Pamatojoties uz Finanšu un kapitāla tirgus komisijas likuma 6.-8. un 17. pantu, Finanšu un kapitāla tirgus komisijas padome nolemj:
Apstiprināt “Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības noteikumus” (pielikumā).
1.1. “Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības noteikumi” (tālāk tekstā — noteikumi) izstrādāti saskaņā ar Finanšu un kapitāla tirgus komisijas likumu.
1.2. Noteikumi ir saistoši šādiem Latvijā reģistrētiem finanšu un kapitāla tirgus dalībniekiem (tālāk tekstā — tirgus dalībnieks): kredītiestādēm, apdrošinātājiem, privātajiem pensiju fondiem, apdrošināšanas starpniekiem, biržām, Latvijas Centrālajam depozitārijam, brokeru sabiedrībām, ieguldījumu sabiedrībām un krājaizdevu sabiedrībām.
1.4. Noteikumi nosaka kārtību, kādā tirgus dalībniekiem jānodrošina informācijas sistēmu drošība. Noteikumi ietver minimālās prasības, un tirgus dalībnieks var lietot stingrākus drošības pasākumus.
1.5. Noteikumos lietotie termini.
1.5.1. Informācijas sistēma (tālāk tekstā arī IS) — datu ievadīšanas, uzglabāšanas un apstrādes sistēma, kas paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.
1.5.2. Informācijas konfidencialitāte — piekļuve informācijai tikai pilnvarotām personām.
1.5.3. Informācijas integritāte — informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.
1.5.4. Informācijas vērtība — informācijas nozīmīgums tirgus dalībnieka darbības nodrošināšanai.
1.5.5. Informācijas pieejamība — iespēja pilnvarotām personām lietot informāciju noteiktā laikā un vietā.
1.5.6. Informācijas sistēmu drošība — informācijas sistēmas konfidencialitātes, integritātes un pieejamības prasību nodrošināšana.
1.5.7. informācijas resursi — informācijas vienības, kurās ietilpst datu faili, kas satur informācijas sistēmā glabājamo, apstrādājamo un informācijas sistēmas lietotājiem pieejamo informāciju, kā arī visi informācijas sistēmas ievades un izvades dokumenti neatkarīgi no datu nesēja veida.
1.5.8. Tehnoloģiskie resursi — informācijas sistēmas sastāvdaļa, kurā ietilpst sistēmprogrammas, lietojumprogrammas, palīgprogrammas, sistēmfaili, datori, datortīkli, aparatūra un citas iekārtas, kas nodrošina informācijas sistēmas darbību.
1.5.9. Informācijas sistēmas resursi — šo noteikumu 1.5.7. un 1.5.8. punktā minētie resursi.
1.5.10. Informācijas resursu turētājs — persona, kas ir atbildīga par informācijas resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
1.5.11. Tehnoloģisko resursu turētājs — persona, kas ir atbildīga par tehnoloģiskajiem resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
1.5.12. IS resursu turētājs — informācijas resursu vai tehnoloģisko resursu turētājs.
1.5.13. Resursu aizbildnis — persona, kuru norīkojis jebkurš IS resursu turētājs un kura ikdienā ir atbildīga par attiecīgajiem IS resursiem vai to daļu.
1.5.14. Auditācijas pieraksti — analīzei pieejami pieraksti, kuros reģistrēti dati par noteiktiem IS notikumiem (piekļūšana, datu ievade, mainīšana, dzēšana, izvade u.c.).
1.5.15. Informācijas devējs — persona, kas iesniegusi informāciju tirgus dalībniekam, vai persona, ar kuru saistītā informācija ir ietverta IS (piemēram, tirgus dalībnieka klienti).
1.5.16. Risku pārvaldīšana — IS risku identificēšana, novērtēšana, samazināšana un kontrolēšana, kuras ietvaros tiek veikta IS risku ierobežošana līdz tirgus dalībniekam pieņemamam līmenim.
1.6. Tirgus dalībnieks apstiprina hierarhiski strukturētu dokumentu kopumu (piemēram, politiku, noteikumus, procedūras), kas nosaka informācijas tehnoloģiju lietošanas mērķus, kā arī šajos noteikumos noteikto IS drošības pasākumu piemērošanas kārtību.
2.1. Tirgus dalībnieks rakstveidā norīko IS resursu turētājus visiem informācijas un tehnoloģiskajiem resursiem.
2.2. Informācijas resursu turētāja pienākumi ir šādi:
2.2.1. klasificēt viņa turējumā esošos informācijas resursus;
2.2.2. veikt viņa turējumā esošo informācijas resursu risku analīzi;
2.2.3. izstrādāt informācijas resursu lietošanas kārtību un piešķirt darbiniekiem tiesības piekļūt informācijas resursiem un lietot tos;
2.2.4. noteikt prasības pasākumiem, kas nodrošinātu informācijas integritāti;
2.2.5. noteikt auditācijas pierakstu veidošanas un glabāšanas kārtību;
2.2.6. noteikt prasības informācijas resursu atjaunošanai, ja IS resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
2.2.7. sadarboties ar IS tehnoloģisko resursu turētāju IS funkcionalitātes un drošības jautājumos.
2.3. Tehnoloģisko resursu turētāja pienākumi ir šādi:
2.3.1. nodrošināt tehnoloģisko resursu fiziskās un loģiskās aizsardzības pasākumus;
2.3.2. sadarboties ar informācijas resursu turētāju, lai īstenotu viņa prasības par informācijas resursu aizsardzību un piekļūšanu tiem;
2.3.3. piedalīties risku analīzē, noteikt ar tehnoloģiskajiem resursiem saistītus informācijas sistēmas apdraudējumus un novērtēt šo apdraudējumu īstenošanās varbūtību;
2.3.4. nodrošināt IS atjaunošanas procedūras, ja tehnoloģiskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
2.3.5. sadarboties ar IS informācijas resursu turētāju IS funkcionalitātes un drošības jautājumos.
3.1. Tirgus dalībnieks veic visu informācijas resursu klasificēšanu, to dokumentējot. Klasifikācijas mērķis ir novērtēt informācijas nozīmību un nodrošināt katras informācijas grupas aizsardzību atbilstoši tās klasifikācijas līmenim.
3.2. Informācijas resursu klasificēšana ir process, kurā nosaka informācijas resursu konfidencialitātes, vērtības un pieejamības līmeni.
3.3. Konfidencialitātes līmeni informācijas resursiem piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja tiek pieļauts, ka šai informācijai piekļūst personas, kas nav pilnvarotas. Informācijas resursiem piešķir vienu no šādiem konfidencialitātes līmeņiem:
3.3.1. slepena — ja personas, kas nav pilnvarotas, piekļūst šai informācijai, tas var nodarīt neatgriezenisku un būtisku kaitējumu informācijas devējam vai tirgus dalībniekam;
3.3.2. konfidenciāla — ja personas, kas nav pilnvarotas, piekļūst šai informācijai, tas var radīt kaitējumu informācijas devējam vai tirgus dalībniekam.
3.4. Vērtības līmeni informācijas resursiem piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta informācijas resursu integritāte. Informācijas resursiem piešķir vienu no šādiem vērtības līmeņiem:
3.4.1. augsti vērtīga — informācija, kas ir saistīta ar tirgus dalībnieka darbības nodrošināšanu vai saistību izpildi pret citām personām un kuru nav iespējams atkārtoti iegūt;
3.4.2. vidēji vērtīga — informācija, kas ir saistīta ar tirgus dalībnieka darbības nodrošināšanu vai saistību izpildi pret citām personām un kuru ir iespējams atkārtoti iegūt, patērējot nozīmīgus resursus.
3.5. Informācijas resursu pieejamības līmeni piešķir atkarībā no biznesa vajadzībām, ņemot vērā kaitējumu, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta informācijas resursu pieejamība. Informācijas resursiem piešķir vienu no šādiem pieejamības līmeņiem:
3.5.1. nepārtraukta pieejamība (24 stundas diennaktī, 7 dienas nedēļā);
3.5.2. cits, fiksēts pieejamības laiks.
3.7. Tirgus dalībnieks var pielietot savu iekšējo informācijas klasifikācijas shēmu, taču shēma nedrīkst būt pretrunā ar šajos noteikumos noteiktajām prasībām klasificētu informācijas resursu aizsardzībai un shēmā jābūt vismaz diviem līmeņiem no katras klasifikācijas kategorijas.
3.8. Informācijas resursi, kuriem nav piešķirts neviens no konfidencialitātes, vērtības vai pieejamības līmeņiem, tiek uzskatīti par neklasificētiem.
4.1. Tirgus dalībnieks, ņemot vērā informācijas resursu klasifikāciju, veic risku pārvaldīšanu. Risku pārvaldīšanas pasākumus nosaka, pamatojoties uz drošības pasākumu izmaksu un iespējamo zaudējumu samērojamību.
4.2. Lai plānotu risku pārvaldīšanas pasākumus, IS resursu turētāji regulāri, bet ne retāk kā reizi gadā veic dokumentētu visu IS risku analīzi.
4.4. Risku analīzi veic, lietojot dokumentētu metodiku. Tirgus dalībnieks lieto tādu risku analīzes metodiku, kas ļauj efektīvi plānot risku pārvaldīšanas pasākumus. Tirgus dalībnieks var lietot šo noteikumu pielikumā doto risku analīzes metodi.
4.5. Saskaņā ar risku analīzes rezultātiem tirgus dalībnieks izvēlas nepieciešamos risku pārvaldīšanas jeb drošības līdzekļus.
4.6. IS resursu turētāji izvērtē atlikušo risku līmeni un veic atkārtotu IS risku analīzi, ņemot vērā risku pārvaldīšanas pasākumu plānā iekļautos risinājumus. Ja atlikušais risku līmenis ir pieņemams, tad īsteno risku pārvaldīšanas pasākumus. Ja atlikušais risku līmenis nav pieņemams, tad veic atkārtotu IS risku pārvaldīšanas pasākumu plānošanu, līdz atlikušais risks ir pieņemams.
5.1. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic pasākumus, kas ierobežo no darbinieku darbības vai bezdarbības izrietošus IS drošības riskus, kā arī nosaka darbinieku lomu IS drošības pasākumos un veicina personāla izpratni par IS lietošanas kārtību un aizsardzības nepieciešamību.
5.2. Darbiniekiem, kas veic IS uzturēšanu un uzraudzību, nosaka pienākumus, atbildību un nodrošina savstarpējo aizvietojamību.
5.3. Darbiniekiem, kuriem pieejami IS resursi:
5.3.1. nosaka pienākumus un atbildību darbībām ar IS (t.sk. internetu un e-pastu);
5.3.2. nodrošina nepieciešamo apmācību IS lietošanas un IS drošības jautājumos.
5.5. Tirgus dalībnieks nodrošina IS drošības (piemēram, IS drošības plānošana, dokumentu izstrāde un atjaunošana, drošības incidentu izskatīšana) un IS audita funkcijas veikšanu.
6.1. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS fiziskās aizsardzības pasākumus, kas aizsargā no nevēlamiem apkārtējās vides (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem (neatbilstoša elektroenerģijas padeve u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.).
6.2. Serveru fiziskā aizsardzība:
6.2.1. IS serverus ekspluatē ierobežotas pieejas telpās, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi, vai arī nodrošina serveru fizisko aizsardzību, lai tos nevarētu izslēgt, pārvietot, bojāt un nesankcionēti mainīt to konfigurāciju. Serveru telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība;
6.2.2. nepiederošas personas, t.sk. ārējie pakalpojumu sniedzēji serveru telpās drīkst uzturēties tikai pilnvarotu personu pavadībā;
6.2.3. atkarībā no iespējamo zaudējumu apmēra tirgus dalībnieks nodrošina pietiekamu serveru un serveru telpu aizsardzību pret fiziskiem apdraudējumiem (t.sk. neatbilstošiem klimatiskajiem apstākļiem, ugunsgrēku, plūdiem, elektroenerģijas padeves pārtraukumiem, tīšiem bojājumiem).
6.3. Tīklu infrastruktūrai (t.sk. komunikāciju tīklu aparatūrai, kabeļu tīklam) nodrošina pietiekamu fizisko aizsardzību.
6.4. Darbstaciju fiziskā aizsardzība:
6.4.1. datortīkla un IS administratoru darba vietas nodala ierobežotas pieejas telpās;
6.4.2. darbstacijas lieto atbilstoši ražotāja noteiktām prasībām un lieto elektroenerģijas nepārtrauktas padeves iekārtas, ja elektroenerģijas padeves traucējumu risks ir nepieņemami liels.
6.5. Portatīvo iekārtu fiziskā aizsardzība:
6.5.1. tehniskos resursus lieto atbilstoši ražotāja noteiktajām prasībām;
6.5.2. tirgus dalībnieks veic portatīvo iekārtu aprites reģistrēšanu, lai noteiktu, kura persona lieto attiecīgo iekārtu.
6.6. Datu nesēju fiziskā aizsardzība:
6.6.1. tirgus dalībnieks veic nepieciešamos drošības pasākumus 6.2.–6.5. punktā neiekļauto datu nesēju fiziskai aizsardzībai neatkarīgi no veida (t.sk. demontētas disku iekārtas, papīra izdrukas, faksa izdrukas, disketes, optiskie diski u.tml.);
6.6.2. tirgus dalībnieks nosaka kārtību, kādā lieto, glabā, pārvieto un iznīcina datu nesējus;
6.6.3. datu nesēju aizsardzības ietvaros veic datu ievada un izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu lietošanu (piemēram, printeru iekārtas neizvieto publiski pieejamās telpās, nepieļauj diskešu iekārtu darbību, ja tā nav nepieciešama darbinieku pienākumu veikšanai);
6.6.4. datu nesējus ar klasificētiem informācijas resursiem aizliegts atstāt nedrošās (piemēram, publiski pieejamās) vietās;
6.6.5. ja datu nesēju, kas satur klasificētus informācijas resursus, ir paredzēts iznīcināt, tad to izdara tādā veidā, lai nebūtu iespējams veikt uz tā esošo datu atjaunošanu.
6.7. Tirgus dalībnieks veic papildu fiziskās aizsardzības pasākumus atkarībā no IS informācijas resursu klasifikācijas līmeņa. IS fiziskās aizsardzības pasākumus veic sistemātiski. Tirgus dalībnieks regulāri veic fiziskās aizsardzības pasākumu pārbaudi.
6.8. Tirgus dalībnieks var lietot citus fiziskās aizsardzības līdzekļus, ja:
6.8.1. tie nodrošina pietiekamu IS aizsardzību un atlikušais risks IS resursu turētājiem ir pieņemams;
6.8.2. fiziskās aizsardzības līdzekļi tiek kompensēti ar loģiskās aizsardzības līdzekļiem.
6.9. Ja kādu no informācijas tehnoloģiju pakalpojumiem nodrošina ārējais pakalpojumu sniedzējs, tad nedrīkst tikt samazinātas IS resursu fiziskās aizsardzības prasības.
7.2. Tirgus dalībnieks dokumentē un veic IS lietotāju reģistrācijas, tiesību piešķiršanas un anulēšanas procedūras:
7.2.1. katram lietotājam un IS administratoram piešķir unikālu lietotāja kodu. Jauna lietotāja reģistrāciju veic saskaņā ar informācijas resursu turētāja dokumentētu pieprasījumu. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā nekavējoties tiek mainītas vai anulētas IS lietotāja un administratora tiesības;
7.2.2. IS administratora kodu kopā ar paroli glabā drošā ierobežotas pieejas vietā.
7.3. Lietotāja autentiskuma noteikšana:
7.3.1. lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka attiecīgos klasificētos IS resursus lieto pilnvarotais lietotāja koda īpašnieks. Autentifikācijas līdzekļi var būt, piemēram, paroles, viedkartes, biometriskie līdzekļi u.c.;
7.3.2. tirgus dalībnieks nosaka autentifikācijas līdzekļu lietošanas kārtību;
7.3.3. kā paroli izvēlas pietiekami sarežģītu simbolu kombināciju. Ievadot paroli, tā nedrīkst būt salasāma uz datora ekrāna. Paroles elektroniskajos nesējos glabā un pārsūta šifrētas. Paroli nekavējoties nomaina, ja tā varētu būt vai ir kļuvusi zināma citai personai. Izņēmums ir IS, kas nesatur klasificētus informācijas resursus;
7.3.4. ja tirgus dalībnieks IS lietotāja (piemēram, klienta) autentifikāciju veic, lietojot elektroniskās kartes ar personas identifikācijas numuru (tālāk tekstā — PIN), tad rakstveidā nosaka to lietošanas un sagatavošanas kārtību, kas izstrādāta saskaņā ar šo noteikumu IS drošības prasībām. Tirgus dalībnieks lieto tādu elektroniskās kartes un PIN sagatavošanas metodi, kas nepieļauj šī autentifikācijas līdzekļa nesankcionētu lietošanu un paredz drošu piegādi IS lietotājam. PIN šifrē, ja to sūta pa komunikāciju līnijām.
7.4. Pārraudzības funkcija:
7.4.1. tirgus dalībnieks nodrošina, ka auditācijas pieraksti tiek veidoti par informācijas sistēmām, kas satur klasificētus informācijas resursus, un darbībām datortīklā, kurā ir pieeja IS, kas satur klasificētus informācijas resursus. Auditācijas pierakstos iekļauj visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu datumu un laiku, kā arī lietotāja (t.sk. administratora) kodu vai citu autentifikācijas līdzekli;
7.4.2. tirgus dalībnieks nodrošina auditācijas pierakstu integritāti un regulāri veido auditācijas pierakstu datu rezerves kopijas saskaņā ar 9.4. punkta noteikumiem;
7.4.3. tirgus dalībnieks regulāri pārrauga vismaz to IS darbību, kas satur klasificētus informācijas resursus. Šim nolūkam var lietot speciālas pārraudzības programmas vai datoriebrukumu noteikšanas sistēmas;
7.4.4. pārrauga vismaz šādus gadījumus:
7.4.4.1. atkārtota neveiksmīga pieslēgšanās IS,
7.4.4.2. mēģinājumi piekļūt informācijas resursiem, kuriem lietotājs nav pilnvarots piekļūt,
7.4.4.3. IS lietošana neparastā laikā, piemēram, ārpus darba laika,
7.4.4.4. atkārtoti mēģinājumi lietot lietotāja kodus, kuri jau ir atcelti,
7.4.4.5. privileģēto lietotāja kodu piešķiršana un lietošana (piemēram, IS administratoru kodi),
7.4.4.6. nesankcionētas programmatūras konfigurācijas maiņas un neatļautas programmatūras uzstādīšana.
7.5. Vīrusu kontrole:
7.5.1. tirgus dalībnieks nosaka kārtību un veic pasākumus datoru vīrusu darbības novēršanai tehnoloģiskajos resursos;
7.5.2. vīrusu darbības novēršanai lieto speciāli šim nolūkam paredzētu programmatūru. Vīrusu definīciju failus nekavējoties atjauno, tiklīdz izstrādātājs piedāvā atjaunojuma failus;
7.5.3. tirgus dalībnieks regulāri veic antivīrusu programmas pārraudzību, lai pārliecinātos par tās darbību un jaunāko vīrusu definīciju failu esamību.
7.6. Personālo un portatīvo datoru aizsardzība:
7.6.1. tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt uz personālā un portatīvā datora (tālāk tekstā — personālie datori). Portatīvajos datoros, kuri tiek lietoti ārpus tirgus dalībnieka darba telpām, glabā tikai tos informācijas resursus, kas nepieciešami noteiktajā laikā noteiktajam datora lietotājam;
7.6.2. personālajā datorā uzstāda un lieto tikai to programmatūru un tādā konfigurācijā, ko ir noteicis tirgus dalībnieks. Personālā datora funkcionalitāti ierobežo līdz darba vajadzībām nepieciešamo funkciju līmenim;
7.6.3. personālo datoru, atstājot bez lietotāja uzraudzības, slēdz, lietojot ekrānsaudzētāju ar paroli, speciālu slēgšanas funkciju vai citu metodi, kas ļauj turpināt darbu ar personālo datoru vienīgi tad, ja ir veikta lietotāja autentifikācija;
7.6.4. tirgus dalībnieks nosaka kārtību, kādā darba vajadzībām darbinieki lieto viņiem piederošus datorus un kādā lieto tirgus dalībnieka datorus ārpus darba telpām. Šī kārtība nedrīkst samazināt noteikto informācijas resursu aizsardzības līmeni.
7.7. Datortīklu aizsardzība:
7.7.1. tirgus dalībnieks izstrādā un uztur datortīkla shēmu, kurā parādīta datortīklā savienotā aparatūra un nodrošinātie pakalpojumi;
7.7.2. datu plūsmā starp lokālo datortīklu un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei. Šim nolūkam var lietot ugunsmūra sistēmu;
7.7.3. regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām, un ka darbojas rezerves savienojumi;
7.7.4. pieslēgšanos tirgus dalībnieka IS no loģiski attālas vietas aizsargā, lietojot kriptogrāfijas līdzekļus kopā ar lietotāja paroli tā, lai droši noteiktu lietotāja autentiskumu;
7.7.5. ja tirgus dalībnieks piedāvā klientam pakalpojumus, lietojot ārējos tīklus un pārsūtot klienta datus (piemēram, interneta bankas pakalpojumi), tad tirgus dalībnieks nodrošina klienta datu integritāti un konfidencialitāti. Pārsūtot datus, lieto kriptogrāfijas līdzekļus saskaņā ar 7.8. punktu. Klientu autentifikācijai papildus kodam un parolei lieto citus drošības līdzekļus (piemēram, kodu kartes, viedkartes vai elektronisko parakstu).
7.8. Tirgus dalībnieks, lietojot kriptogrāfijas līdzekļus (piemēram, publisko atslēgu infrastruktūru), rakstveidā nosaka to lietošanas kārtību, kā arī veic kriptogrāfijas līdzekļu (piemēram, privāto un slepeno atslēgu) klasificēšanu un nodrošina to pietiekamu aizsardzību.
7.9. Tirgus dalībnieks veic papildu loģiskās aizsardzības pasākumus atkarībā no IS informācijas resursu klasifikācijas līmeņa.
7.10. Tirgus dalībnieks veic līdzvērtīgus loģiskās aizsardzības pasākumus klasificētiem informācijas resursiem neatkarīgi no datu glabāšanas veida (t.sk. disketes, papīra dokumenti, audiokasetes u.tml.).
7.11. Tirgus dalībnieks sadarbībā ar ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem:
7.11.1. nosaka prasības iesaistīto personu atbildībai, pagaidu lietotāju kontu piešķiršanai, pārmaiņu pārvaldīšanai un citas IS drošības prasības;
7.11.2. saskaņojot ar IS resursu turētājiem, piešķir pieejas tiesības IS resursiem ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem tikai to pienākumu veikšanai nepieciešamajā apjomā;
7.11.3. nosaka informācijas izpaušanas ierobežojumus.
7.12. Ja IS uztur ārējais pakalpojumu sniedzējs, tam jānodrošina IS drošības līmenis, kas nav zemāks par tirgus dalībnieka noteikto. Tirgus dalībnieks iepazīstina ārējo pakalpojumu sniedzēju ar IS drošības prasībām.
8.1. Veicot IS izstrādes, iegādes, ieviešanas un pārmaiņu pārvaldīšanas procesu, tirgus dalībnieks ievēro un atbild par IS drošības prasību ievērošanu neatkarīgi no tā, vai šos procesus veic pats tirgus dalībnieks vai ārējais izstrādātājs un piegādātājs. Tas pats jāievēro, veicot būtiskas izmaiņas datortīkla ārējo pieslēgumu konfigurācijā.
8.2. Tirgus dalībnieks nosaka IS izstrādes, iegādes, ieviešanas un pārmaiņu pārvaldīšanas procesus iekšējos normatīvos aktos un dokumentē to gaitu.
8.3. IS izstrādes uzsākšana:
8.3.1. tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus;
8.3.2. atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus;
8.3.3. izstrādājamās IS resursu turētāji veic drošības prasību noteikšanu šai IS.
8.4. IS izstrāde:
8.4.1. IS izstrādes videi ir jāatbilst drošības prasībām, un to nodala no lietošanas vides;
8.4.2. pieejas tiesības IS izstrādes videi nosaka atbilstoši projektā iesaistīto personu pienākumiem;
8.4.3. katrai IS ir jābūt dokumentētai. Dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim. Dokumentācijai nodrošina rezerves kopijas, kuras glabā pēc līdzīgiem nosacījumiem kā citu datu rezerves kopijas;
8.4.4. dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS instalācijas apraksts, IS administratora un lietotāju instrukcijas u.c.).
8.5. Testēšana:
8.5.1. pirms IS ieviešanas tirgus dalībnieks veic IS darbības funkcionalitātes un drošības atbilstības noteiktajām prasībām pārbaudi;
8.5.2. tirgus dalībnieks nodala IS testa vidi no izstrādes un lietošanas vides;
8.5.3. testos piedalās personas, kas ir noteikušas funkcionalitātes un drošības prasības, IS resursu turētāji un lietotāji;
8.5.4. pamatojoties uz testu rezultātiem, tirgus dalībnieks nodrošina IS koriģēšanu vai uzsāk tās ieviešanu.
8.6. Ieviešana:
8.6.1. pirms IS ieviešanas ir jāsaņem to IS resursu turētāju atļauja, kuru IS resursi tiks ietekmēti, lietojot jauno IS;
8.6.2. pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību un citus pasākumus saskaņā ar 5.3. punktu;
8.6.3. ieviešot IS, tajā nedrīkst būt testētāju lietotāja kodi un testēšanas datu faili;
8.6.4. tirgus dalībnieks nodrošina, lai tiktu saglabāti tam pieejamie ieviestās IS pirmkodi.
8.7. Pārmaiņu pārvaldīšana:
8.7.1. IS pārmaiņas tiek veiktas tikai ar visu saistīto IS resursu turētāju atļauju;
8.7.2. IS pārmaiņas izdara, ievērojot 8.3.–8.6. punkta prasības;
8.7.3. tirgus dalībnieks identificē visus informācijas un tehnoloģiskos resursus, kurus ietekmē pārmaiņas;
8.7.4. tirgus dalībnieks analizē, kā pārmaiņas ietekmēs esošos IS drošības pasākumus un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis;
8.7.5. tirgus dalībnieks veic IS dokumentācijas papildināšanu;
8.7.6. tirgus dalībnieks uztur visu pārmaiņu reģistrācijas žurnālu;
8.7.7. tirgus dalībnieks veido un uztur IS versiju bibliotēku, lai būtu iespēja uzstādīt programmas iepriekšējo versiju, ja jaunā, mainītā versija nav apmierinoša;
8.7.8. pirms pārmaiņu ieviešanas veido rezerves kopijas tām IS, kuras var ietekmēt pārmaiņas;
8.7.9. pēc pārmaiņu ieviešanas tirgus dalībnieks pārliecinās, vai IS pārmaiņu rezultātā ir saglabāta datu integritāte un IS drošības līmenis;
8.7.10. tirgus dalībnieks izstrādā noteikumus par darbībām ārkārtas (neplānotu) pārmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas pārmaiņām. Jāveic pasākumi, lai samazinātu nepieciešamību veikt ārkārtas pārmaiņas. Ārkārtas pārmaiņām veido auditācijas pierakstus.
8.8. IS lietošanas izbeigšana:
8.8.1. likvidējot IS, nododot to citai personai, t.sk. gadījumos, kad tirgus dalībnieks pārtrauc kādu uzņēmējdarbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus;
8.8.2. likvidējot IS, veic risku analīzi, kurā izvērtē iespējamo apdraudējumu citām IS un tirgus dalībniekam kopumā;
8.8.3. tirgus dalībniekam ir nepieciešams pieņemt lēmumu par IS lietošanas izbeigšanu, nosakot turpmākās darbības ar IS — pilnīga likvidēšana vai glabāšana arhīvā;
8.8.4. ja IS pilnībā likvidē, tirgus dalībnieks nodrošina IS ietilpstošo informācijas resursu likvidēšanu saskaņā ar 6.6.5. punktu;
8.8.5. ja IS ievieto arhīvā, tirgus dalībnieks nodrošina noteikto IS drošības līmeni un likvidē lietošanas tiesības, kuras var atjaunot vēsturisko datu caurskatīšanai ar atbildīgās amatpersonas lēmumu.
9.1. Tirgus dalībnieks nodrošina savlaicīgu funkciju atjaunošanu, ja ir bijuši IS darbības pārtraukumi.
9.2. IS darbības nepārtrauktības pārvaldīšanas ietvaros tirgus dalībnieks veic šādus pasākumus:
9.2.1. identificē visas būtiskās savas darbības funkcijas, kuras nodrošina tirgus dalībnieka IS;
9.2.2. nosaka prioritātes līmeņus atjaunojamajām funkcijām atkarībā no to svarīguma tirgus dalībnieka darbības veikšanai un zaudējumu samazināšanai;
9.2.3. identificē apdraudējumus, kas var pārtraukt vai bojāt IS darbību;
9.2.4. nosaka darbības atjaunošanas vai aizstāšanas prasības katrai funkcijai un IS, kura šo funkciju nodrošina;
9.2.5. nosaka atbildīgās personas, kas veic IS darbības atjaunošanas plāna izstrādi, uzturēšanu, testēšanu un realizēšanu.
9.3. Tirgus dalībnieks izstrādā IS darbības atjaunošanas plānu saskaņā ar tirgus dalībnieka darbības atjaunošanas plānu. IS darbības atjaunošanas plānā iekļauj atjaunojamos IS pakalpojumus prioritārā secībā, veicamo darbu sarakstu un atbildīgos darbiniekus.
9.4. Tirgus dalībnieks izstrādā dokumentētu datu rezerves kopiju veidošanas procedūru. Datu nesējus ar rezerves kopijām glabā attālināti no datu apstrādes vietas un glabā saskaņā ar 6.6. punktu. Datu nesēju loģiskās aizsardzības pasākumus veic saskaņā ar 7.10. punktu. Regulāri (ne retāk kā reizi gadā) pārbauda, vai no rezerves kopijām iespējams atjaunot datus un IS.
9.5. Tirgus dalībnieks veic regulāru (ne retāk kā reizi gadā) IS darbības atjaunošanas procesos iesaistīto personu apmācību un plāna testēšanu, lai pārliecinātos, ka plāns darbojas.
9.6. IS darbības atjaunošanas plānu regulāri atjauno, lai saglabātu tā aktualitāti. Plānu koriģē, mainoties IS funkcijām un gadījumā, ja mainās kāda no plānā iesaistītajām pusēm (t.sk. ārējais pakalpojumu sniedzējs).
10.2. Tirgus dalībniekiem, kuri līdz 2002. gada 1. novembrim ir saņēmuši speciālu atļauju (licenci) profesionālās darbības veikšanai, kā arī Latvijas Centrālajam depozitārijam jāievieš noteikumu prasības esošajām IS līdz 2003. gada 1. novembrim.
10.3. Līdz ar šo noteikumu spēkā stāšanos spēku zaudē ar Finanšu un kapitāla tirgus komisijas padomes 2001. gada 2. novembra lēmumu Nr. 17/4 apstiprinātie “Banku informācijas tehnoloģijas drošības noteikumi”.
1. Uzsākot risku analīzi, IS resursu turētāji apzina visus informācijas sistēmas vai IS projekta apdraudējumus. Lai apzinātu visus iespējamos IS apdraudējumus, IS resursu turētāji var lietot šādu apdraudējumu klasifikāciju:
1.1. IS resursu apdraudējums:
1.1.1. informācijas resursu apdraudējums,
1.1.2. tehnoloģisko resursu apdraudējums;
1.2. apdraudējums pēc IS pastāvēšanas posma:
1.2.1. IS izstrādes un ieviešanas laikā,
1.2.2. IS lietošanas un uzturēšanas laikā,
1.2.3. IS izmaiņu veikšanas laikā;
1.3. apdraudējums pēc resursu klasifikācijas:
1.3.1. konfidencialitātes apdraudējums (nesankcionētas lasīšanas un kopēšanas draudi),
1.3.2. vērtības apdraudējums (nesankcionētu izmaiņu, bojājumu un zudumu draudi),
1.3.3. pieejamības apdraudējums (sankcionētās pieejas traucējumi noteiktā pieejas laikā).
2. Katram IS apdraudējumam tiek novērtēta īstenošanās iespējamība noteiktā laika periodā. Novērtējumu veic, ņemot vērā esošo IS drošības situāciju. Novērtējuma procesā var lietot pieejamos statistikas datus, speciālistu pieredzi un citus avotus.
3. Apdraudējuma iespējamību noteiktā laika periodā var novērtēt šādos līmeņos:
3.1. nav iespējams, ka šāds drauds īstenosies, novērtējums — 0;
3.2. maz iespējams, ka šāds drauds īstenosies, novērtējums — 1;
3.3. vidēji iespējams, ka šāds drauds īstenosies, novērtējums — 2;
3.4. ļoti iespējams, ka šāds drauds īstenosies, novērtējums — 3.
4. Tirgus dalībnieks nosaka katra IS apdraudējuma ietekmi uz IS noteiktā laika periodā. Ja ir iespējams noteikt šo ietekmi naudas izteiksmē (potenciālie zaudējumi), tad ir mērķtiecīgi to darīt, jo tas ļauj novērtēt riska ierobežošanas izmaksu un potenciālo zaudējumu samērojamību.
5. IS apdraudējuma ietekmi noteiktā laika periodā var novērtēt šādos līmeņos:
5.1. IS apdraudējumam nav nekādas negatīvas ietekmes uz IS, novērtējums — 0;
5.2. IS apdraudējumam ir maza ietekme uz IS, novērtējums — 1;
5.3. IS apdraudējumam ir vidēja ietekme uz IS, novērtējums — 2;
5.4. IS apdraudējumam ir liela ietekme uz IS, novērtējums — 3.
6. Lai aprēķinātu konkrētā apdraudējuma risku, sareizina abus riska faktorus (apdraudējuma īstenošanās iespējamību un ietekmi). Risku nosaka katram apdraudējumam. Iegūtās vērtības ļauj noteikt IS kritiskākos apdraudējumus, lai noteiktu risku pārvaldīšanas pasākumu prioritātes.