• Atvērt paplašināto meklēšanu
  • Aizvērt paplašināto meklēšanu
Pievienot parametrus
Dokumenta numurs
Pievienot parametrus
publicēts
pieņemts
stājies spēkā
Pievienot parametrus
Aizvērt paplašināto meklēšanu
RĪKI

Publikācijas atsauce

ATSAUCĒ IETVERT:
2010. gada 28. oktobra Informācijas tehnoloģiju drošības likums. Publicēts oficiālajā laikrakstā "Latvijas Vēstnesis", 10.11.2010., Nr. 178 https://www.vestnesis.lv/ta/id/220962

Paraksts pārbaudīts

NĀKAMAIS

Par Latvijas Republikas valdības un Baltkrievijas Republikas valdības vienošanos par Latvijas Republikas un Baltkrievijas Republikas pierobežas teritoriju iedzīvotāju savstarpējo braucienu vienkāršošanu

Vēl šajā numurā

10.11.2010., Nr. 178

PAR DOKUMENTU

Izdevējs: Saeima

Veids: likums

Pieņemts: 28.10.2010.

RĪKI
Tiesību aktu un oficiālo paziņojumu oficiālā publikācija pieejama laikraksta "Latvijas Vēstnesis" drukas versijā. Piedāvājam lejuplādēt digitalizētā laidiena saturu (no Latvijas Nacionālās bibliotēkas krājuma).

Saeima ir pieņēmusi un Valsts
prezidents izsludina šādu likumu:

Informācijas tehnoloģiju drošības likums

1.pants. Likuma mērķis

(1) Likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas.

(2) Informācijas tehnoloģiju drošība ir sargājama tā, lai varētu savlaicīgi prognozēt un novērst, kā arī pārvarēt šīs drošības apdraudējumu un likvidēt tā sekas.

(3) Informācijas tehnoloģijas šā likuma izpratnē ir tehnoloģijas, kuras tām paredzēto uzdevumu izpildei veic informācijas elektronisko apstrādi, tai skaitā izveidošanu, dzēšanu, glabāšanu, attēlošanu vai pārsūtīšanu.

2.pants. Likuma darbība

(1) Likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām (turpmāk — privāto tiesību juridiskās personas).

(2) Likums neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu (piemēram, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem).

3.pants. Informācijas tehnoloģiju kritiskā infrastruktūra

(1) Informācijas tehnoloģiju kritiskā infrastruktūra ir infrastruktūra, kuru atbilstoši Nacionālās drošības likumam apstiprina Ministru kabinets.

(2) Informācijas tehnoloģiju kritisko infrastruktūru aizsargā, lai nodrošinātu valstij un sabiedrībai būtisku pamatfunkciju veikšanu. Turklāt tiek nodrošināta informācijas tehnoloģiju kritiskās infrastruktūras integritāte, pieejamība un konfidencialitāte.

(3) Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību nosaka Ministru kabinets.

4.pants. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija

(1) Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (turpmāk — Drošības incidentu novēršanas institūcija) veicina informācijas tehnoloģiju drošību Latvijas Republikā. Drošības incidentu novēršanas institūcijas darbību nodrošina vadošā valsts pārvaldes iestāde sakaru nozarē. Tās darbības uzdevumi un tiesības tiek deleģētas Latvijas Universitātes aģentūrai “Latvijas Universitātes Matemātikas un informātikas institūts”, kas šos uzdevumus izpilda un tiesības īsteno attiecīgās valsts pārvaldes iestādes pakļautībā atbilstoši piešķirtajiem valsts budžeta līdzekļiem un deleģēšanas līguma noteikumiem. Vadošā valsts pārvaldes iestāde sakaru nozarē pakļautību īsteno atbilstoši normatīvajiem aktiem un deleģēšanas līguma noteikumiem, tai skaitā kontrolējot deleģēto uzdevumu efektīvu pildīšanu, dodot rīkojumus par to izpildi un pieprasot nepieciešamo informāciju.

(2) Drošības incidentu novēršanas institūcijā personas tiek nodarbinātas dienesta vai darba tiesisko attiecību ietvaros, ja tās ir tiesīgas saņemt speciālo atļauju pieejai valsts noslēpumam un atbilst citām tiesību aktos izvirzītajām prasībām. Drošības incidentu novēršanas institūcijā nodarbinātās personas, pildot deleģētos uzdevumus, ievēro tiesību principus un atbild par savas darbības vai bezdarbības tiesiskumu.

(3) Drošības incidentu novēršanas institūcija nav tiesīga pieprasīt nekādu samaksu par darbībām, kas saistītas ar šajā likumā noteikto funkciju izpildi.

(4) Valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar Drošības incidentu novēršanas institūciju, sniedzot tai nepieciešamo informāciju un pildot tās likumīgās prasības.

(5) Valsts apdraudējuma gadījumā Ministru kabinets var pieņemt lēmumu par Drošības incidentu novēršanas institūcijas uzdevumu, tiesību un resursu nodošanu Nacionālajiem bruņotajiem spēkiem.

(6) Šajā likumā noteikto tiesību īstenošanai izdoto tiešu valsts drošības vai informācijas tehnoloģiju drošības apdraudējumu novēršanai paredzēto administratīvo aktu apstrīdēšana vai pārsūdzēšana neaptur šo aktu darbību. Tas neattiecas uz administratīvajiem aktiem par administratīvo sodu uzlikšanu.

(7) Pieņemot pārvaldes lēmumus, Drošības incidentu novēršanas institūcija ievēro Valsts pārvaldes iekārtas likuma prasības.

5.pants. Drošības incidentu novēršanas institūcijas uzdevumi un tiesības

(1) Drošības incidentu novēršanas institūcija:

1) uztur vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu;

2) sniedz atbalstu informācijas tehnoloģiju drošības incidenta novēršanā vai koordinē to novēršanu;

3) uztur sabiedrībai pieejamā veidā atbilstoši aktuālajiem apdraudējumiem izstrādātas rekomendācijas par aktuālo informācijas tehnoloģiju risku novēršanu;

4) veic pētniecisko darbu, organizē izglītojošus pasākumus, apmācību un mācības informācijas tehnoloģiju drošības jomā;

5) sniedz atbalstu valsts institūcijām valsts drošības sargāšanā, kā arī noziedzīgu nodarījumu un citu likumpārkāpumu atklāšanā (izmeklēšanā) informācijas tehnoloģiju jomā, ievērojot normatīvajos aktos noteiktos datu apstrādes ierobežojumus;

6) uzrauga, kā valsts un pašvaldību institūcijas un elektronisko sakaru komersanti izpilda šajā likumā noteiktos pienākumus;

7) sadarbojas ar starptautiski atzītām informācijas tehnoloģiju drošības incidentu novēršanas institūcijām (vienībām);

8) veic citus normatīvajos aktos noteiktos pienākumus.

(2) Drošības incidentu novēršanas institūcija ir tiesīga:

1) pieprasīt un saņemt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tehnisko informāciju par notikušu vai notiekošu informācijas tehnoloģiju drošības incidentu (informācija par incidenta apjomu, incidentu izraisījušu kaitniecisku programmatūru datnes, ievainojamību apraksts, incidenta novēršanai veiktie tehniskie pasākumi, informācija par kaitnieku darbībām vai cita tehniskā informācija, ieskaitot IP adreses);

2) iegūt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām pēc abpusējas vienošanās tiešsaistes datu plūsmas tehniskos parametrus;

3) veikt informācijas tehnoloģiju kritiskās infrastruktūras pārbaudes;

4) pieņemt lēmumus (arī izdot administratīvos aktus), lai nodrošinātu šajā likumā valsts un pašvaldību institūcijām, kā arī privāto tiesību juridiskajām personām noteikto pienākumu izpildi.

6.pants. Rīcība informācijas tehnoloģiju drošības incidenta gadījumā

(1) Informācijas tehnoloģiju drošības incidents (turpmāk — drošības incidents) ir kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte.

(2) Valsts vai pašvaldības institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs drošības incidenta gadījumā veic visas tā novēršanai nepieciešamās darbības (it īpaši izpilda Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī tūlīt informē par notikušo Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.

(3) Privāto tiesību juridiskās personas, uz kurām neattiecas šā panta otrajā daļā noteiktie pienākumi, drošības incidenta gadījumā veic visas tā novēršanai nepieciešamās darbības un var pēc savas iniciatīvas informēt par notikušo Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.

(4) Drošības incidentu novēršanas institūcija, konstatējusi drošības incidentu, kas apdraud nacionālo drošību, par to informē satiksmes ministru, par nozari atbildīgo ministru un kompetento valsts drošības iestādi, kā arī iesniedz priekšlikumus par nepieciešamo rīcību, bet, konstatējusi tādu drošības vai integritātes pārkāpumu, kas būtiski ietekmējis elektronisko sakaru tīklu darbību vai pakalpojumu sniegšanu, var informēt par notikušo Eiropas Savienības dalībvalstu valsts pārvaldes iestādes un Eiropas Tīklu un informācijas drošības aģentūru. Drošības incidentu novēršanas institūcija var informēt sabiedrību vai arī prasīt, lai to dara attiecīgie elektronisko sakaru komersanti, ja tā uzskata, ka pārkāpuma publiskošana ir sabiedrības interesēs.

7.pants. Personas datu apstrāde

(1) Drošības incidentu novēršanas institūcija ir tiesīga saņemt un apstrādāt personas datus, lai pamatotu vai izslēgtu aizdomas par drošības incidentu vai to novērstu, ja personas datus nav iespējams anonimizēt un pastāv vismaz viens no šādiem nosacījumiem:

1) kaitnieciska programmatūra varētu saturēt personas datus;

2) personas dati tiek pārraidīti, izmantojot kaitniecisku programmatūru;

3) personas dati var sniegt būtisku informāciju par kaitniecisku programmatūru.

(2) Ja tiek konstatēts drošības incidents, personas datu apstrāde ir atļauta, lai nodrošinātu aizsardzību pret kaitniecisku programmatūru vai tās radītajām sekām, kā arī atklātu citu kaitniecisku programmatūru un nodrošinātu aizsardzību pret to.

(3) Apstrādātos personas datus Drošības incidentu novēršanas institūcija drīkst nodot šā likuma 5.panta pirmās daļas 5. un 7.punktā minētajām institūcijām (vienībām), lai atpazītu un novērstu tādas kaitnieciskas programmatūras darbību, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai.

(4) Personas datu apstrādi, kas nav saistīta ar tāda incidenta novēršanu, sakarā ar kuru šie dati iegūti, Drošības incidentu novēršanas institūcijai ir atļauts veikt vienīgi tad, ja tā sagatavo un nosūta Datu valsts inspekcijai plānotās personas datu apstrādes un aizsardzības aprakstu. Drošības incidentu novēršanas institūcija līdz nākamā gada 20.janvārim sagatavo un iesniedz Datu valsts inspekcijai ziņojumu par iepriekšējā gadā veikto personas datu apstrādi.

8.pants. Valsts un pašvaldību institūciju informācijas tehnoloģiju drošība

(1) Valsts un pašvaldību institūciju informācijas tehnoloģiju drošības pārvaldību nodrošina katras attiecīgās institūcijas vadītājs.

(2) Valsts vai pašvaldības institūcijas vadītājs nosaka atbildīgo personu, kura īsteno informācijas tehnoloģiju drošības pārvaldību attiecīgajā institūcijā (turpmāk šajā pantā — atbildīgā persona). Par atbildīgās personas noteikšanu ne vēlāk kā piecu darbdienu laikā informējama Drošības incidentu novēršanas institūcija.

(3) Atbildīgajai personai papildus citos tiesību aktos noteiktajam ir šādi pienākumi:

1) organizēt institūcijas informācijas tehnoloģiju drošības pārvaldību;

2) ne retāk kā reizi gadā veikt informācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt atklāto trūkumu novēršanu;

3) vismaz reizi gadā apmeklēt Drošības incidentu novēršanas institūcijas organizētu apmācību informācijas tehnoloģiju drošības jautājumos;

4) ne retāk kā reizi gadā veikt institūcijas darbinieku instruktāžu informācijas tehnoloģiju drošības jautājumos.

(4) Katra valsts vai pašvaldības institūcija, ņemot vērā šajā likumā un citos normatīvajos aktos noteikto, nodrošina, ka šajā institūcijā ir reglamentēti informācijas tehnoloģiju drošības noteikumi, kuros ietverti vismaz informācijas tehnoloģiju apraksti un shēmas, informācijas tehnoloģiju risku analīze, informācijas tehnoloģiju risku un drošības incidentu vadības plāns, noteikti informācijas tehnoloģiju uzturēšanā iesaistīto personu pienākumi, kā arī gādā par to, ka pastāvīgi tiek uzraudzīta un kontrolēta šo noteikumu izpilde.

9.pants. Publisko elektronisko sakaru tīklu drošība

(1) Elektronisko sakaru komersantiem ir šādi pienākumi:

1) ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus;

2) ziņot Drošības incidentu novēršanas institūcijai par drošības vai integritātes pārkāpumiem, kas būtiski ietekmējuši elektronisko sakaru tīkla darbību vai pakalpojumu sniegšanu. Par būtisku drošības vai integritātes pārkāpumu uzskatāms incidents, kura rezultātā elektronisko sakaru tīkls nedarbojas vismaz 24 stundas pēc kārtas;

3) pēc Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;

4) pēc Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem tiek informēta Drošības incidentu novēršanas institūcija. Auditā konstatētos pārkāpumus novērš un audita izmaksas sedz elektronisko sakaru komersants;

5) pēc Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas, slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.

(2) Ministru kabinets nosaka rīcības plānā elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai ietveramo informāciju, šā plāna izpildes kontroles kārtību un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam.

10.pants. Nacionālā informācijas tehnoloģiju drošības padome

Lai koordinētu ar informācijas tehnoloģiju drošību saistīto uzdevumu un pasākumu plānošanu un veikšanu, Ministru prezidents izveido Nacionālo informācijas tehnoloģiju drošības padomi, kuras darbību nodrošina vadošā valsts pārvaldes iestāde sakaru nozarē.

Pārejas noteikumi

1. Šā likuma 9.pants stājas spēkā 2011.gada 1.maijā.

2. Ministru kabinets līdz 2011.gada 1.februārim izdod šā likuma 3.panta trešajā daļā paredzētos noteikumus.

3. Ministru kabinets līdz 2011.gada 1.maijam izdod šā likuma 9.panta otrajā daļā paredzētos noteikumus.

4. Ministru prezidents līdz 2011.gada 1.februārim izveido šā likuma 10.pantā noteikto Nacionālo informācijas tehnoloģiju drošības padomi.

Informatīva atsauce uz Eiropas Savienības direktīvu

Likumā iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2009.gada 25.novembra direktīvas 2009/140/EK, ar ko izdara grozījumus direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem, direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu un direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu.

Likums stājas spēkā 2011.gada 1.februārī.

Likums Saeimā pieņemts 2010.gada 28.oktobrī.

Valsts prezidents V.Zatlers

Rīgā 2010.gada 10.novembrī

Tiesību aktu un oficiālo paziņojumu oficiālā publikācija pieejama laikraksta "Latvijas Vēstnesis" drukas versijā.

ATSAUKSMĒM

ATSAUKSMĒM

Lūdzu ievadiet atsauksmes tekstu!