūru.
12.8. Vīrusu kontrole
12.8.1. Bankā jāizstrādā vīrusu kontroles procedūras vīrusu profilaksei, atklāšanai un likvidēšanai.
12.8.2. Bankā jānorīko darbinieki, kas nodarbojas ar atklāto vīrusu likvidēšanu. Šiem darbiniekiem ir jāapkopo dati par visiem vīrusu atklāšanas gadījumiem. Vīrusu likvidēšanu drīkst veikt tikai pilnvaroti darbinieki.
12.8.3. Bankā jāveic darbinieku izglītošana par jautājumiem, kas saistīti ar vīrusiem; darbiniekiem ir jābūt skaidrai kārtībai, kā un kam jāziņo par vīrusa esamību vai aizdomām par to.
12.8.4. Serveros, personālajos datoros un piezīmjdatoros jāizmanto pretvīrusu programmatūra.
12.8.5. Pretvīrusu programmatūra ir bieži jāatjauno, lai būtu iespējams atklāt visjaunākos vīrusus.
12.8.6. Ar pretvīrusu programmatūru jāpārbauda visa bankā ienākošā un no bankas izejošā elektroniskā informācija (elektroniskais pasts, disketes u.c.).
12.8.7. Ja bankā ir bijuši citas organizācijas datorspeciālisti, ar pretvīrusu programmatūru jāpārbauda visi datori, ar kuriem viņi ir strādājuši, un datortīklu resursi, kam viņi ir piekļuvuši.
12.8.8. Ja sveši datori tiek pieslēgti bankas datortīklam, tie vispirms jāpārbauda ar pretvīrusu programmatūru.
12.9. Utilītprogrammu pārvaldība
12.9.1. Utilītprogrammas drīkst izmantot tikai iepriekš noteiktos gadījumos, kas saistīti ar IS izstrādi un uzturēšanu, un to var darīt tikai pilnvaroti darbinieki.
12.9.2. Pieeja utilītprogrammām jānodrošina ar loģisko aizsardzību, lai tās būtu pieejamas tikai pilnvarotiem darbiniekiem.
12.9.3. Bankas darbiniekiem, kuri izpilda IS auditēšanas vai IS drošības funkcijas, ir jāveic pārbaudes, vai pieeja utilītprogrammām ir tikai pilnvarotiem lietotājiem.
13. BANKAS IS ATJAUNOŠANAS PLĀNS
13.1. Bankā jābūt bankas padomes apstiprinātam IS atjaunošanas plānam, kas izstrādāts saskaņā ar bankas darbības atjaunošanas plānu.
13.2. Jānorīko konkrēts plāna īpašnieks, kas ir bankas vadības līmeņa darbinieks. Šis darbinieks atbild par plāna izstrādi un uzturēšanu aktuālā, pašreizējai situācijai atbilstošā stāvoklī.
13.3. Jāidentificē bankas darbības kritiskās funkcijas un jānosaka to prioritāte.
13.4. Jāsagatavo pasākumu plāns bankas darbības kritisko funkciju atsākšanai. Plānā jānosaka:
13.4.1. aparatūras aizstāšana;
13.4.2. operētājsistēmas un programmatūras atjaunošana;
13.4.3. datubāzes un datu failu atjaunošana;
13.4.4. darbības atsākšana no konkrēta, apzināta darbības punkta;
13.4.5. plāna izpildīšanas vadītāji;
13.4.6. plāna izpildītāji.
13.5. Jāidentificē visi informācijas tehnoloģiju piegādātāji un organizācijas, kuras ir saistītas ar plāna izpildīšanu.
13.6. Plāns jātestē, lai pārliecinātos, ka tas darbojas.
13.7. Jāveic pārbaudes, lai pārliecinātos, ka plāns atbilst pašreizējam bankas IS stāvoklim.