Ministru kabineta noteikumi Nr. 16

Rīgā 2019. gada 15. janvārī (prot. Nr. 2 3. §)

Grozījumi Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"

Izdoti saskaņā ar Informācijas tehnoloģiju
drošības likuma 8. panta piekto un sesto daļu un
Valsts informācijas sistēmu likuma 4. panta otro daļu

Izdarīt Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (Latvijas Vēstnesis, 2015, 149. nr.; 2017, 254. nr.) šādus grozījumus:

1. Papildināt norādi, uz kāda likuma pamata noteikumi izdoti, aiz vārda "piekto" ar vārdiem "un sesto".

2. Izteikt 1.1. apakšpunktu šādā redakcijā:

"1.1. valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām;".

3. Papildināt noteikumus ar 1.3. apakšpunktu šādā redakcijā:

"1.3. informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji."

4. Papildināt 3. punktu aiz vārdiem "attiecas uz" ar vārdiem "valsts un pašvaldību institūciju vai informācijas tehnoloģiju kritiskās infrastruktūras".

5. Papildināt 4. punktu aiz vārdiem "drošības pārvaldnieks" ar vārdiem "bet attiecībā uz informācijas tehnoloģiju kritisko infrastruktūru – par infrastruktūras drošību atbildīgā persona".

6. Papildināt noteikumus ar 4.¹ un 4.² punktu šādā redakcijā:

"4.¹ Valsts un pašvaldību institūcijas savā darbībā izmanto informācijas un komunikācijas tehnoloģijas, kas atbilst šajos noteikumos sistēmām noteiktajām prasībām, kā arī ņem vērā kompetentās valsts drošības iestādes un Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas izstrādātos ieteikumus par izmantojamām informācijas un komunikācijas tehnoloģijām (tostarp par bezmaksas programmatūru un veicamajiem drošības pasākumiem). 

4.² Privāto tiesību juridiskās personas, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, ievēro šajos noteikumos sistēmām noteiktās prasības, ciktāl šajos noteikumos nav noteikts citādi."

7. Aizstāt 7. punkta ievaddaļā vārdus "Lai sistēmu iedalītu" ar vārdiem "Lai valsts un pašvaldību institūciju sistēmu, kas nav kritiskās infrastruktūras informācijas sistēma vai sistēma, ko izmanto pamatpakalpojuma un digitālā pakalpojuma sniegšanai, iedalītu".

8. Aizstāt 7.1.4., 7.1.5., 7.1.6. un 7.1.7. apakšpunktā vārdu "institūcija" (attiecīgā locījumā) ar vārdiem "valsts un pašvaldību institūcija" (attiecīgā locījumā).

9. Aizstāt 7.1.8. un 7.1.9. apakšpunktā vārdus "institūcijas, citu institūciju" ar vārdiem "valsts un pašvaldību institūcijas, citu institūciju".

10. Papildināt noteikumus ar 7.¹ punktu šādā redakcijā:

"7.¹ Kritiskās infrastruktūras informācijas sistēmas un sistēmas, ko izmanto pamatpakalpojuma vai digitālā pakalpojuma sniegšanai attiecīgi pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs, ir atzīstamas par paaugstinātas drošības sistēmām."

11. Aizstāt 8. punktā vārdus "Katra institūcija" ar vārdiem "Valsts un pašvaldību institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pamatpakalpojuma sniedzējs vai digitālā pakalpojuma sniedzējs (turpmāk – institūcija)".

12. Izteikt 15.4. apakšpunktu šādā redakcijā:

"15.4. sistēmas lietotāja paroles garums nav mazāks par deviņām rakstu zīmēm un satur vismaz vienu lielo latīņu alfabēta burtu un mazo latīņu alfabēta burtu, kā arī ciparu vai speciālu simbolu;".

13. Izteikt 15.10. apakšpunktu šādā redakcijā:

"15.10. tiek nodrošināta sistēmas auditācijas pierakstu (turpmāk – sistēmas pieraksti) veidošana un uzglabāšana vismaz sešus mēnešus pēc ieraksta izdarīšanas. Sistēmas pierakstos ietver informāciju par pieslēgšanos vai atslēgšanos no sistēmas, datu atlasi, kā arī konta izveidi, grozīšanu vai dzēšanu, fiksējot notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC), interneta protokola adresi, no kuras veikta darbība, aprakstu, kā arī informāciju par darbības iniciatoru – identifikatoru, pieslēguma metadatus;".

14. Papildināt 21. un 22. punktu aiz vārda "Ja" ar vārdiem "valsts un pašvaldību".

15. Aizstāt 23. punktā vārdu "institūcija" ar vārdiem "valsts un pašvaldību institūcija".

16. Izteikt 24.6. apakšpunktu šādā redakcijā:

"24.6. tiek nodrošināta sistēmas (gan servisa, gan operētājsistēmas) pierakstu veidošana (ietverot sistēmas auditācijas datus – autentifikācijas datus un tīkla plūsmas auditācijas datus, domēna vārdu sistēmas (DNS) servera pierakstus, ielaušanās atklāšanas sistēmu (IDS) pierakstus, operētājsistēmas autentifikācijas pierakstus) un uzglabāšana vismaz 18 mēnešus pēc ieraksta izdarīšanas, uzglabājot sistēmas pierakstus vai to kopijas atsevišķi – nodalīti no attiecīgās sistēmas;".

17. Papildināt noteikumus ar 25.14. un 25.15. apakšpunktu šādā redakcijā:

"25.14. kārtību, kādā izvērtē ieviešamo sistēmas jauninājumu ietekmi uz sistēmu drošību;

25.15. kārtību, kādā veido, uzglabā, apstrādā un dzēš sistēmas pierakstu datnes."

18. Svītrot 31. punktu.

19. Papildināt III nodaļu ar 36.¹ un 36.² punktu šādā redakcijā:

"36.¹ Līgumu par pakalpojumu, programmatūru vai iekārtu iegādi paaugstinātas drošības sistēmām atļauts slēgt ar juridisku personu, kas ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fizisku personu, kas ir Latvijas Republikas valstspiederīgais, NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis.

36.² Privāto tiesību juridiskās personas, kuras ir atzītas par pamatpakalpojuma sniedzējiem vai kuru īpašumā vai valdījumā esošās sistēmas ir atzītas par kritiskās infrastruktūras informācijas sistēmām, sešu mēnešu laikā no dienas, kad pieņemts lēmums par pamatpakalpojuma sniedzēja statusa piešķiršanu vai par atzīšanu par kritisko infrastruktūru, nodrošina, ka attiecīgās sistēmas atbilst šajos noteikumos noteiktajām prasībām."

20. Aizstāt 38. punktā vārdu "Institūcijas" ar vārdiem "Valsts un pašvaldību institūcijas".

21. Papildināt noteikumus ar 43. punktu šādā redakcijā:

"43. Privāto tiesību juridiskajām personām, kas ir informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji, pamatpakalpojuma sniedzēji un digitālo pakalpojumu sniedzēji, šo noteikumu prasības piemēro ar 2019. gada 1. maiju."

22. Papildināt noteikumus ar informatīvu atsauci uz Eiropas Savienības direktīvu šādā redakcijā:

"Informatīva atsauce uz Eiropas Savienības direktīvu

Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2016. gada 6. jūlija Direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā."

Ministru prezidents Māris Kučinskis

Aizsardzības ministrs Raimonds Bergmanis