Ieteikumi informācijas tehnoloģiju drošības pārvaldībai valsts un pašvaldību institūcijās un informācijas tehnoloģiju kritiskajā infrastruktūrā*

Valsts un pašvaldību institūcijas, kā arī informācijas tehnoloģiju kritiskā infrastruktūra:

• plānojot informācijas sistēmu drošības pasākumus, balstās uz šo sistēmu risku analīzi, kas izstrādāta, ņemot vērā globālos un lokālos apdraudējumus informācijas tehnoloģiju jomā. Risku analīze tiek pārskatīta vismaz reizi gadā vai konstatējot informācijas sistēmu aktuālus, iepriekš nezināmus, drošības apdraudējumus, kā arī pēc nozīmīga sistēmas drošības incidenta;
• organizējot infrastruktūras funkcionēšanai nozīmīgu informācijas tehnoloģiju produktu un pakalpojumu iepirkumu procedūras, nosaka, ka attiecīgie produkti un pakalpojumi ir ražoti / izstrādāti un produktu ražotājs / pakalpojumu sniedzējs ir a) juridiska persona, kas ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas (turpmāk – EEZ) dalībvalstī un tās patiesā labuma guvējs ir NATO, Eiropas Savienības vai EEZ valsts pilsonis, b) vai arī fiziska persona, kura ir NATO, Eiropas Savienības vai EEZ valsts pilsonis;
• vērtējot infrastruktūras funkcionēšanai nozīmīgu informācijas tehnoloģiju produktu un pakalpojumu iepirkumus, dod priekšroku tādiem produktiem un pakalpojumiem, kas sertificēti NATO, Eiropas Savienībā vai kādā to dalībvalstī un atbilst starptautiskajiem standartiem informācijas tehnoloģiju drošības jomā;
• vērtējot infrastruktūras funkcionēšanai nozīmīgu informācijas tehnoloģiju produktu un pakalpojumu iepirkumus, nedod priekšroku tādiem produktiem un pakalpojumiem, kuru izcelsmes vai mītnes valstīm ir ofensīvas kiberprogrammas pret NATO, Eiropas Savienību un to dalībvalstīm (piemēram, Krievijai, Ķīnai, Ziemeļkorejai, Irānai);
• informācijas tehnoloģiju kritiskā infrastruktūra un, atbilstoši valsts drošības iestādes pieprasījumam, arī jebkura valsts vai pašvaldības institūcija ar kompetento valsts drošības iestādi saskaņo infrastruktūras funkcionēšanai nozīmīgu, ārpus NATO, Eiropas Savienības vai EEZ ražotu produktu vai radītu pakalpojumu lietošanu vai izmantošanu.

Valsts un pašvaldību institūcijām, kā arī informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem jautājumu gadījumā lūdzam sazināties pa e-pastu: rekomendacijas@sab.gov.lv

*Ieteikumi izdoti saskaņā ar Ministru kabineta 2015.gada 28.jūlija noteikumu Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 4.1 punktu.