Ministru kabineta instrukcijas: Šajā laidienā 1 Pēdējās nedēļas laikā 0 Visi
Šī publikācija ir precizēta.
Precizējums: OP 2018/42.9
Ministru kabineta instrukcija Nr. 1
Rīgā 2018. gada 6. februārī (prot. Nr. 7 38. §)
Valsts elektronisko sakaru pakalpojumu centra nodrošināšanas kārtība
Izdota saskaņā ar Elektronisko sakaru likuma
25.1 panta otro daļu
I. Vispārīgie jautājumi
1. Instrukcija nosaka:
1.1. valsts elektronisko sakaru pakalpojumu centra (turpmāk – centrs) lietošanas kārtību;
1.2. valsts informācijas sistēmu izvietošanas un uzturēšanas kārtību centrā;
1.3. kārtību, kādā nosaka centrā ievietojamo informācijas sistēmu sarakstu.
2. Instrukcijā lietotie termini:
2.1. fiziskais datu centrs – objekts, kurā izvietotas datu apstrādes iekārtas, kurām tiek nodrošināta nepārtraukta rezervēta elektrobarošana, klimata (temperatūras un mitruma) kontrole, piekļuves kontrole un datu pārraides savienojumi, kas atbilst vismaz Telesakaru industrijas asociācijas (Telecommunications Industry Association) TIA-942 standarta 2. līmenim;
2.2. datu pārraides kanāls – datu pārraides savienojums, kas izveidots starp diviem pieslēguma punktiem;
2.3. pakalpojuma kumulatīvā pieejamība – konkrētā centra pakalpojuma izmantošanas pieejamība centra lietotājam, izteikta procentos no laika vienības;
2.4. centra lietotājs – valsts budžeta iestāde, pašvaldība, publiskas personas kontrolēta kapitālsabiedrība, kā arī institūcija, kas atbildīga par valsts informācijas sistēmu darbības nodrošināšanu, bet nav valsts budžeta iestāde;
2.5. centra nodrošinātājs – Satiksmes ministrija vai institūcija, kurai Satiksmes ministrija deleģējusi centra nodrošināšanas uzdevumu;
2.6. pakalpojumatteices uzbrukums – uzbrukums, kura mērķis ir publiskajam interneta tīklam pieslēgtu sistēmu un to interneta pieslēgumu darbības traucēšana vai paralizēšana, tos pārslogojot un tādā veidā padarot šīs sistēmas nepieejamas no tīkla vai arī traucējot vai padarot neiespējamu šo sistēmu izmantošanu to leģitīmajiem lietotājiem. Pakalpojumatteices uzbrukumi detalizēti aprakstīti šīs instrukcijas 1. pielikumā.
3. Centra lietošanas mērķis ir nodrošināt tehnisko līdzekļu (infrastruktūras) kopumu (nepieciešamo skaitļošanas, datu glabāšanas un elektronisko sakaru tīkla informācijas un komunikācijas tehnoloģiju infrastruktūru), lai, sniedzot noteiktus pakalpojumus, nodrošinātu valsts informācijas sistēmu darbību augstā konfidencialitātes, integritātes un pieejamības līmenī.
4. Centra pakalpojuma kumulatīvo pieejamību mēnesī mēra procentos no kopējā stundu skaita mēnesī un aprēķina, izmantojot šādu formulu:
K = (1 – d/s) x 100, kur
K – centra pakalpojuma kumulatīvā pieejamība laika vienībā;
d – dīkstāves laiks stundās;
s – stundu skaits attiecīgajā laika vienībā.
II. Centra lietošanas kārtība
5. Centrs sniedz šādus pakalpojumus:
5.1. datu glabātavas pakalpojums (Storage as a service, SaaS) – nodrošina centra lietotājiem iespēju glabāt savu informācijas sistēmu datus, izmantojot centra infrastruktūru kā datu glabātavu;
5.2. datu rezerves kopēšanas pakalpojums (Backup as a service, Baas) – nodrošina centra lietotājiem iespēju izveidot savu informācijas sistēmu rezerves kopijas un uzglabāt tās atbilstoši nepieciešamajai rezerves kopiju veidošanas, uzglabāšanas un atjaunošanas politikai;
5.3. virtuālo skaitļošanas jaudu īslaicīgās izmantošanas pakalpojums – nodrošina centra lietotājiem iespēju izmantot virtuālo procesoru kodolus, operatīvo atmiņu un cietā diska vietu;
5.4. centra pakalpojumu izmantošanas un integrēšanas atbalsta pakalpojums – nodrošina centra lietotājam konsultāciju par centra lietotāja informācijas sistēmu, datu, procedūru un integrācijas atbilstību centra pakalpojumu izmantošanas prasībām;
5.5. īslaicīgas darba vietas nodrošināšanas pakalpojums – nodrošina centra lietotājam iespēju veikt tiešu pieslēgumu centra pakalpojumu platformas iekšējam tīklam, ja attālināta pieeja datiem nav pieļaujama vai nav tehniski iespējama;
5.6. datu pārraides kanāla pakalpojums – nodrošina loģisko savienojumu starp centra un centra lietotāja infrastruktūru;
5.7. publiskā interneta pakalpojums – nodrošina centra lietotāja sistēmu piekļuvi publiskajam interneta tīklam;
5.8. pakalpojumatteices uzbrukuma (distributed denial of service, DDoS) aizsardzības pakalpojums – nodrošina aizsardzību pret noteikta veida uzbrukumiem centra lietotāja tīmekļvietnēm;
5.9. fiziskā datu centra izmantošanas pakalpojums – nodrošina iekārtu (serveru, komutatoru un citu iekārtu) izvietošanu serveru statnēs.
6. Lai izmantotu centra pakalpojumus, centra lietotājs noslēdz centra nodrošinātāja sagatavotu pakalpojuma līgumu. Slēdzot minēto līgumu, centra lietotājam nav jāpiemēro Publisko iepirkumu likums vai Sabiedrisko pakalpojumu sniedzēju iepirkuma likums. Pakalpojuma līgumā atkarībā no sniegtā pakalpojuma iekļauj šādu informāciju:
6.1. pakalpojuma apraksts;
6.2. pakalpojuma apjoms;
6.3. pakalpojuma izmantošanas administratīvie un tehniskie noteikumi un ierobežojumi;
6.4. pakalpojuma sniegšanas kvalitātes kritēriji (pieejamība, plānoto darbu saskaņošana);
6.5. pakalpojuma kvalitātes rādītāji;
6.6. pakalpojuma kumulatīvā pieejamība;
6.7. centra lietotāja pienākumi, tiesības un atbildība;
6.8. centra nodrošinātāja pienākumi, tiesības un atbildība;
6.9. par pakalpojuma līguma izpildi atbildīgo personu kontaktinformācija;
6.10. līguma darbības termiņš;
6.11. pakalpojuma apmaksas kārtība;
6.12. papildu nosacījumi, ja tādi nepieciešami līguma izpildei.
7. Centrs nodrošina šādu pakalpojumu kumulatīvo pieejamību:
7.1. datu glabātavas pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.2. datu rezerves kopēšanas pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.3. virtuālo skaitļošanas jaudu īslaicīgās izmantošanas pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.4. centra pakalpojumu izmantošanas un integrēšanas atbalsta pakalpojumam – saskaņā ar vienošanos;
7.5. īslaicīgas darba vietas nodrošināšanas pakalpojumam – 100 % mēnesī;
7.6. datu pārraides kanāla pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.7. publiskā interneta pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.8. pakalpojumatteices uzbrukuma aizsardzības pakalpojumam – ne mazāk kā 99,5 % mēnesī;
7.9. fiziskā datu centra izmantošanas pakalpojumam – ne mazāk kā 99,5 % gadā.
8. Centra lietotāja pienākumi:
8.1. pēc centra nodrošinātāja pieprasījuma vai konstatējot traucējumus centra darbībā, sniegt centra nodrošinātājam visu centra lietotāja rīcībā esošo informāciju, kas saistīta ar centra darbību un izmantošanu;
8.2. 10 darbdienu laikā pēc centra lietotāja informācijas sistēmas iekļaušanas šīs instrukcijas 16. punktā minētajā sarakstā informēt centra nodrošinātāju par kontaktpersonu, kura ir atbildīga par sadarbības nodrošināšanu (tostarp pakalpojuma līguma noslēgšanu) centra pakalpojumu izmantošanai;
8.3. sniegt centra nodrošinātājam visu centra lietotāja rīcībā esošo informāciju, kas nepieciešama ar centra darbību un izmantošanu saistīto drošības incidentu pārbaudei;
8.4. par centra infrastruktūras darbības vai drošības incidentiem paziņot nekavējoties, bet ne vēlāk kā vienas darbdienas laikā, iesniedzot centra nodrošinātājam attiecīgu iesniegumu;
8.5. aizliegts veikt darbības, kas var traucēt centra darbību vai ietekmēt centra kopējo drošību.
9. Centra nodrošinātāja pienākumi:
9.1. nodrošināt šādus centra tehniskā risinājuma elementus:
9.1.1. fiziskie datu centri, kuros tiek izvietotas iekārtas;
9.1.2. optisko šķiedru tīkls, kas savieno fiziskos datu centrus;
9.1.3. tīkla iekārtas, kas nodrošina datu plūsmu starp fiziskajiem datu centriem;
9.1.4. interneta pieslēgums, kas nodrošina piekļuvi centra pakalpojumiem, izmantojot publisko interneta tīklu;
9.1.5. programmatūra, kas nodrošina centra datu glabāšanas, datu rezervēšanas un virtuālās skaitļošanas jaudas izmantošanas pakalpojumus;
9.2. veikt visus nepieciešamos uzturēšanas darbus saskaņā ar centra platformas komponenšu ražotāju norādēm un atbilstoši labākajai praksei;
9.3. nodrošināt nepieciešamo rezerves komponenšu kopumu, lai ievērotu šīs instrukcijas 6.5. apakšpunktā minētos pakalpojumu kvalitātes rādītājus;
9.4. nodrošināt nepārtrauktu centra risinājumu vadību un uzraudzību, izmantojot tehniskās sistēmas un atbilstošu personālu;
9.5. nodrošināt centra tehniskās infrastruktūras bojājumu novēršanu, lai ievērotu šīs instrukcijas 6.5. apakšpunktā minētos pakalpojumu kvalitātes rādītājus;
9.6. sadarbībā ar centra lietotājiem vismaz reizi gadā veikt tīkla funkcionalitātes un atsevišķu uzglabāto datu atjaunošanas procesa integritātes darbības pārbaudes;
9.7. reizi ceturksnī iesniegt Satiksmes ministrijā pārskatus saskaņā ar deleģēšanas līgumu un šo instrukciju.
10. Centra nodrošinātāja tiesības:
10.1. pieprasīt un saņemt no centra lietotāja informāciju, kas saistīta ar centra un tā pakalpojumu izmantošanu;
10.2. pieprasīt un saņemt no centra lietotāja drošības incidentu pārbaudei nepieciešamo informāciju;
10.3. slēgt centra lietotājam pieeju centra pakalpojumiem, ja tas neievēro šajā instrukcijā un pakalpojuma līgumā noteiktās prasības. Piekļuvi centra pakalpojumiem atjauno pēc visu konstatēto pārkāpumu novēršanas;
10.4. nekavējoties apturēt centra pakalpojumu sniegšanu atsevišķiem vai visiem centra lietotājiem, apturēt centra infrastruktūras vai tās daļas darbību, ja tas nepieciešams būtisku drošības risku novēršanai.
III. Valsts informācijas sistēmu izvietošana un uzturēšana centrā
11. Valsts informācijas sistēmu izvietošanu un uzturēšanu centrā finansē šādā kārtībā:
11.1. ja centra lietotājs ir valsts budžeta iestāde, centra pakalpojumu izmaksas sedz no Satiksmes ministrijas budžeta līdzekļiem, kas normatīvajos aktos noteiktajā kārtībā pārdalīti no attiecīgās valsts budžeta iestādes;
11.2. ja centra lietotājs ir institūcija, kas nav minēta šīs instrukcijas 11.1. apakšpunktā, centra pakalpojumu uzturēšanas izmaksas attiecīgā institūcija sedz no saviem līdzekļiem atbilstoši noslēgtajam pakalpojuma līgumam.
12. Par centrā izvietoto informācijas sistēmu saturu un programmnodrošinājumu atbild centra lietotājs.
13. Centra lietotājs nodrošina tiesību aktos noteikto valsts informācijas sistēmu drošības prasību ievērošanu.
14. Pēc pakalpojuma līguma parakstīšanas centra nodrošinātājs izveido nepieciešamo vidi, veic konfigurēšanu pakalpojuma nodrošināšanai un izsniedz par pakalpojuma līguma izpildi atbildīgajai centra lietotāja personai nepieciešamo informāciju un pieejas datus (paroles), lai nodrošinātu tehnisko piekļuvi konkrētajam centra pakalpojumam.
15. Par plānotajiem darbiem, kas var izraisīt centra pakalpojumu darbības traucējumus vai to nepieejamību, centra nodrošinātājs brīdina centra lietotājus, kurus tas ietekmēs, 10 dienas pirms plānoto darbu veikšanas, norādot darbu uzsākšanas datumu un laiku un darbu pabeigšanas datumu un laiku.
IV. Centrā ievietojamo informācijas sistēmu saraksta noteikšana
16. Informācijas sistēmas, kuru darbības nodrošināšanai vai kurās esošo datu rezervēšanai tiek izmantoti centra pakalpojumi, iekļauj informācijas sistēmu sarakstā.
17. Lēmumu par informācijas sistēmas iekļaušanu informācijas sistēmu sarakstā atbilstoši kompetencei pieņem Vides aizsardzības un reģionālās attīstības ministrija un kompetentās drošības iestādes, saskaņojot finansēšanas kārtību ar Satiksmes ministriju.
18. Pirms informācijas sistēmas iekļaušanas informācijas sistēmu sarakstā lēmuma pieņēmējs saskaņo ar centra uzturētāju un šīs informācijas sistēmas pārzini konkrētās informācijas sistēmas integrēšanas un centra pakalpojumu izmantošanas nosacījumus.
19. Lēmuma pieņēmējs par pieņemto lēmumu informē centra uzturētāju un informācijas sistēmas pārzini.
Ministru prezidents,
veselības ministra pienākumu izpildītājs Māris Kučinskis
Satiksmes ministrs Uldis Augulis
1. pielikums
Ministru kabineta
2018. gada 6. februāra
instrukcijai Nr. 1
Pakalpojumatteices uzbrukumu apraksts
I. Maza joslas platuma uzbrukumi
Vērsti pret konkrētu interneta resursu (tīmekļvietni, e-pakalpojumu) vai tā daļu (piemēram, tīmekļvietņu autorizācijas moduli), pārslogojot to ar viltus pieprasījumiem. Uzbrukumi pārsvarā ir balstīti uz resursu atvērto sistēmu starpsavienojuma modeļa (OSI (Open Systems Interconnection model)) 4.–7. līmeņa ievainojamībām (piemēram, TCP SYN flood1, HTTP GET flood2, SQL injekcijas3). Šādi uzbrukumi var būt laika ziņā lēni (piemēram, divi TCP SYN pieprasījumi sekundē), kas šādus uzbrukumus padara grūti identificējamus, izmantojot standarta datu pārraides tīkla uzraudzības programmatūru (piemēram, WhatsUp, Cacti, PRTG) un datu plūsmas metadatu apkopošanas programmatūru (NetFlow, JFlow).
Uzbrukuma ietekme – ir nepieejams tikai tas konkrētais interneta resurss vai traucēta tikai tā konkrētā interneta resursa darbība, pret kuru tiek vērsts uzbrukums.
II. Liela joslas platuma (apjoma) uzbrukumi
Vērsti gan pret starptautiskā interneta plūsmu pakalpojumu piegādātāju (operatoru) vietējam Latvijas interneta operatoram, kas apkalpo institūcijas un citus gala klientus Latvijā, gan pret pašu vietējo Latvijas interneta operatoru. Uzbrukumi tiek veikti, sūtot lielas datu plūsmas interneta operatora tīklā (vairāki simti gigabaitu sekundē), kas padara šā interneta operatora tīkla funkcionēšanu neiespējamu, līdz ar to institūcijas, kuru informācijas sistēmas izmanto šo interneta operatoru, nav pieejamas citiem interneta lietotājiem.
Uzbrukumi pārsvarā ir balstīti uz OSI 3.–4. līmeņa protokoliem (piemēram, UDP flood4, ICMP flood5), taču arī ar augstāku OSI slāņu protokoliem (piemēram, HTTP GET flood, NTP query6) var panākt līdzīgu efektu – uzģenerēt tik apjomīgu datu plūsmu, ka tā pārslogo interneta kanālu. Šādus liela apjoma uzbrukumus var viegli konstatēt, izmantojot standarta datu pārraides tīkla uzraudzības programmatūru un datu plūsmas metadatu kolektorus, taču, ja institūcija sadarbībā ar savu tranzīta operatoru nav izstrādājusi procedūru, kā rīkoties šāda uzbrukuma gadījumā, institūcija tiek atvienota no interneta uz nenoteiktu laiku.
Uzbrukuma ietekme – nepieejami visi resursi, kas atrodas aiz pārslogotā datu pārraides kanāla vai tīkla iekārtas.
Piezīmes.
1 Uzbrukuma veids, kad uzbrucējs sūta neskaitāmus atkārtotus sinhronizācijas (SYN) pieprasījumus mērķa (uzbrukumam izvēlētajai) sistēmai (serverim), mēģinot patērēt tik daudz servera resursu, lai sistēma vairs nereaģētu (nebūtu spējīga reaģēt) uz derīgo tīkla trafiku.
2 Uzbrukuma veids, kurā izmanto standarta datu pieprasījumus (GET), kuri tiek sūtīti serverim ikviena droša savienojuma laikā, kas izveidots tipisku datu ieguvei (piemēram, attēlus, informāciju). Šādā uzbrukumā mērķa serveris tiek pārpildīts ar pamata GET pieprasījumiem.
3 SQL injekcija ir datorsistēmu ielaušanās veids, kurā uzbrucējs ar klienta tiesībām mēģina piekļūt datubāzei.
4 Uzbrukuma veids, kad uzbrucējs interneta tīklos sūta lietotāja datagrammas protokolu (UDP) paketes, pārslogojot izvēlētā mērķa resursus. Uzbrucējs sūta UDP paketes nereti lielām institūcijām uz vienu galamērķi vai izlases veidā.
5 Uzbrukuma veids, kad uzbrucējs sūta ICMP (interneta vadības ziņojuma protokola) pieprasījumus izvēlētajam mērķim, pārslogojot to ar tik daudziem pieprasījumiem, ka tas reaģējot iztērē visus savus resursus, līdz vairs nav spējīgs apstrādāt derīgo tīkla trafiku.
6 NTP query ir diagnostikas rīks laika (NTP) serveros, kas paredzēts laika iestatīšanai un konfigurēšanai tīklos.
Satiksmes ministrs Uldis Augulis