Ministru kabineta noteikumi: Šajā laidienā 14 Pēdējās nedēļas laikā 53 Visi
Ministru kabineta noteikumi Nr.471
Rīgā 2014.gada 12.augustā (prot. Nr.43 44.§)
Parakstu vākšanas tiešsaistes sistēmu drošības un tehniskās prasības
Izdoti saskaņā ar likuma "Par tautas nobalsošanu, likumu
ierosināšanu un Eiropas pilsoņu iniciatīvu" 22.panta piekto daļu
I. Vispārīgie jautājumi
1. Noteikumi nosaka:
1.1. drošības un tehniskās prasības parakstu vākšanas tiešsaistes sistēmai, lai nodrošinātu uzticamu un drošu parakstu vākšanu, izmantojot vienoto valsts un pašvaldību pakalpojumu portālu www.latvija.lv (turpmāk – portāls) un citas parakstu vākšanas tiešsaistes sistēmas;
1.2. institūciju, kura izvērtē parakstu vākšanai izmantotās tiešsaistes sistēmas atbilstību šiem noteikumiem.
2. Lai nodrošinātu parakstu vākšanu elektroniski, izmantojot portālu, tiek izveidota parakstu vākšanas tiešsaistes sistēma (turpmāk – portāla parakstu vākšanas tiešsaistes sistēma). Sistēmas pārzinis ir Centrālā vēlēšanu komisija (turpmāk – komisija) un turētājs – Valsts reģionālās attīstības aģentūra (turpmāk – aģentūra). Portāla parakstu vākšanas tiešsaistes sistēma sastāv no šādām daļām:
2.1. parakstu vākšanas elektroniskā pakalpojuma (turpmāk – e-pakalpojums);
2.2. datu glabāšanas un parakstu pārbaudes sistēmas;
2.3. integrācijas saskarnes savākto parakstu saņemšanai no portāla un citām tiešsaistes sistēmām;
2.4. publiskas tīmekļa saskarnes ar informāciju par aktuālajām parakstu vākšanas iniciatīvām.
3. Parakstu vākšanu var organizēt, izmantojot privātpersonas parakstu vākšanas tiešsaistes sistēmu, ja informācijas tehnoloģiju drošības incidentu novēršanas institūcija (turpmāk – sertificējošā institūcija) ir izsniegusi atbilstības sertifikātu, kas apliecina, ka privātpersonas parakstu vākšanas tiešsaistes sistēma atbilst šo noteikumu drošības un tehnisko parametru prasībām.
4. Persona, kas organizē un vada portāla parakstu vākšanas tiešsaistes sistēmas un privātpersonas parakstu vākšanas tiešsaistes sistēmas darbību, ir atbildīga par tās korektu izveidi, ieviešanu, uzturēšanu, izmantošanu, izmaiņu veikšanu un likvidēšanu atbilstoši šo noteikumu prasībām.
5. Šo noteikumu prasības neattiecas uz iekārtām, kuras fiziskā persona izmanto parakstu iesniegšanai.
6. Informāciju par portāla elektroniski identificētu fizisku personu, kura parakstīšanās dienā atbilst likumā "Par tautas nobalsošanu, likuma ierosināšanu un Eiropas pilsoņu iniciatīvu" noteiktajām prasībām (turpmāk – vēlēšanu tiesības), portāla parakstu vākšanas tiešsaistes sistēmai no Iedzīvotāju reģistra sniedz Pilsonības un migrācijas lietu pārvalde, izmantojot tīmekļa pakalpi. Pilsonības un migrācijas lietu pārvalde ir tīmekļa pakalpes pārzinis un turētājs.
7. Aģentūra un komisija sadarbojas ar Pilsonības un migrācijas lietu pārvaldi par tīmekļa pakalpes izmantošanu saskaņā ar šiem noteikumiem un aģentūras apstiprinātajām vadlīnijām par valsts informāciju sistēmu savietotāja izmantošanu, neslēdzot savstarpēju vienošanos.
II. Portāla parakstu vākšanas tiešsaistes sistēmas un privātpersonas parakstu vākšanas tiešsaistes sistēmas drošības prasības
8. Portāla parakstu vākšanas tiešsaistes sistēma atbilst normatīvajiem aktiem par informācijas sistēmu vispārējās drošības prasībām, kā arī šo noteikumu prasībām.
9. Aģentūra ikgadējā Valsts informācijas sistēmas drošības audita ietvaros veic portāla parakstu vākšanas tiešsaistes sistēmas auditu atbilstoši šo noteikumu prasībām.
10. Privātpersonas parakstu vākšanas tiešsaistes sistēmas darbībai tiek izvirzītas šādas prasības:
10.1. datu apstrādi nodrošina atbilstoši normatīvajiem aktiem par fizisko personu datu aizsardzību;
10.2. informācijas sistēmu drošības un organizatorisko pārvaldību nodrošina saskaņā ar Latvijas nacionālo standartu LVS: ISO/IEC 27001:2014 L "Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības";
10.3. nodrošina vismaz šādu dokumentu sagatavošanu un apstiprināšanu:
10.3.1. risku novērtējums un akceptēto risku saraksts;
10.3.2. informācijas sistēmu drošības politika un noteikumi;
10.4. nodrošina organizatoriskos līdzekļus, lai saņemtu informāciju par jauniem draudiem un drošības uzlabojumiem, kā arī aprakstu (procedūru) par šādas informācijas saņemšanu;
10.5. saskaņā ar šo noteikumu 10.3.1. apakšpunktu veic drošības kontroles vismaz šādās jomās:
10.5.1. riska novērtējums;
10.5.2. fiziskā un vides drošība;
10.5.3. cilvēkresursu drošība;
10.5.4. saziņas un operāciju pārvaldība;
10.5.5. standarta piekļuves kontroļu pārvaldība;
10.5.6. informācijas sistēmu iegāde, izveidošana, uzturēšana un likvidēšana;
10.5.7. informācijas drošības starpgadījumu un pakalpojumu nepārtrauktības pārvaldība;
10.5.8. pasākumi, kas veicami, lai labotu un mazinātu informācijas sistēmu ievainojamību, kuras dēļ varētu notikt apstrādāto datu iznīcināšana, nejauša nozaudēšana, izmainīšana, neatļauta izpaušana vai piekļuve tiem;
10.5.9. atbilstība normatīvo aktu prasībām;
10.5.10. datortīklu drošība.
11. Lai parakstu vākšanu organizētu elektroniski, izmantojot privātpersonas parakstu vākšanas tiešsaistes sistēmu, persona, kura minēta šo noteikumu 4. punktā, iesniedz sertificējošajā institūcijā iesniegumu privātpersonas parakstu vākšanas tiešsaistes sistēmas atbilstības sertifikāta saņemšanai, kā arī šādu informāciju, ja tā pēdējo 12 mēnešu laikā nav sniegta:
11.1. ziņas par iesniedzēju (juridiskai personai – nosaukumu, reģistrācijas numuru, juridisko adresi, kontakttālruni un e-pasta adresi; fiziskai personai – vārdu, uzvārdu, deklarētās dzīvesvietas adresi, kontakttālruni un e-pasta adresi);
11.2. sistēmas tehniskā specifikācija, kas ietver vismaz:
11.2.1. datortīkla slēguma shēmu izmantojamajām iekārtām un serveriem;
11.2.2. serveru datu glabāšanas iekārtu un tīkla iekārtu sarakstu, norādot modeļu nosaukumus;
11.2.3. izmantojamās programmatūras sarakstu ar versijām;
11.2.4. iekārtu atrašanās vietas adresi;
11.3. sistēmas drošības politika, drošības un lietošanas noteikumi;
11.4. risku novērtējuma dokuments, kurā norāda:
11.4.1. sistēmas darbības jomu;
11.4.2. identificēto risku ietekmi uz sistēmas darbību, tai skaitā novērtējot risku iestāšanās varbūtību, materiālos un nemateriālos zaudējumus, ietekmi uz sistēmas pieejamību, datu konfidencialitāti;
11.4.3. ja notikuši informācijas sistēmu drošības pārkāpumi, papildus norāda:
11.4.3.1. pretpasākumus, lai novērstu šādus pārkāpumus;
11.4.3.2. aizsardzības līdzekļus, kas tiks izmantoti, ja pārkāpumi atkārtosies;
11.4.3.3. uzskaitītos nenovērstos riskus;
11.4.3.4. nepieciešamos uzlabojumus, kas norādīti prioritārā secībā;
11.5. tiešsaistes sistēmas pirmkods, kas ietver visu pirmkodu, kurš radīts vai mainīts, veidojot sistēmu vai tās komponentes, piemēram, lietojumus, kas var tikt darbināti uz galiekārtas;
11.6. iekšējā audita ziņojums, kurā izvērtēta privātpersonas parakstu vākšanas tiešsaistes sistēmas atbilstība šo noteikumu prasībām;
11.7. šo noteikumu 4. punktā minētās personas apliecinājums, ka privātpersonas parakstu vākšanas tiešsaistes sistēma atbilst šiem noteikumiem;
11.8. servera vai serveru interneta protokola (turpmāk – IP) adrese vai adreses, no kurām privātpersonas parakstu vākšanas tiešsaistes sistēma iesniegs parakstus, izmantojot šo noteikumu 2.3. apakšpunktā minēto tīmekļa saskarni;
11.9. tīmekļa vietnes adrese (domēna vārds, Domēna nosaukuma sistēmas adrese vai adreses, IP adrese vai adreses), kurā tiks vākti paraksti.
12. Sertificējošā institūcija izskata šo noteikumu 11. punktā minēto iesniegumu un pievienoto informāciju un Administratīvā procesa likumā noteiktajā kārtībā un termiņā izsniedz atbilstības sertifikātu vai pieņem lēmumu par atteikumu izsniegt atbilstības sertifikātu.
13. Ja tiek pieņemts lēmums par atbilstības sertifikāta izsniegšanu, sertificējošā institūcija par to informē šo noteikumu 4. punktā minēto personu, kā arī aģentūru un komisiju, norādot šo noteikumu 11.8. apakšpunktā minēto IP adresi vai adreses.
14. Aģentūra 10 darbdienu laikā pēc šo noteikumu 13. punktā minētās informācijas saņemšanas piešķir privātpersonas parakstu vākšanas tiešsaistes sistēmai piekļuvi šo noteikumu 2.3. apakšpunktā minētajai tīmekļa saskarnei savākto parakstu iesniegšanai.
15. Sertificējošajai institūcijai ir šādas tiesības:
15.1. veikt privātpersonas parakstu vākšanas tiešsaistes sistēmas drošības auditu vai pārbaudi, tai skaitā visa sistēmas dzīves cikla laikā veidotā vai mainītā pirmkoda pārbaudi;
15.2. pieņemt lēmumu par atbilstības sertifikāta anulēšanu, ja drošības audita vai pārbaudes laikā tiek konstatēts, ka privātpersonas parakstu vākšanas tiešsaistes sistēma neatbilst šo noteikumu prasībām;
15.3. pieņemt lēmumu par atbilstības sertifikāta anulēšanu, neveicot drošības auditu vai pārbaudi, ja tiek konstatēta privātpersonas parakstu vākšanas tiešsaistes sistēmas neatbilstība šo noteikumu prasībām.
16. Šo noteikumu 15.2. un 15.3. apakšpunktā minēto lēmumu var pārsūdzēt tiesā Administratīvā procesa likumā noteiktajā kārtībā.
17. Ja pieņemts šo noteikumu 15.2. vai 15.3. apakšpunktā minētais lēmums, sertificējošā institūcija par to informē šo noteikumu 4. punktā minēto personu un komisiju, kā arī nosūta aģentūrai pieprasījumu bloķēt piekļuvi šo noteikumu 2.3. apakšpunktā minētajai tīmekļa saskarnei.
18. Privātpersonas parakstu vākšanas tiešsaistes sistēmas darbība ar šo noteikumu 15.2. vai 15.3. apakšpunktā minētā lēmuma pieņemšanas dienu tiek apturēta un tai tiek bloķēta piekļuve šo noteikumu 2.3. apakšpunktā minētajai saskarnei.
19. Ja portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmā ir noticis drošības incidents, persona, kas minēta šo noteikumu 4. punktā, nekavējoties, bet ne vēlāk kā 24 stundu laikā par to informē sertificējošo institūciju.
20. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas mērķis ir parakstu vākšana konkrētai iniciatīvai. Procesā iegūtos fizisko personu datus iznīcina saskaņā ar šo noteikumu 33. punktu.
21. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmā esošos datus, kas iegūti parakstu vākšanas laikā, kā arī šo noteikumu 56. punktā minēto informāciju glabā ne ilgāk par vienu gadu pēc komisijas lēmuma pieņemšanas par parakstu vākšanas rezultātiem. Šis nosacījums neattiecas uz sistēmas pirmkodu un fizisko personu datiem.
III. Tehniskās prasības portāla parakstu vākšanas tiešsaistes sistēmai un privātpersonas parakstu vākšanas tiešsaistes sistēmai
22. Atbilstoši Elektronisko dokumentu likumam portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma parakstu vākšanai izmanto elektroniski parakstītu teksta datni UTF-8 kodējumā, kas satur tādu pašu informāciju kā komisijas apstiprinātā parauga veidlapa.
23. Komisija nodrošina, ka šo noteikumu 22. punktā minētā datne tiek aizsargāta, izmantojot fiziskās aizsardzības metodes.
24. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas lietotāju saskarne tīmekļa vietnē, kurā tiek veikta parakstu vākšana, vai lietojumā, kas darbojas uz lietotāja iekārtas, nodrošina iespēju fiziskai personai parakstīties, izmantojot secīgas un vienkārši saprotamas darbības tīmekļa pārlūkā.
25. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma pirms datnes parakstīšanas viegli salasāmā veidā attēlo šo noteikumu 22. punktā minētās datnes saturu un informāciju par datnes parakstītāju.
26. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina iespēju fiziskai personai šo noteikumu 22. punktā minēto datni parakstīt ar drošu elektronisko parakstu.
27. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina aizsardzību pret automatizētu parakstu iesniegšanu.
28. Portāla parakstu vākšanas tiešsaistes sistēma nodrošina personai izvēles iespēju saņemt informāciju par savu dalību parakstu vākšanā, identificējoties savā portāla profilā.
29. Portāla parakstu vākšanas tiešsaistes sistēmā parakstīšanās tiesības tiek piešķirtas portāla elektroniski identificētai fiziskai personai pēc personas datu atbilstības pārbaudes Iedzīvotāju reģistrā, ja persona atbilst vēlēšanu tiesībām.
30. Privātpersonas parakstu vākšanas tiešsaistes sistēma, izmantojot Iedzīvotāju reģistru, var veikt tikai to fizisko personu vēlēšanu tiesību pārbaudi, kuras sevi ir identificējušas privātpersonas parakstu vākšanas tiešsaistes sistēmā. Pārbaudi veic normatīvajos aktos noteiktajā kārtībā un izdevumus, kas saistīti ar Iedzīvotāju reģistra tiešsaistes datu pārraides sistēmas tehniskā pieslēguma konfigurēšanu, sedz saskaņā ar Pilsonības un migrācijas lietu pārvaldes noteikto maksas pakalpojumu cenrādi. Vēlēšanu tiesību pārbaudi Iedzīvotāju reģistrā veic bez maksas.
31. Lai savāktos parakstus tiešsaistē iesniegtu komisijai, portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma izmanto šo noteikumu 2.3. apakšpunktā minēto tīmekļa saskarni.
32. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma pēc paraksta iesniegšanas šo noteikumu 2.2. apakšpunktā minētajai sistēmai un šo noteikumu 44. punktā minētās pārbaudes veikšanas fiziskai personai attēlo informāciju par parakstu nosūtīšanas rezultātu.
33. E-pakalpojums un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina, ka šo noteikumu 22. punktā minētā parakstītā datne, kas iesniegta, izmantojot šo noteikumu 2.3. apakšpunktā minēto tīmekļa saskarni, tiek dzēsta, nesaglabājot fiziskās personas datus un parakstītās datnes, ja ir spēkā viens no šādiem nosacījumiem:
33.1. parakstītā datne ir veiksmīgi iesniegta;
33.2. iesniedzot parakstīto datni, ir notikusi kļūda, kas neizslēdz iespēju veiksmīgi iesniegt to pašu datni vēlāk, un fiziskā persona nav devusi piekrišanu mēģināt iesniegt datni atkārtoti;
33.3. iesniedzot parakstīto datni, ir notikusi kļūda, kas izslēdz iespēju iesniegt to pašu datni atkārtoti.
34. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma, neveicot fiziskas personas identifikāciju, nodrošina šādas informācijas publisku pieejamību:
34.1. parakstu vākšanas iniciatīvas grupas nosaukums, adrese, e-pasta adrese un kontakttālrunis;
34.2. likumprojekta, Satversmes grozījumu projekta vai Saeimas atsaukšanas ierosinājuma teksts un parakstu vākšanas termiņš;
34.3. indikatīvais savākto parakstu skaits par konkrēto iniciatīvu;
34.4. šo noteikumu 4. punktā minētās personas nosaukums, adrese, e-pasta adrese un kontakttālrunis.
35. Portālā publicē un saglabā informāciju par visām notikušajām parakstu vākšanas iniciatīvām, sākot ar 2015. gada 1. janvāri, un norāda šo noteikumu 34.1. un 34.2. apakšpunktā minēto informāciju un savākto parakstu skaitu saskaņā ar komisijas lēmumu par parakstu vākšanas rezultātiem.
36. Portāls nodrošina pārbaudi, vai fiziskā persona iepriekš nav parakstījusies konkrētajā parakstu vākšanā.
37. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma nodrošina iespēju saglabāt unikālu vienoto resursu vietrādi (turpmāk – URL) arī atsevišķā parakstu vākšanas iniciatīvas vietnē, kurā atspoguļota informācija par konkrēto iniciatīvu un kurā ir iespējams vākt parakstus.
38. Ja vienu parakstu vākšanas tiešsaistes sistēmu izmanto dažādām parakstu vākšanas iniciatīvām, portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai jānodrošina funkcionalitātes un informācijas nodalīšana starp dažādajām iniciatīvām.
39. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai ir skaidri nodalītas neidentificētas fiziskas personas, elektroniski identificētas fiziskas personas un sistēmas administratora funkcijas.
IV. Specifiskās tehniskās prasības datu glabāšanas un parakstu pārbaudes sistēmai
40. Datu glabāšanas un parakstu pārbaudes sistēma nodrošina:
40.1. parakstu saņemšanu no portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas;
40.2. informācijas ievadi par fizisku personu, kas parakstījusies klātienē;
40.3. šo noteikumu 22. punktā minētās parakstītās datnes un šo noteikumu 45. punktā minētās informācijas glabāšanu;
40.4. fizisko personu parakstu pārbaudi;
40.5. parakstu skaitīšanu un informācijas sniegšanu par parakstu skaitu;
40.6. to fizisko personu reģistrāciju, kas piedalījušās parakstu vākšanas iniciatīvā.
41. Saņemot datus no privātpersonas parakstu vākšanas tiešsaistes sistēmas, datu glabāšanas un parakstu pārbaudes sistēmā:
41.1. tiek nodrošināta parakstu saņemšana tikai no sertificētām sistēmām, kas pieprasījumos norāda korektu autentifikācijas informāciju un pieslēdzas no šo noteikumu 11.8. apakšpunktā norādītās IP adreses vai adresēm;
41.2. parakstu saņemšanai tiek izmantota šo noteikumu 2.3. apakšpunktā minētā tīmekļa saskarne, kas nodrošina ar drošu elektronisko parakstu parakstītas datnes saņemšanu.
42. Aģentūra publicē šo noteikumu 2.3. apakšpunktā minētās tīmekļa saskarnes specifikāciju un pirmkoda piemēru.
43. Šo noteikumu 4. punktā minētā persona noslēdz ar aģentūru vienošanos par iespēju bez atlīdzības izmantot testēšanai šo noteikumu 2.3. apakšpunktā minēto tīmekļa saskarni.
44. Saņemot šo noteikumu 22. punktā minēto datni ar parakstu vai parakstiem, kas iesniegta, izmantojot šo noteikumu 2.3. apakšpunktā minēto tīmekļa saskarni, datu glabāšanas un parakstu pārbaudes sistēma veic šādas pārbaudes un darbības, kā arī par iegūto rezultātu sniedz informāciju portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai, kas iesniegusi parakstīto datni:
44.1. pārbauda, vai fiziskā persona iepriekš nav parakstījusies konkrētajā parakstu vākšanas iniciatīvā;
44.2. pārbauda, vai šo noteikumu 22. punktā minētās saglabātās parakstītās datnes saturs atbilst šo noteikumu 22. punktā minētā teksta datnes saturam;
44.3. pārbauda, vai komisijas paraksts atbilst šo noteikumu 22. punktā minētajam parakstam un ir derīgs;
44.4. pārbauda, vai fiziskās personas drošs elektroniskais paraksts ir derīgs;
44.5. pārbauda, vai šo noteikumu 22. punktā minētā parakstītā datne ir veiksmīgi saglabāta datu glabāšanas un parakstu pārbaudes sistēmā.
45. Datu glabāšanas un parakstu pārbaudes sistēma nodrošina iespēju komisijai un likuma "Par tautas nobalsošanu, likumu ierosināšanu un Eiropas pilsoņu iniciatīvu" 22. panta otrajā daļā un 25.5 panta otrajā daļā minētajām institūcijām un personām ievadīt informāciju par fizisko personu, kas parakstījusies uz komisijas apstiprinātā parauga veidlapām. Zvērināti notāri var neizmantot minēto sistēmu.
46. Informāciju par identificētu fizisko personu, kuras parakstu saskaņā ar likumu "Par tautas nobalsošanu, likumu ierosināšanu un Eiropas pilsoņu iniciatīvu" apliecinājis zvērināts notārs, pēc komisijas pieprasījuma tai elektroniski nodod Latvijas Zvērinātu notāru padome.
47. Lai nodrošinātu informācijas ievadi par fizisko personu šo noteikumu 45. un 46. punktā minētajā gadījumā, datu glabāšanas un parakstu pārbaudes sistēma nodrošina šādu funkcionalitāti:
47.1. pārbauda, vai fiziskā persona iepriekš nav piedalījusies konkrētajā parakstu vākšanas iniciatīvā;
47.2. veic personas datu atbilstības pārbaudi Iedzīvotāju reģistrā un pārliecinās, vai fiziskajai personai ir vēlēšanu tiesības parakstīšanās laikā;
47.3. nodrošina iespēju komisijai un likuma "Par tautas nobalsošanu, likumu ierosināšanu un Eiropas pilsoņu iniciatīvu" 22. panta otrajā daļā un 25.5 panta otrajā daļā minētajām institūcijām un personām apstiprināt fiziskās personas klātienē veikto parakstu. Zvērināti notāri var neizmantot minēto sistēmu.
48. Pēc parakstu vākšanas beigām un pēc komisijas veiktās parakstu pārbaudes apstiprinātā parauga veidlapās datu glabāšanas un parakstu pārbaudes sistēma nodrošina uzkrāto parakstu skaitīšanu un derīgo parakstu skaita apkopojumu.
49. Komisijai veicot parakstu derīguma pārbaudi, datu glabāšanas un parakstu pārbaudes sistēma papildus šo noteikumu 44. un 47. punktā veiktajām pārbaudēm veic visu šo noteikumu 22. punktā minēto saglabāto parakstu datņu un šo noteikumu 45. un 46. punktā minēto ierakstu pārbaudes, nosakot:
49.1. vai fiziskajai personai ir vēlēšanu tiesības parakstīšanās laikā atbilstoši Iedzīvotāju reģistra datiem;
49.2. vai fiziskā persona iepriekš nav piedalījusies konkrētajā parakstu vākšanas iniciatīvā.
50. Datu glabāšanas un parakstu pārbaudes sistēma nodrošina šo noteikumu 2.4. apakšpunktā minētās saskarnes (vismaz JSON formātā) publisku pieejamību un vismaz šādas informācijas izsniegšanu par katru parakstu vākšanas iniciatīvu:
50.1. iniciatīvas nosaukums, iniciatīvas grupas nosaukums, likumprojekta, Satversmes grozījumu projekta vai Saeimas atsaukšanas ierosinājuma teksts un parakstu vākšanas termiņš;
50.2. parakstu vākšanas laikā savākto parakstu indikatīvais skaits, kas reģistrēts šo noteikumu 2.2. apakšpunktā minētajā sistēmā;
50.3. kopējais derīgo parakstu skaits pēc to saskaitīšanas.
V. Drošības prasības lietojumiem, kas nodrošina tiešsaistes parakstu vākšanu
51. Portālu un privātpersonu parakstu vākšanas tiešsaistes sistēmai jābūt aizsargātai pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un jāatbilst vismaz šādām prasībām:
51.1. nodrošināta aizsardzība pret injekcijas kļūdām (piemēram, SQL injekcija, XML valodas Xpath injekcija, operētājsistēmas komandu injekcija):
51.1.1. veicot visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus;
51.1.2. veicot ievaddatu pārbaudi vismaz servera pusē (lietojumā, kas darbojas uz servera);
51.1.3. ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, SQL teikumi, ievaddatu nodalīšana no komandas vai vaicājuma;
51.2. nodrošināta aizsardzība pret starpvietņu skriptēšanas kļūdām (XSS):
51.2.1. veicot visu uz pārlūkprogrammu nosūtīto datu pārbaudi;
51.2.2. pienācīgi kodējot visus pārlūkprogrammā parādāmos datus;
51.3. nodrošināta stipra autentificēšanās un sesiju pārvaldība:
51.3.1. nepieļaujot iespēju akreditācijas datus uzminēt vai pārrakstīt vāju lietotāja konta pārvaldības funkciju dēļ;
51.3.2. nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu URL;
51.3.3. aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem;
51.3.4. garantējot sesiju noilguma funkcionalitāti;
51.3.5. akreditācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS);
51.3.6. paroļu veidošanai izmantojot stipru loģisko politiku, ja administratora saskarnei netiek izmantota divu faktoru autentifikācija;
51.4. piekļuve resursiem ar tiešo atsauci tiek nodrošināta tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas;
51.5. nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanas kļūdu (XSRF);
51.6. nodrošināta šāda pienācīgas sistēmas drošības konfigurēšana:
51.6.1. visas izmantojamās programmatūras komponentes ir aktuālas, tai skaitā operētājsistēmas, tīmekļa vai lietotnes serveris, datubāzes pārvaldības sistēma, lietotnes un visas kodu bibliotēkas;
51.6.2. ir atspējoti vai nav instalēti nevajadzīgas operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi;
51.6.3. ir izveidota kļūdu apstrāde, lai novērstu pārlieku daudz informācijas saturošu ziņojumu noplūdi;
51.6.4. drošības iestādījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi, piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām;
51.7. nodrošina šādu šifrēšanu:
51.7.1. šifrē personas datus, kas tiek saglabāti elektroniskā formātā;
51.7.2. šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), pārsūtot personas datus elektroniski;
51.7.3. lieto stiprus šifrēšanas algoritmus un stipras atslēgas;
51.7.4. jābūt šifrēšanas atslēgu pārvaldības procedūrai;
51.7.5. saglabājot paroles datubāzē, tās jauc ar stipru standarta jaucējsummas algoritmu un pievieno pienācīgu kriptogrāfisko jaucējvērtību "salt";
51.7.6. visas paroles un šifrēšanas atslēgas pienācīgi aizsargā;
51.8. saitēm (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot;
51.9. tiek izmantota pietiekama transporta slāņa aizsardzība (Transport Layer Protection):
51.9.1. sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kuru termiņš nav beidzies, tie nav atsaukti un ir atbilstoši domēnam, kurā tos izmanto;
51.9.2. izmanto tikai tādus šifrēšanas algoritmus, kas atbilst labai praksei;
51.10. nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu.
52. Ja privātpersonas parakstu vākšanas tiešsaistes sistēma izmanto ar citām sistēmām kopīgu aparatūru, operētājsistēmu vai datubāzes pārvaldības sistēmu, to atspoguļo risku novērtējumā un īstenotajos risku novēršanas pretpasākumos.
53. Piekļuvi portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmas administrēšanas tehnoloģisko procesu un pārvaldības funkcionalitātei nodrošina tikai tām personām, kurām sistēmā esošā informācija atbilstošā apjomā nepieciešama darba pienākumu veikšanai.
54. Ja persona saistīta ar sistēmas apkalpošanu, viņas darba līgumā vai amata aprakstā iekļauj nosacījumus par konfidencialitātes prasību ievērošanu attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus. Ja sistēmu apkalpo trešā persona (piemēram, komersants vai pašnodarbināta persona), konfidencialitātes prasības nosaka dokumentā, ar kuru nodibina tiesiskās attiecības.
55. Datu dublikātus (rezerves kopijas) aizsargā, izmantojot stipru šifrēšanas algoritmu un atslēgas.
56. Informācijas sistēmu audita žurnālos reģistrē izņēmumus un citus ar drošību saistītus notikumus. Sistēmu administratoriem ir pienākums regulāri pārbaudīt sistēmu audita žurnālus, lai novērstu aizdomīgas darbības. Minimālā informācija, ko saglabā sistēmu audita žurnālos, ir šāda:
56.1. datums un laiks, kad sistēmas administratori veic pieslēgšanos vai atslēgšanos;
56.2. datums un laiks, kad ir veikta datu dublēšana (datu rezerves kopēšana);
56.3. datums un laiks, kad ir veiktas izmaiņas sistēmā vai programmatūras atjaunināšana.
VI. Drošības prasības informācijas sistēmu infrastruktūrai, kas nodrošina tiešsaistes parakstu vākšanu
57. Neatkarīgi no tā, kur ir izmitināta portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma un kas nodrošina izmitināšanu, parakstu vākšanas tiešsaistes sistēmai nodrošina pienācīgu aizsardzību, izpildot vismaz šādas prasības:
57.1. tiek veikta piekļuves kontrole izmitināšanas telpām, un visi apmeklējumi tiek reģistrēti audita žurnālā;
57.2. dublējamie dati tiek aizsargāti pret zādzību vai nejaušu novietošanu nevietā;
57.3. serveris vai serveri tiek novietoti drošā statnē.
58. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmu izmitina uz servera vai serveriem, kuri fiziski atrodas Latvijas teritorijā un ir savienoti ar internetu un nodalīti ar ugunsmūri aizsargātā "demilitarizētā zonā".
59. Ugunsmūra programmatūras versijai jābūt aktuālai.
60. Ugunsmūrim ir jāpārbauda un jāreģistrē visa saņemto un nosūtāmo datu plūsma no "demilitarizētās zonas". Ugunsmūris atļauj piekļuvi tikai tādām datu plūsmām, kas nepieciešamas sistēmas darbībai vai administrēšanai.
61. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēma atrodas pienācīgi aizsargātā tīkla segmentā, kas ir nodalīts no testēšanas un izstrādes sistēmām.
62. Lokālā tīkla segmentā, kur atrodas sistēma, piemēro šādus aizsardzības mehānismus:
62.1. nodrošina pārmijportu piekļuves sarakstu komutatorā, kur katram tā pārmijportam tiek piekārtots saraksts ar iekārtu aparatūras adresēm, kuras var pārmijportu izmantot, vai pārmijportu drošību, kas ir tīkla komutatoru konfigurācija, kas neļauj pievienot komutatora pārmijportiem neautorizētas iekārtas;
62.2. atspējo neizmantotos pārmijportus;
62.3. nodrošina "demilitarizētās zonas" atrašanos nodalītā lokālā tīklā vai nodalītā virtuālā lokālā tīklā;
62.4. nodrošina, ka nevajadzīgajos pārmijportos nav iespējama piekļuve virtuālajiem lokālajiem tīkliem (IEEE 802.1Q-VLAN).
63. Portāla un privātpersonas parakstu vākšanas tiešsaistes sistēmai nodrošina šādu servera un operētājsistēmas aizsargāšanu:
63.1. veic atbilstošu drošības konfigurāciju, ieskaitot elementus, kas minēti šo noteikumu 51.6. apakšpunktā;
63.2. nodrošina lietotnes darbošanos, izmantojot viszemāko privilēģiju komplektu, kas tām ir nepieciešams, lai darbotos;
63.3. sistēmu administratoru piekļuvei nodrošina sesijas noildzi, nepārsniedzot 15 minūtes;
63.4. pēc attiecīgo operētājsistēmas un izmantojamo lietotņu jauninājumu, ielāpu un pretvīrusu programmatūras atjauninājumu publicēšanas nekavējoties uzsāk to uzstādīšanu.
VII. Noslēguma jautājums
64. Noteikumi stājas spēkā 2015. gada 1. janvārī.
Ministru prezidente Laimdota Straujuma
Vides aizsardzības un
reģionālās attīstības ministrs Romāns Naudiņš