Finanšu un kapitāla tirgus komisijas normatīvie noteikumi Nr.278
Rīgā 2010.gada 8.oktobrī
(Finanšu un kapitāla tirgus komisijas padomes sēdes protokols Nr.39 2.p.)
Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi
Izdoti saskaņā
ar Kredītiestāžu likuma 50.8 panta sesto daļu
un 50.9 panta astoto daļu, Finanšu instrumentu tirgus
likuma
123.3 panta sesto daļu un 123.4 panta
astoto daļu, Apdrošināšanas sabiedrību
un to uzraudzības likuma 50. panta otro daļu, likuma
''Par privātajiem pensiju fondiem'' 28. panta sesto daļu un
Finanšu un kapitāla tirgus komisijas likuma 7. panta pirmās daļas
1. punktu
I. Vispārīgie jautājumi
1. "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētiem finanšu un kapitāla tirgus dalībniekiem (tālāk tekstā – tirgus dalībnieks): kredītiestādēm, krājaizdevu sabiedrībām, maksājumu iestādēm, apdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, privātajiem pensiju fondiem, regulētā tirgus organizētājiem, Latvijas Centrālajam depozitārijam, ieguldījumu brokeru sabiedrībām un ieguldījumu pārvaldes sabiedrībām.
2. Noteikumu mērķis ir ierobežot tirgus dalībnieku darbībai un klientiem sniegto pakalpojumu nodrošināšanai izmantojamo informācijas sistēmu (tālāk tekstā arī – IS) riskus, kā arī noteikt vienoti strukturētas prasības tirgus dalībnieku IS drošības risku pārvaldībai.
3. Noteikumi nosaka prasību minimumu. Tirgus dalībnieks var ieviest papildu aizsardzības pasākumus atkarībā no informācijas resursu klasifikācijas līmeņa un veiktās risku analīzes, ņemot vērā uzņēmuma sniegtos pakalpojumus, darbinieku skaitu un informācijas tehnoloģiju (tālāk tekstā – IT) izmantošanas līmeni.
II. Termini
4. Auditācijas pieraksti – analīzei pieejami pieraksti, kuros reģistrēti dati par noteiktiem notikumiem IS (piekļuve, datu ievade, maiņa, dzēšana, izvade u.c.).
5. Ārpakalpojuma sniedzējs – trešā persona, kas pēc tirgus dalībnieka pieprasījuma nodrošina tirgus dalībnieka IT un IS pārvaldību, attīstību, drošību, auditu vai sniedz citu tirgus dalībniekam nepieciešamu pakalpojumu, kas saistīts ar IS.
6. Drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina IS risku līdz pieļaujamajam līmenim.
7. Ievainojamība – IS nepilnība, kas ļauj kādam noteiktam apdraudējumam īstenoties un ietekmēt IS drošību.
8. Informācijas devējs – persona, kas iesniegusi informāciju tirgus dalībniekam, vai persona, ar kuru saistītā informācija ir ietverta IS (piemēram, tirgus dalībnieka klienti).
9. Informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.
10. Informācijas konfidencialitāte – piekļuves nodrošināšana informācijai tikai pilnvarotām personām.
11. Informācijas integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.
12. Informācijas pieejamība – iespēja pilnvarotām personām lietot informāciju noteiktā laikā un vietā.
13. Informācijas resursi – informācijas vienības, kurās ietilpst datu faili, kas satur IS glabājamo, apstrādājamo un IS lietotājiem pieejamo informāciju, kā arī visi IS ievades un izvades dokumenti neatkarīgi no datu nesēja veida.
14. Informācijas resursu turētājs – persona, kas ir atbildīga par informācijas resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
15. IS drošība – IS konfidencialitātes, integritātes un pieejamības prasību nodrošināšana.
16. IS drošības incidents – kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta vai var tikt apdraudēta IS drošība (t.sk. uzbrukumi IS vai datortīkla iekārtai, darbības, kas izraisa vai var izraisīt neautorizētu piekļuvi IS, pakalpojuma atteikumi).
17. IS lietotājs – persona, kura piešķirto pilnvaru robežās lieto IS.
18. IS resursi – šo noteikumu 13. un 21. punktā minētie resursi.
19. IS resursu turētājs – informācijas resursu vai tehnoloģisko resursu turētājs.
20. Risks – ar IS funkcionēšanu saistīta organizācijas varbūtēja nespēja pilnvērtīgi un kvalitatīvi veikt kādu savu saistību vai funkciju izpildi, ko nosaka kā nevēlamā notikuma iespējamības un tā seku kombināciju.
21. Tehnoloģiskie resursi – IS sastāvdaļa, kurā ietilpst sistēmprogrammas, lietojumprogrammas, palīgprogrammas, sistēmfaili, datori, datortīkli, aparatūra un citas iekārtas, kas nodrošina IS darbību.
22. Tehnoloģisko resursu turētājs – persona, kas ir atbildīga par tehnoloģiskajiem resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
III. Informācijas sistēmu drošības organizēšana
23. Vadības atbildība un atbalsts
23.1. Tirgus dalībnieka vadība ir atbildīga par IS drošības politikas un IT stratēģijas noteikšanu un īstenošanu, darbinieku pienākumu un atbildības noteikšanu, kontroles organizēšanu, kā arī adekvātu resursu piešķiršanu IS drošības un IS audita funkciju pilnvērtīgai nodrošināšanai.
23.2. IS drošības politikas mērķis ir definēt tirgus dalībnieka vadības nostāju un atbalstu IS drošības nodrošināšanai atbilstoši tirgus dalībnieka un tā klientu vajadzībām.
24. Normatīvi
24.1. Tirgus dalībnieks apstiprina hierarhiski strukturētu dokumentu kopumu, kas nosaka IS pārvaldību, t.sk. IS drošības pārvaldību un IS drošības pasākumu piemērošanas kārtību.
24.2. Tirgus dalībnieks dokumentē vismaz tos IS pārvaldības procesus, kuru neizpilde var radīt IS drošības riskus.
24.3. Tirgus dalībnieks nodrošina normatīvu aktualizāciju un pieejamību darbiniekiem.
24.4. Tirgus dalībnieks nosaka darbinieku atbildību par normatīvu neievērošanu.
25. IS drošības funkcija
25.1. Tirgus dalībnieks nodrošina IS drošības funkciju, lai realizētu risku kontroli un IS drošības pasākumu īstenošanu.
25.2. IS drošības funkcijas ietvaros tirgus dalībnieks nodrošina vismaz:
25.2.1. IS drošības normatīvu izstrādi un aktualizēšanu;
25.2.2. IS klasifikācijas un risku vadības procesa koordināciju;
25.2.3. vadības informēšanu par drošības līmeņa atbilstību prasībām un būtiskiem IS drošības incidentiem;
25.2.4. noteikto drošības pasākumu uzraudzību;
25.2.5. darbinieku apmācību un informēšanu IS drošības jomā;
25.2.6. IS drošības incidentu risināšanu un izmeklēšanu;
25.2.7. dalību IS darbības atjaunošanas un nepārtrauktības plānošanā.
25.3. Tirgus dalībnieks nodrošina IS drošības funkcijas neatkarību no IS izstrādes un uzturēšanas funkcijām. Ja par IS drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
26. IS audita funkcija
26.1. Tirgus dalībnieks nodrošina IS audita funkciju, lai nodrošinātu IS drošības pasākumu īstenošanas neatkarīgu pārbaudi.
26.2. Audita funkciju var nodrošināt arī ārpakalpojuma sniedzējs.
26.3. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā veikto ar IS drošību saistīto auditu sarakstu, norādot auditu tēmas, mērķus un auditu veicēju.
27. Ārpakalpojumu vadība
27.1. Tirgus dalībnieka IT un IS pārvaldību, attīstību vai drošību var nodrošināt trešā persona – ārpakalpojuma sniedzējs.
27.2. Pirms lēmuma pieņemšanas par ārpakalpojumu iegādi tirgus dalībnieks veic risku izvērtēšanu.
27.3. IS drošības līmenis nedrīkst būt zemāks par šajos noteikumos un tirgus dalībnieka noteikto, ja IS attīsta vai uztur ārpakalpojuma sniedzējs.
27.4. Tirgus dalībnieks veic ārpakalpojumu uzraudzību. Ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
IV. Informācijas sistēmu resursu pārvaldība
28. Resursu piederība
28.1. Tirgus dalībnieks rakstveidā norīko IS resursu turētājus visiem informācijas un tehnoloģiskajiem resursiem.
28.2. Informācijas resursu turētāja pienākumi ir šādi:
28.2.1. klasificēt viņa turējumā esošos informācijas resursus;
28.2.2. piedalīties viņa turējumā esošo informācijas resursu un saistīto IS risku analīzē;
28.2.3. apstiprināt pieejas tiesības IS;
28.2.4. apstiprināt IS izmaiņu veikšanu un ieviešanu;
28.2.5. noteikt prasības auditācijas pierakstu veidošanai;
28.2.6. sadarboties ar IS tehnoloģisko resursu turētāju IS funkcionalitātes un drošības jautājumos.
28.3. Tirgus dalībnieks nodrošina informācijas resursu turētāju apmācību to pienākumu izpildē.
28.4. Tehnoloģisko resursu turētāja pienākumi ir šādi:
28.4.1. nodrošināt tehnoloģisko resursu fizisko un loģisko aizsardzību;
28.4.2. sadarboties ar informācijas resursu turētāju, lai īstenotu viņa prasības par informācijas resursu aizsardzību un piekļuvi tiem;
28.4.3. piedalīties risku analīzē, noteikt ar tehnoloģiskajiem resursiem saistītos IS apdraudējumus un novērtēt šo apdraudējumu īstenošanās varbūtību;
28.4.4. nodrošināt IS atjaunošanas procedūras, ja tehnoloģiskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
28.4.5. sadarboties ar IS informācijas resursu turētāju IS funkcionalitātes un drošības jautājumos.
28.5. Resursu turētājs minētos pienākumus var uzdot pildīt resursu aizbildņiem – personām, kuras norīkojis resursu turētājs un kuras ikdienā ir atbildīgas par attiecīgajiem IS resursiem vai to daļu.
29. IS klasifikācija
29.1. Klasifikācijas mērķis ir novērtēt IS nozīmību un nodrošināt tās aizsardzību atbilstoši klasifikācijas līmenim. Tirgus dalībnieks veic visu IS klasificēšanu, nosakot IS konfidencialitātes, vērtības un pieejamības līmeni, un to dokumentē.
29.2. Konfidencialitātes līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja tiktu pieļauts, ka šai IS piekļūst nepilnvarotas personas.
29.3. Vērtības līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS integritāte.
29.4. Resursu pieejamības līmeni IS tirgus dalībnieks nosaka atkarībā no tirgus dalībnieka pamatdarbības vajadzībām (business requirements), ņemot vērā kaitējumu, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS resursu pieejamība, un nosaka pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un pieļaujamo laika periodu, par kuru datus var zaudēt (Recovery Point Objective).
29.5. Tirgus dalībnieks pielieto IS klasifikācijas shēmu, kura atbilst šiem noteikumiem un kurā ir vismaz divi katras klasifikācijas kategorijas līmeņi.
29.6. Tirgus dalībnieks atbilstoši informācijas klasifikācijas līmenim nosaka klasificētas informācijas lietošanas un aizsardzības prasības.
V. Risku analīze un pārvaldība
30. Risku analīzes un pārvaldības mērķi ir:
30.1. noteikt pieļaujamo jeb akceptējamo risku lielumu (risku limitu);
30.2. novērtēt IS apdraudējuma īstenošanās varbūtību, kurā IS apdraudējums ir ar nodomu (tīši) vai aiz neuzmanības izdarīta darbība vai bezdarbība, vai iespējams notikums, kas var izraisīt IS drošības incidentu;
30.3. novērtēt iespējamo kaitējumu informācijas devējam, tirgus dalībniekam vai citai personai, ja nav nodrošināta IS drošība;
30.4. noteikt atbilstošos un nepieciešamos drošības pasākumus, ja risks ir nepieņemams;
30.5. akceptēt pēc drošības pasākumu īstenošanas atlikušo risku (atbilstību noteiktajam risku limitam).
31. Risku analīze ir regulārs process. Tirgus dalībnieks to veic visā IS dzīves ciklā, t.sk. sākot IS projektu, veicot nozīmīgas IS izmaiņas, parādoties jauniem būtiskiem apdraudējumiem, īstenojoties nozīmīgiem incidentiem vai pieaugot to kopējam skaitam.
32. Tirgus dalībnieks risku analīzi veic, lietojot tā apstiprināto metodiku. Tirgus dalībnieks lieto tādu risku analīzes metodiku, kas ļauj efektīvi realizēt šo noteikumu 30. punktā noteiktos mērķus.
33. Tirgus dalībnieks plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos.
34. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Tirgus dalībnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību.
VI. Personāla loma informācijas sistēmu drošībā
35. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic pasākumus, kas ierobežo no darbinieku darbības vai bezdarbības izrietošos IS drošības riskus, kā arī nosaka darbinieku lomu IS drošības pasākumos un veicina personāla izpratni par IS lietošanas kārtību un aizsardzības nepieciešamību.
36. Tirgus dalībnieks nodrošina, ka IS lietotāju zināšanu līmenis ir atbilstošs IS lietošanas vajadzībām.
37. Tirgus dalībnieks pirms darba pienākumu izpildes iepazīstina darbiniekus ar IS darbību reglamentējošajiem dokumentiem.
38. Tirgus dalībnieks nosaka IS lietotāja:
38.1. atbildību par IS darbību reglamentējošo dokumentu neievērošanu;
38.2. atbildību par visām darbībām, kuras IS ir veiktas ar viņa lietotāja vārdu;
38.3. pienākumu ievērot konfidencialitātes saistības attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus;
38.4. pienākumu informēt atbilstošo personu (piemēram, IS drošības vadītāju) par IT drošības incidentiem un apdraudējumiem.
39. Drošības apzināšanās veicināšana
39.1. Tirgus dalībnieks regulāri veic plānveida pasākumus, kas sekmē katra darbinieka izpratni par IS aizsardzību un veicina darbinieku kopējo IS drošības apzināšanos (security awareness).
39.2. Tirgus dalībnieks nosaka, kā un cik bieži darbinieki tiek informēti un apmācīti par IS drošības jautājumiem.
39.3. Tirgus dalībnieks veic darbinieku apmācību klasificētas informācijas aizsardzībā.
VII. Fiziskās un vides drošības pārvaldība
40. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS fiziskās aizsardzības pasākumus, kas aizsargā no nevēlamiem apkārtējās vides (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem (neatbilstoša elektroenerģijas padeve, elektromagnētiskā lauka iedarbība u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.).
41. IS infrastruktūras (tehnoloģisko resursu, t.sk. serveru, disku masīvu, datortīkla iekārtu un kabeļu u.c., izņemot gala lietotāju tehnoloģiskos resursus) fiziskā aizsardzība
41.1. Tirgus dalībnieks IS infrastruktūru ekspluatē ierobežotas pieejas telpās, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi. Ja to nosaka tehnoloģiska nepieciešamība, tad, ekspluatējot ārpus ierobežotas pieejas telpām, IS tehnoloģiskos resursus fiziski norobežo. IS infrastruktūras telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība.
41.2. Tirgus dalībnieks nosaka, kuras personas drīkst iekļūt šo noteikumu 41.1. punktā minētajās telpās, un to piekļuvi reģistrē. Šo personu sarakstā iekļauj tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve IS infrastruktūrai.
41.3. Trešās personas IS infrastruktūras telpās drīkst uzturēties tikai to personu klātbūtnē, kurām ir tiesības piekļūt IS infrastruktūras telpām.
41.4. Tirgus dalībnieks nodrošina IS infrastruktūras telpu mikroklimatu (mitrumu, temperatūru u.tml.) atbilstoši IS infrastruktūras darbināšanai izmantotās aparatūras ražotāju noteiktajām prasībām.
41.5. Tirgus dalībnieks aprīko IS infrastruktūras telpas ar apsardzes signalizāciju un vides detektoriem.
41.6. Tirgus dalībnieks tehnoloģiskos resursus administrējošā personāla darba vietas nodala ierobežotas pieejas telpās.
42. Datu nesēju fiziskā aizsardzība
42.1. Tirgus dalībnieks veic nepieciešamos drošības pasākumus datu nesēju fiziskai aizsardzībai atkarībā no IS klasifikācijas, bet neatkarīgi no to veida (t.sk. demontētas disku iekārtas, papīra izdrukas, zibatmiņas kartes u.tml.).
42.2. Tirgus dalībnieks nosaka kārtību, kādā lieto, glabā un drošā veidā iznīcina datu nesējus.
42.3. Tirgus dalībnieks datu nesēju aizsardzības ietvaros veic datu izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu informācijas resursu iegūšanu (piemēram, printeru iekārtu aizsardzība, saskarņu lietošanas ierobežošana).
42.4. Ja datu nesēju, kas satur nepubliskojamus IS resursus, ir paredzēts iznīcināt, tad tirgus dalībnieks to dara tādā veidā, lai nebūtu iespējams veikt datu atjaunošanu.
43. Tirgus dalībnieks veic papildu fiziskās aizsardzības pasākumus atkarībā no IS klasifikācijas līmeņa. Nepieciešamības gadījumā fiziskās aizsardzības pasākumus drīkst kompensēt ar loģiskās aizsardzības (programmatūras un procesu) līdzekļiem.
VIII. Informācijas sistēmu pieejas tiesību pārvaldība
44. Jauna IS lietotāja reģistrāciju, tiesību piešķiršanu, anulēšanu un bloķēšanu tirgus dalībnieks veic saskaņā ar dokumentētu pieprasījumu, kuru apstiprina informācijas resursu turētājs. Dokumentēšanas metodei jānodrošina iespēja veikt efektīvu aktuālo pieejas tiesību kontroli.
45. Katram tirgus dalībnieka IS lietotājam un administratoram tiek piešķirts unikāls lietotāja kods.
46. Lietotāja autentiskuma noteikšana
46.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka klasificētu IS lieto pilnvarotais lietotāja koda īpašnieks.
46.2. Tirgus dalībnieks nosaka autentifikācijas līdzekļu (piemēram, paroļu, kodu kalkulatoru, privāto atslēgu, biometrisko līdzekļu u.c.) lietošanas kārtību, t.sk. paroļu politiku (paroles garumu, sarežģītību, derīguma termiņu, atkārtojamības ierobežojumu).
46.3. Tirgus dalībnieks nodrošina paroles aizsardzību IS pret nesankcionētu pieeju. Šim mērķim var lietot šifrēšanu. Ievadot paroli, tā nedrīkst būt salasāma uz ekrāna. Paroli nekavējoties nomaina, ja tā varētu būt vai ir nesankcionēti kļuvusi zināma citai personai.
46.4. Izveidojot, piegādājot un aktivizējot autentifikācijas līdzekli, tirgus dalībnieks nodrošina, ka tas lietošanai ir pieejams vienīgi attiecīgā lietotāja koda īpašniekam (t.sk. drošs personalizācijas un lietotāja paroles izveides process).
46.5. Ja tirgus dalībnieka lietotās tehnoloģijas to pieļauj, papildus iebūvētam administratora kontam tirgus dalībnieks izveido individuālu kontu katram administratoram, kurš tiek izmantots ikdienas IS uzturēšanas darbu veikšanai. IS administratoru kodu un paroļu kopijas glabā drošā ierobežotas pieejas vietā ārpus datortīklam pievienotajiem tehnoloģiskajiem resursiem.
47. Pieejas tiesības IS tirgus dalībnieks nosaka saskaņā ar dokumentēti apstiprinātām lomām vai lietotāju profiliem. IS lietotājam piešķir pieeju tikai tai informācijai un funkcijām, kas ir nepieciešamas viņa pienākumu izpildei.
48. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā tirgus dalībnieks nekavējoties maina vai bloķē IS lietotāja un administratora tiesības.
49. Tirgus dalībnieks regulāri veic aktuālo pieejas tiesību pārbaudi, lai kontrolētu šo noteikumu 47. un 48. punkta prasību ievērošanu.
IX. Komunikāciju un operāciju pārvaldība
50. Darbiniekiem, kas veic IS uzturēšanu, tirgus dalībnieks nosaka pienākumus un atbildību un nodrošina aizvietojamību un kvalifikācijas uzturēšanu. Procesu kontroles nodrošināšanai veic pienākumu nodalīšanu.
51. Konfigurācijas pārvaldība un kontrole
51.1. Tirgus dalībnieks veic tehnoloģisko resursu un to aktuālo konfigurāciju uzskaiti.
51.2. Tirgus dalībnieks nosaka kārtību, kādā pieprasa, autorizē, testē un maina tehnoloģiskos resursus.
51.3. Tirgus dalībnieks risku kontroles ietvaros uztur un kontrolē IS konfigurāciju, ņemot vērā drošības prakses ieteikumus (hardening standards) un zināmās sistēmu ievainojamības.
51.4. Tirgus dalībnieks risku kontroles ietvaros veic nepieciešamās un tehnoloģiski iespējamās izmaiņas tehnoloģisko resursu standarta konfigurācijā un samazina funkcionalitāti līdz nepieciešamajam apjomam.
51.5. Tirgus dalībnieks savlaicīgi veic nepieciešamos IS standarta programmatūras atjaunināšanas darbus (t.sk. drošības labojumu uzstādīšanu).
52. Datortīklu aizsardzība
52.1. Tirgus dalībnieks iekšējo datortīklu nodala no ārējā datortīkla. Datu plūsmā starp iekšējo un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei.
52.2. Tirgus dalībnieks izveido un uztur aktuālu datortīkla un pieslēgumu shēmu.
52.3. Tirgus dalībnieks regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām.
52.4. Tirgus dalībnieks risku kontroles ietvaros realizē nepieciešamos un iespējamos papildu datu plūsmas ierobežojumus (t.sk. aplikāciju, vietņu ierobežošanu) starp iekšējo un ārējo datortīklu.
52.5. Tirgus dalībnieks veic datortīkla monitoringu un ievainojamības (t.sk. kaitīgo programmu) kontroli.
52.6. Ja IS administrēšana tiek veikta no attālinātas vietas, tirgus dalībnieks lieto kriptogrāfijas līdzekļus (piemēram, virtuālo privāto tīklu (VPN)) un drošu (vismaz divu faktoru) lietotāja autentifikāciju.
52.7. Ja tiek lietotas bezvadu datu pārraides tehnoloģijas, tirgus dalībnieks risku pārvaldības ietvaros veic to papildu aizsardzību, lai nodrošinātu vienīgi autorizētu IS lietošanu.
53. Personālo datoru aizsardzība
53.1. Tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt individuālās lietošanas datu apstrādes iekārtās, t.sk. galda un portatīvajā datorā, viedtālrunī u.tml. (tālāk tekstā – personālais dators).
53.2. Personālajā datorā tiek uzstādīta un lietota tikai tā programmatūra un tādā konfigurācijā, kādu noteicis tirgus dalībnieks, kurš arī nosaka kārtību un veic pasākumus aizsardzībai pret kaitīgām programmām (piemēram, datorvīrusiem).
53.3. Personālā datora funkcionalitāti tirgus dalībnieks ierobežo līdz tehnoloģiski iespējamam un darba vajadzībām nepieciešamam funkciju līmenim, t.sk. kontrolē datora portu izmantošanu un atļauj tikai darbam nepieciešamo iekārtu pieslēgšanu.
53.4. Personālais dators tiek pieslēgts tikai tirgus dalībnieka noteiktiem datortīkliem.
53.5. Tirgus dalībnieks nodrošina, ka, lietotājam atstājot personālo datoru bez uzraudzības, atsākt IS lietošanu vai pieslēgties tirgus dalībnieka datortīklam iespējams tikai tad, ja ir veikta lietotāja autentifikācija.
53.6. Personālajos datoros, kuriem ir pastiprināti fiziskās drošības apdraudējumi (t.sk. portatīvajās iekārtās, kuras lieto ārpus tirgus dalībnieka telpām, pie sadarbības partneriem u.tml.), klasificētā informācija tiek glabāta šifrētā veidā. Šajās iekārtās tirgus dalībnieks glabā tikai tos informācijas resursus, kas nepieciešami noteiktā laikā noteiktam lietotājam.
53.7. Tirgus dalībnieks veic visu tā rīcībā esošo personālo datoru, kurus paredzēts lietot ārpus tirgus dalībnieka telpām, uzskaiti, lai noteiktu, kura persona lieto attiecīgo iekārtu.
53.8. Ja tirgus dalībnieks ļauj darbiniekiem darba vajadzībām lietot viņiem piederošus personālos datorus, tas nosaka lietošanas kārtību. Šī kārtība nedrīkst samazināt noteikto IS aizsardzības līmeni.
54. Datu rezerves kopēšana
54.1. Lai ierobežotu integritātes un pieejamības riskus, tirgus dalībnieks veic datu rezerves kopēšanu.
54.2. Tirgus dalībnieks izstrādā dokumentētu datu rezerves kopiju veidošanas kārtību, nosakot, kāda tehnoloģija un darbības ir noteiktas datu rezerves kopiju izgatavošanai un informācijas atjaunošanai, kā arī nosaka, cik bieži un kādā apjomā tiek veidotas datu rezerves kopijas un cik bieži tiek veikta kopiju un atjaunošanas procedūru pārbaude.
54.3. Tirgus dalībnieks nodrošina, ka vismaz tām IS, kuras nodrošina tirgus dalībniekam vai tā klientiem būtiskus pakalpojumus, datu rezerves kopēšanu veic ar metodi, kas minimizē programmatūras riskus (no IS fiziski nodalīti datu nesēji, piemēram, datu lentes). Datu rezerves kopijas glabā no IS ģeogrāfiski nošķirtā vietā.
54.4. Atkarībā no IS ierakstu izmaiņu intensitātes tirgus dalībnieks nosaka datu rezerves kopiju veidošanas biežumu un periodiskumu (rotācijas ciklu).
54.5. Tirgus dalībnieks aizsargā datu rezerves kopijas pret nesankcionētu lietošanu un bojāšanu.
55. Attālināto pakalpojumu izmantošana
55.1. Ja tirgus dalībnieks piedāvā klientam pakalpojumus, lietojot ārējos tīklus un pārsūtot klienta datus (piemēram, interneta bankas pakalpojumus), tas nodrošina klienta datu integritāti un konfidencialitāti.
55.2. Pārsūtot datus, tirgus dalībnieks lieto kriptogrāfijas līdzekļus. Tirgus dalībnieks lieto drošu (vismaz divu faktoru) lietotāja autentifikāciju (piemēram, papildus lietotāja vārdam un parolei lieto arī kodu kartes, kalkulatorus).
55.3. Tirgus dalībnieks drīkst nelietot šo noteikumu 55.2. punktā noteiktos IS drošības līdzekļus, ja:
55.3.1. attālinātais pakalpojums neļauj pārvaldīt naudas līdzekļus vai citus aktīvus;
55.3.2. netiek pārsūtīta informācija, kas satur cita klienta datus;
55.3.3. klients ir iepazīstināts ar riskiem un tos akceptē.
55.4. Tirgus dalībnieks veic transakciju aizsardzību, nosakot to papildu autorizāciju un limitus.
55.5. Pirms attālināto pakalpojumu ieviešanas un veicot būtiskas izmaiņas IS, tirgus dalībnieks veic drošības pārbaudes, analizē atklāto ievainojamību un piemēro nepieciešamos drošības pasākumus.
55.6. Tirgus dalībnieks vismaz 12 mēnešus glabā auditācijas pierakstus par veiktajiem un atteiktajiem attālināto pakalpojumu izmantošanas pieslēgumiem (t.sk. avota IP adresi, laiku) un lietotāja darbību identificēšanai nepieciešamo informāciju.
55.7. Tirgus dalībnieks nodrošina klientiem pilnvērtīgu informāciju par attālināto pakalpojumu lietošanas riskiem un informāciju par to, kā droši lietot IS.
56. IS pārraudzība
56.1. Tirgus dalībnieks IS pārraudzībai nosaka vismaz šādus mērķus – veikt preventīvās darbības IS drošības uzturēšanai un savlaicīgu incidentu identificēšanu. Pārraudzības pasākumi tiek piemēroti atbilstoši IS klasifikācijai.
56.2. Tirgus dalībnieks pastāvīgi veic IS pārraudzību:
56.2.1. savlaicīgi identificējot gan iekšējo, gan ārējo apdraudējumu;
56.2.2. identificējot sistēmu ievainojamību un veicot to novēršanu;
56.2.3. uzraugot neautorizētu iekārtu un programmatūras lietošanu un veicot tās novēršanu;
56.2.4. kontrolējot IS un iekārtu konfigurācijas izmaiņas;
56.2.5. pārraugot IS, iekārtu un procesu pieejamību.
56.3. Lai identificētu lietotāju veiktās darbības un IS kļūdas, tirgus dalībnieks veido un analizē auditācijas pierakstus.
56.4. Auditācijas pierakstos tirgus dalībnieks iekļauj vismaz visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu laiku un lietotāju kodus.
56.5. Tirgus dalībnieks nodrošina auditācijas pierakstu integritāti.
56.6. Tirgus dalībnieks sinhronizē visu to IS laika uzskaiti, kuras ir savstarpēji saistītas datu apmaiņā vai transakciju apstrādē.
57. Kriptogrāfijas līdzekļu lietošana
57.1. Tirgus dalībnieks atkarībā no informācijas resursu konfidencialitātes līmeņa lieto kriptogrāfijas līdzekļus.
57.2. Tirgus dalībnieks nosaka kriptogrāfijas līdzekļu lietošanas kārtību, kā arī veic to aizsardzību.
X. Informācijas sistēmu izstrāde un pārmaiņu pārvaldība
58. Tirgus dalībnieks vada IS izstrādes un pārmaiņu pārvaldības procesus, lai minimizētu IS drošības riskus gan izstrādājamajai IS, gan citām saistītajām IS.
59. Tirgus dalībnieks normatīvs nosaka IS izstrādes, iegādes, ieviešanas un pārmaiņu pārvaldīšanas procesus.
60. IS izstrādes uzsākšana
60.1. Tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus.
60.2. Atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus.
60.3. Izstrādājamās IS resursu turētāji sadarbībā ar darbinieku, kas atbild par IS drošību, veic IS drošības prasību noteikšanu.
61. IS izstrāde
61.1. Tirgus dalībnieks IS izstrādes vidi nodala no lietošanas vides.
61.2. Tirgus dalībnieks dokumentē katru IS. Dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS apraksts, IS administratora un lietotāju instrukcijas u.c.).
61.3. Tirgus dalībnieks dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim.
62. IS testēšana
62.1. Pirms IS ieviešanas tirgus dalībnieks saskaņā ar plānu veic IS testus.
62.2. Tirgus dalībnieks nodala IS testa vidi no lietošanas vides.
62.3. Testa un izstrādes vidē neizmanto lietošanas vides datus, tomēr, ja IS drošības risku mazināšanas nolūkā testa vai izstrādes vidē nepieciešams izmantot lietošanas vides datus, tad tos lieto un tiem piemēro tādus pašus drošības pasākumus kā lietošanas vidē (t.sk. tiesību piešķiršanas, autentifikācijas, auditācijas kārtību).
63. IS ieviešana
63.1. IS ievieš pēc IS resursu turētāju atļaujas saņemšanas, kas apliecina, ka testēšana ir pabeigta un IS ir gatava ieviešanai.
63.2. Pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību.
63.3. Tirgus dalībnieks nodrošina, ka tiek veikta IS versiju kontrole.
64. Pārmaiņu pārvaldība
64.1. Tirgus dalībnieks IS pārmaiņas veic tikai ar visu saistīto IS resursu turētāju atļauju.
64.2. Tirgus dalībnieks analizē, kā pārmaiņas ietekmēs esošos IS drošības pasākumus un piešķirtajās pieejas tiesībās pieejamo informāciju un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis.
64.3. Tirgus dalībnieks veic IS dokumentācijas papildināšanu.
64.4. Tirgus dalībnieks izstrādā kārtību par darbībām ārkārtas (neplānotu) pārmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas pārmaiņām. Tirgus dalībnieks nosaka, kā tiek plānoti pasākumi, lai preventīvi samazinātu nepieciešamību veikt ārkārtas pārmaiņas, un veic pasākumus, lai nepieļautu neautorizētu izmaiņu veikšanu.
65. Pārtraucot IS lietošanu, likvidējot vai nododot to citai personai, t.sk. gadījumos, kad tirgus dalībnieks pārtrauc kādu darbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus, t.sk. risku analīzi.
XI. Incidentu pārvaldība
66. Incidentu pārvaldības mērķis ir minimizēt IS drošības incidentu ietekmi uz tirgus dalībnieka klientiem un tirgus dalībnieka darbību un mazināt to atkārtošanās risku.
67. Tirgus dalībnieks nosaka un īsteno praksē IS drošības incidentu pārvaldības procesu, kas ietver vismaz:
67.1. IS drošības incidentu identificēšanu;
67.2. incidentu reģistrēšanu incidentu reģistrā;
67.3. personāla apziņošanu;
67.4. incidenta ietekmes mazināšanu un seku likvidēšanu;
67.5. notikušā IS drošības incidenta analīzi (t.sk. cēloņus, risku mazināšanas pasākumus);
67.6. nepieciešamo pierādījumu saglabāšanu.
68. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā reģistrēto IS drošības incidentu sarakstu, kurā iekļauj incidentu grupu aprakstu un incidentu skaitu katrā grupā.
69. IS darbības atjaunošana
69.1. Tirgus dalībnieks nodrošina savlaicīgu IS darbības un datu atjaunošanu, ja noticis IS darbības pārtraukums.
69.2. Tirgus dalībnieks izstrādā IS darbības atjaunošanas plānu saskaņā ar tirgus dalībnieka darbības nepārtrauktības plānu.
69.3. IS darbības atjaunošanas plānā tirgus dalībnieks iekļauj atjaunojamos IS pakalpojumus prioritārā secībā, izmantojamos resursus, veicamo darbu sarakstu un atbildīgos darbiniekus.
69.4. Tirgus dalībnieks saskaņā ar iepriekš noteiktu kārtību veic regulāru IS darbības atjaunošanas procesos iesaistīto personu apmācību un dokumentētu plāna testēšanu un izmaiņu gadījumā to atjauno, lai nodrošinātu plāna aktualitāti.
XII. Noslēguma jautājumi
70. Noteikumi stājas spēkā 2011. gada 1. janvārī.
71. Noteikumu 26.3. un 68. punktā minētā informācija sniedzama sākot ar 2012. gadu.
72. Spēku zaudē Finanšu un kapitāla tirgus komisijas 2002. gada 11. oktobra noteikumi Nr. 270 "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības noteikumi".
Finanšu un kapitāla tirgus komisijas priekšsēdētājas vietnieks J.Brazovskis