Kāpēc ar “mums ir antivīruss un backup” vairs nepietiek

Daudzās organizācijās IT vide ir veidojusies pakāpeniski. Kaut kas ir serverī, kaut kas mākonī, kaut kas pie ārpakalpojuma sniedzēja, kaut kas vēl vecā datorā zem galda. Kamēr viss strādā, šāda vide bieži šķiet pieņemama. Problēmas sākas brīdī, kad ir incidents, audits, vadības jautājumi vai jāsniedz pierādījumi par drošības prasību izpildi.

Minimālās kiberdrošības prasības sākas nevis ar sarežģītu drošības risinājumu iegādi, bet ar spēju skaidri pierādīt pamata lietas: kas ir jūsu sistēmas, kam ir piekļuve, kur ir daudzfaktoru autentifikācija, vai rezerves kopijas tiešām atjaunojas un vai incidenta gadījumā var saprast, kas notika.

Pēdējie kiberincidenti Latvijā labi parāda, ka risks bieži sākas ar pamata lietām: vecu ievainojamību, nepārbaudītu backup, vāju paroli, lieku ārējo piekļuvi vai neskaidru atbildību. Tāpēc ir svarīgi ātri saprast, kas vidē jau ir sakārtots un kas jālabo vispirms.

Kas jums jāpārbauda

Kiberdrošības kontrolsaraksts organizācijām, kurām vajag saprotamu minimumu

Šis nav pilns IT drošības audits lielai korporācijai. Tas ir praktisks minimums organizācijām, kurām jāievieš vai vismaz jāsaprot minimālās kiberdrošības prasības, jāpārbauda galvenās kontroles un jāsagatavo pierādāma kārtība.

• Piemērojamība, atbildība un pamatprincipi. Vispirms jums jāzina, vai šīs prasības uz jūsu organizāciju attiecas, kurš par tām atbild, un kādi ir obligātie drošības pamatprincipi, pēc kuriem vadāties ikdienā.

  Dokumentu piemēri:

  01. NKDL piemērojamības izvērtējums,

  02. Rīkojums par kiberdrošības pārvaldnieku,

  03. Kiberdrošības politika

• NKDL piemērojamības izvērtējums

  Dokumenta mērķis: fiksēt, vai uz iestādi attiecas Nacionālais kiberdrošības likums un MK minimālās kiberdrošības prasības.

  Iestāde: […]
  Datums: […]
  Sagatavoja: […]

  1. Iestādes darbības raksturojums

  Iestāde nodrošina šādus pakalpojumus/funkcijas:

  • […]
  • […]

  2. Izvērtējums

  Kritērijs	Attiecas?	Pamatojums
  Iestāde ir publiska persona vai tās institūcija	Jā/Nē	[…]
  Iestāde sniedz sabiedrībai būtiskus pakalpojumus	Jā/Nē	[…]
  Iestādes IKT sistēmu traucējumi var ietekmēt pašvaldības funkciju izpildi	Jā/Nē	[…]
  Iestādei ir informācijas sistēmas ar būtisku ietekmi uz pakalpojumu pieejamību	Jā/Nē	[…]
  Iestāde apstrādā personas datus	Jā/Nē	[…]

  3. Secinājums

  Pamatojoties uz izvērtējumu, iestāde:

  • ir NKDL subjekts;
  • nav NKDL subjekts;
  • statuss jāprecizē ar pašvaldības centrālo administrāciju / NKDC / SAB.

  4. Turpmākā rīcība

  Ja iestāde ir NKDL subjekts:

  • jānosaka kiberdrošības pārvaldnieks;
  • jāizveido minimālais kiberdrošības dokumentu kopums;
  • jāveic IKT resursu un informācijas sistēmu uzskaite;
  • jāveic ikgadēja drošības pārbaude;
  • jāiesniedz pašvērtējums, ja tas attiecināms.

  Apstiprināja: […]
  Amats: […]
  Datums: […]\

  Rīkojums par kiberdrošības pārvaldnieka noteikšanu

  Dokumenta mērķis: formāli noteikt atbildīgo personu un piešķirt tai tiesības rīkoties kiberdrošības jautājumos.

  Iestāde: […]
  Rīkojuma Nr.: […]
  Datums: […]

  Pamatojoties uz Nacionālā kiberdrošības likuma un MK minimālo kiberdrošības prasību izpildi,

  Rīkoju:

  1. Noteikt […] par iestādes kiberdrošības pārvaldnieku.

  2. Kiberdrošības pārvaldnieks ir atbildīgs par:

     • kiberdrošības prasību ieviešanas koordinēšanu;
     • IKT resursu un informācijas sistēmu uzskaites uzturēšanu;
     • kiberrisku un nepārtrauktības pasākumu koordinēšanu;
     • incidentu reģistrēšanu un ziņošanas koordinēšanu;
     • ikgadējās kiberdrošības pārbaudes organizēšanu;
     • lietotāju kiberdrošības instruktāžu organizēšanu.

  3. Kiberdrošības incidenta vai būtiska apdraudējuma gadījumā kiberdrošības pārvaldniekam ir tiesības:

     • pieprasīt nepieciešamo informāciju un žurnālfailus;
     • apturēt vai ierobežot lietotāju kontus;
     • ierobežot piekļuvi IKT resursiem;
     • pieprasīt ārpakalpojumu sniedzēju iesaisti;
     • ierosināt ziņošanu kompetentajām institūcijām.

  4. Par kiberdrošības pārvaldnieka noteikšanu informēt kompetento institūciju, ja tas attiecināms.

  Vadītājs: […]
  Paraksts: […]

  Kiberdrošības politika

  Dokumenta mērķis: īsi noteikt iestādes obligātos kiberdrošības pamatprincipus.

  Iestāde: […]
  Versija: […]
  Spēkā no: […]
  Atbildīgais: […]

  1. Mērķis

  Šīs politikas mērķis ir noteikt minimālos kiberdrošības principus iestādes IKT resursu un informācijas sistēmu aizsardzībai.

  2. Darbības joma

  Politika attiecas uz:

  • visiem iestādes darbiniekiem;
  • ārpakalpojumu sniedzējiem, kuri piekļūst iestādes IKT resursiem;
  • iestādes darba stacijām, serveriem, tīkla iekārtām, virtuālajām mašīnām, rezerves kopijām un informācijas sistēmām.

  3. Saistošās prasības

  Iestāde ievēro tai piemērojamās kiberdrošības un datu aizsardzības prasības, tai skaitā:

  • Nacionālo kiberdrošības likumu;
  • MK noteikumus par minimālajām kiberdrošības prasībām;
  • personas datu aizsardzības prasības, ja tiek apstrādāti personas dati;
  • citus iestādei piemērojamos normatīvos aktus un līgumsaistības.

  4. Iestādes IKT vides un pakalpojumu raksturojums

  Iestāde nodrošina šādus pakalpojumus vai funkcijas:

  • […]
  • […]

  Iestādes IKT vidē ietilpst:

  • darba stacijas;
  • serveri un virtuālās mašīnas;
  • tīkla iekārtas;
  • rezerves kopiju risinājumi;
  • ārpakalpojumi;
  • informācijas sistēmas.

  5. Atbildība

  Iestādes vadītājs nodrošina kiberdrošības pārvaldību.

  Kiberdrošības pārvaldnieks koordinē kiberdrošības prasību ieviešanu un uzraudzību.

  IKT lietotāji ievēro drošības prasības un ziņo par incidentiem vai aizdomīgām darbībām.

  6. Pamatprasības

  Iestādē jānodrošina:

  • IKT resursu un informācijas sistēmu uzskaite;
  • informācijas sistēmu klasifikācija;
  • piekļuves tiesību piešķiršana pēc mazāko privilēģiju principa;
  • administrēšanas kontu nodalīšana no ikdienas lietotāju kontiem;
  • daudzfaktoru autentifikācija, kur tā ir obligāta;
  • tīkla segmentācija;
  • attālināta piekļuve iekšējiem resursiem tikai ar drošu autentifikāciju un šifrētu savienojumu;
  • žurnālfailu veidošana, aizsardzība un glabāšana;
  • rezerves kopiju veidošana un atjaunošanas pārbaude;
  • incidentu reģistrēšana un ziņošana;
  • lietotāju kiberdrošības instruktāžas;
  • ārpakalpojumu kiberdrošības izvērtēšana;
  • šifrēšana gadījumos, kad tā ir obligāta vai nepieciešama risku mazināšanai.

  7. Pārskatīšana

  Politiku pārskata vismaz reizi gadā vai pēc būtiskām izmaiņām iestādes IKT vidē.

  Apstiprināja: […]
  Datums: […]

• Sistēmu uzskaite un saprotams saraksts. Sāciet ar vienkāršu, saprotamu sarakstu: kādas sistēmas, virtuālās mašīnas, tīkla iekārtas, backup risinājumi un būtiskie pakalpojumi jums vispār ir, un kāda ir to nozīme.

  Dokumentu piemēri:

  04. IKT resursu un informācijas sistēmu katalogs,

  05. Informācijas sistēmu klasifikācijas lapa

• IKT resursu un informācijas sistēmu katalogs

  Dokumenta mērķis: uzturēt minimālo uzskaiti par sistēmām, serveriem, tīkla iekārtām un atbildību.

  Iestāde: […]
  Atbildīgais: […]
  Aktualizēts: […]

  Resurss / sistēma	Tips	Atrašanās vieta	Atbildīgais	Konfidencialitāte	Integritāte	Pieejamība	IS klase	Rezerves kopijas
  […]	VM / serveris / tīkla iekārta / darba staciju grupa / pakalpojums / IS	[…]	[…]	A/B/C/Nav attiecināms	A/B/C/Nav attiecināms	A/B/C/Nav attiecināms	A/B/C/Nav attiecināms	Jā/Nē
  […]	[…]	[…]	[…]	[…]	[…]	[…]	[…]	[…]

  Klasifikācijas paskaidrojums

  Konfidencialitāte — ietekme, ja informācija kļūst pieejama nepilnvarotām personām.

  Integritāte — ietekme, ja informācija vai konfigurācija tiek neatļauti mainīta vai bojāta.

  Pieejamība — ietekme, ja sistēma vai resurss nav pieejams.

  IS klase tiek noteikta pēc augstākā būtiskā ietekmes līmeņa vai atsevišķa sistēmas klasifikācijas izvērtējuma.

  Informācijas sistēmas klasifikācija

  Dokumenta mērķis: fiksēt, kāpēc konkrētai sistēmai piešķirta A/B/C klase.

  Sistēma: […]
  Atbildīgais: […]
  Datums: […]

  1. Sistēmas apraksts

  Sistēma tiek izmantota: […]

  Sistēmā apstrādātā informācija: […]

  2. Ietekmes izvērtējums

  Kritērijs	Klase	Pamatojums
  Konfidencialitāte	A/B/C	[…]
  Integritāte	A/B/C	[…]
  Pieejamība	A/B/C	[…]

  3. Personas dati

  Vai sistēmā tiek apstrādāti personas dati?

  • Jā
  • Nē

  Ja jā, īss apraksts: […]

  4. Piešķirtā informācijas sistēmas klase

  Sistēmai piešķirtā klase: A / B / C

  Pamatojums: […]

  5. Minimālās prasības pēc klases

  Sistēmai piemēro šādas prasības:

  • MFA obligāta administratoriem;
  • MFA obligāta lietotājiem;
  • žurnālfailu glabāšana atbilstoši klasei;
  • rezerves kopiju glabāšana atbilstoši klasei;
  • atjaunošanas pārbaudes atbilstoši klasei;
  • šifrēšana atbilstoši informācijas klasei.

  Apstiprināja: […]
  Datums: […]

• Kritiskie riski un darbības nepārtrauktība. Jums jāzina, kuri notikumi var apturēt darbu, kuras sistēmas jāatjauno pirmās un kāda ir minimālā rīcība, ja notiek būtisks darbības pārtraukums.

  Dokumentu piemērs:

  06. Kiberrisku un IKT darbības nepārtrauktības plāns

• Kiberrisku un IKT darbības nepārtrauktības plāns

  Dokumenta mērķis: noteikt būtiskos riskus, atjaunošanas prioritātes un rīcību darbības pārtraukuma gadījumā.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]
  Datums: […]

  1. Mērķis

  Plāna mērķis ir noteikt būtiskos kiberdrošības riskus un minimālo rīcību IKT darbības traucējumu gadījumā.

  2. Risku izvērtēšanas metode

  Risks tiek vērtēts pēc:

  • ietekmes: zema / vidēja / augsta;
  • iespējamības: zema / vidēja / augsta.

  3. Būtiskie riski

  Risks	Ietekme	Iespējamība	Mazināšanas pasākums	Atbildīgais
  Rezerves kopiju bojājums vai nepieejamība	[…]	[…]	[…]	[…]
  Ransomware infekcija	[…]	[…]	[…]	[…]
  Administratora konta kompromitēšana	[…]	[…]	[…]	[…]
  Interneta pieslēguma traucējumi	[…]	[…]	[…]	[…]
  Servera / Proxmox mezgla atteice	[…]	[…]	[…]	[…]

  4. Atjaunošanas prioritātes

  Sistēma / resurss	Kritiskums	RTO	RPO	Atjaunošanas secība
  […]	A/B/C	[…]	[…]	[…]

  RTO — maksimāli pieļaujamais atjaunošanas laiks.
  RPO — maksimāli pieļaujamais datu zudums laikā.

  5. Minimālā rīcība traucējuma gadījumā

  1. Fiksēt traucējuma sākuma laiku.
  2. Novērtēt ietekmētās sistēmas un pakalpojumus.
  3. Informēt kiberdrošības pārvaldnieku un vadību.
  4. Pieņemt lēmumu par atjaunošanu no rezerves kopijas, ja nepieciešams.
  5. Dokumentēt darbības incidentu vai traucējumu žurnālā.

  6. Pārskatīšana

  Plānu pārskata vismaz reizi gadā vai pēc būtiskām izmaiņām IKT vidē.

  Apstiprināja: […]
  Datums: […]

• Incidenti un ziņošana. Definējiet, kā pamanīt, reģistrēt un eskalēt incidentu, un dodiet darbiniekiem vienkāršu veidu, kā ziņot par aizdomīgiem notikumiem, e-pastiem vai failiem.

  Dokumentu piemēri:

  07. Kiberdrošības incidentu pārvaldības kārtība,

  08. Kiberincidentu žurnāls,

  24. Ziņojums par iespējamu kiberdrošības incidentu

• Kiberdrošības incidentu pārvaldības kārtība

  Dokumenta mērķis: noteikt, kā pamanīt, reģistrēt, izvērtēt un ziņot kiberdrošības incidentus.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir nodrošināt savlaicīgu kiberdrošības incidentu identificēšanu, reģistrēšanu, izvērtēšanu un ziņošanu.

  2. Incidenta pazīmes

  Par iespējamu incidentu uzskata:

  • neautorizētu piekļuvi;
  • ļaunatūras vai ransomware pazīmes;
  • datu noplūdi vai tās aizdomas;
  • būtisku sistēmas nepieejamību;
  • administratora vai lietotāja konta kompromitēšanu;
  • neatļautas konfigurācijas izmaiņas;
  • būtiskas ievainojamības izmantošanu.

  3. Rīcība incidenta gadījumā

  1. Persona, kas pamana incidentu, nekavējoties informē kiberdrošības pārvaldnieku.
  2. Kiberdrošības pārvaldnieks fiksē incidentu incidentu žurnālā.
  3. Tiek izvērtēts incidenta nozīmīgums.
  4. Tiek veikti ierobežošanas un novēršanas pasākumi.
  5. Ja incidents ir nozīmīgs, tiek veikta ziņošana kompetentajai institūcijai.
  6. Pēc incidenta novēršanas tiek fiksēts cēlonis un veiktie pasākumi.

  4. Ziņošana

  Nozīmīga incidenta gadījumā:

  • agrīnais brīdinājums jāsniedz 24 stundu laikā;
  • sākotnējais ziņojums jāsniedz 72 stundu laikā;
  • galaziņojums jāsniedz viena mēneša laikā pēc sākotnējā ziņojuma.

  5. Incidentu žurnāls

  Visi incidenti un būtiskas aizdomas jāreģistrē incidentu žurnālā.

  Apstiprināja: […]
  Datums: […]

  Kiberincidentu žurnāls

  Dokumenta mērķis: nodrošināt pierādāmu incidentu uzskaiti.

  Iestāde: […]
  Atbildīgais: […]

  Nr.	Datums un laiks	Incidenta tips	Apraksts	Ietekmētie resursi	Cēloņi / IOC	Ietekme	Nozīmīgs?	Ziņots?	Statuss
  1	[…]	[…]	[…]	[…]	[…]	[…]	Jā/Nē	Jā/Nē/Nav attiecināms	Atvērts/Novērsts

  Incidenta tipu piemēri

  • Neautorizēta piekļuve
  • Ļaunatūra
  • Ransomware
  • Datu noplūde
  • Pakalpojuma nepieejamība
  • Konta kompromitēšana
  • Konfigurācijas neatļauta maiņa
  • Ievainojamības izmantošana
  • Cits

  Statusa vērtības

  • Atvērts
  • Ierobežots
  • Novērsts
  • Slēgts

  Ziņojums par iespējamu kiberdrošības incidentu

  Dokumenta mērķis: dot darbiniekam vienkāršu formu, kā ziņot par aizdomīgu e-pastu, failu vai notikumu.

  Ziņotājs: […]
  Datums un laiks: […]

  1. Kas notika?

  […]

  2. Kur tas notika?

  Sistēma / dators / e-pasts / cita vieta: […]

  3. Vai tika atvērts fails, saite vai ievadīta parole?

  • Jā
  • Nē
  • Nezinu

  Papildu informācija: […]

  4. Pievienotie pierādījumi

  • E-pasts
  • Ekrānattēls
  • Fails
  • Cits: […]

  Saņēma: […]

• Piekļuves un kontu disciplīna. Pārbaudiet, vai administratori ikdienas darbam neizmanto tos pašus kontus, ar kuriem administrē sistēmas, vai tiesības tiek piešķirtas pierādāmi, un vai kontu var ātri apturēt, ja rodas drošības incidents.

  Dokumentu piemēri:

  09. Piekļuves tiesību pārvaldības kārtība,

  10. Piekļuves tiesību pieprasījuma veidlapa,

  23. Konta bloķēšanas protokols

• Piekļuves tiesību pārvaldības kārtība

  Dokumenta mērķis: noteikt minimālo kārtību lietotāju, administratoru un piekļuves tiesību pārvaldībai.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir nodrošināt, ka piekļuve IKT resursiem tiek piešķirta tikai nepieciešamajā apjomā.

  2. Piekļuves piešķiršana

  Piekļuves tiesības piešķir:

  • pēc tiešā vadītāja vai atbildīgās personas pieprasījuma;
  • atbilstoši darbinieka darba pienākumiem;
  • pēc mazāko privilēģiju principa.

  3. Administratoru konti

  Administratora tiesības drīkst izmantot tikai administrēšanas vajadzībām.

  Ikdienas darbam administratoram jāizmanto parasts lietotāja konts.

  4. Koplietojami konti

  Koplietojami konti nav pieļaujami, izņemot gadījumus, kad lietotāja identitāti iespējams noteikt citā veidā un šāds izņēmums ir pamatots.

  5. Piekļuves atņemšana

  Piekļuves tiesības jāatņem vai jāmaina:

  • izbeidzot darba tiesiskās attiecības;
  • mainoties darba pienākumiem;
  • drošības incidenta vai aizdomu gadījumā.

  6. Pārskatīšana

  Piekļuves tiesības pārskata vismaz reizi gadā vai pēc būtiskām izmaiņām.

  Apstiprināja: […]
  Datums: […]

  Piekļuves tiesību pieprasījums

  Dokumenta mērķis: pierādāmi fiksēt, kāpēc piekļuve piešķirta, mainīta vai noņemta.

  Datums: […]

  1. Lietotājs

  Vārds, uzvārds: […]
  Amats: […]
  Struktūrvienība: […]

  2. Pieprasījuma veids

  • Jauna piekļuve
  • Piekļuves maiņa
  • Piekļuves noņemšana

  3. Resurss vai sistēma

  Sistēma / resurss: […]

  Nepieciešamās tiesības: […]

  4. Pamatojums

  […]

  5. Apstiprinājums

  Pieprasīja: […]
  Apstiprināja: […]
  Izpildīja: […]
  Izpildes datums: […]

  Konta bloķēšanas protokols

  Dokumenta mērķis: fiksēt konta apturēšanu drošības apsvērumu dēļ.

  Datums un laiks: […]
  Bloķētais konts: […]
  Sistēma: […]
  Bloķēšanas iemesls: […]

  Veiktā darbība

  • Konts bloķēts
  • Parole nomainīta
  • Sesijas pārtrauktas
  • Piekļuves tiesības noņemtas

  Papildu informācija

  […]

  Veica: […]
  Informēts kiberdrošības pārvaldnieks: Jā/Nē

• Attālinātā piekļuve un MFA. Ieslēdziet daudzfaktoru autentifikāciju tur, kur kompromitācija rada lielāko risku: VPN, e-pastā, mākoņpakalpojumos un būtisku sistēmu administrēšanā. Ja attālināta administrēšana notiek tikai ar paroli, šī ir prioritāra sakārtojamā vieta.
• Tīkla segmentācija un ārējā piekļuve. Nodrošiniet, lai lietotāju datori, serveri, viesu Wi-Fi un administrēšanas interfeisi nebūtu viens nekontrolēts kopums, un lai publiski nav atstātas liekas administrēšanas piekļuves.

  Dokumentu piemērs:

  22. Tīkla konfigurācijas izmaiņu reģistrs

• Tīkla konfigurācijas izmaiņu reģistrs

  Dokumenta mērķis: minimāli pierādīt, kad un kāpēc mainīti firewall, VPN, VLAN vai citi būtiski tīkla iestatījumi.

  Iestāde: […]
  Atbildīgais: […]

  Datums	Iekārta / resurss	Izmaiņas apraksts	Pamatojums	Veica
  […]	[…]	[…]	[…]	[…]

• Backup, restore testi un žurnāli. Nepietiek ar to, ka rezerves kopija eksistē. Jums jāzina, vai to var atjaunot, kādi žurnāli tiek glabāti, un vai pēc incidenta būs iespējams saprast, kas notika.

  Dokumentu piemēri:

  11. Rezerves kopiju pārvaldības kārtība,

  12. Rezerves kopijas atjaunošanas pārbaudes protokols,

  13. Žurnālfailu pārvaldības kārtība

• Rezerves kopiju pārvaldības kārtība

  Dokumenta mērķis: noteikt, ko, cik bieži un kā pārbauda rezerves kopiju veidošanā.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir nodrošināt informācijas sistēmu un IKT resursu atjaunošanu datu zuduma, bojājuma vai incidenta gadījumā.

  2. Rezerves kopijās iekļaujamais saturs

  Rezerves kopijās jāiekļauj viss, kas nepieciešams sistēmas atjaunošanai, tai skaitā:

  • informācijas sistēmu dati;
  • virtuālās mašīnas vai serveru dati;
  • konfigurācijas;
  • atjaunošanai nepieciešamā dokumentācija, ja attiecināms.

  3. Rezerves kopiju grafiks

  Sistēma / resurss	IS klase	Biežums	Glabāšanas vieta	Atbildīgais
  […]	A/B/C/Nav attiecināms	[…]	[…]	[…]

  4. Glabāšanas prasības pēc klases

  Rezerves kopiju glabāšanai jānodrošina iespēja atjaunot sistēmu:

  IS klase	Minimālā atjaunošanas iespēja
  A klase	vakar, pirms nedēļas, pirms mēneša, iepriekšējā gadā
  B klase	pēdējās nedēļas laikā, pirms nedēļas, pirms mēneša, iepriekšējā gadā
  C klase	pirms pēdējām būtiskām izmaiņām, bet ne senāk kā pirms 6 mēnešiem

  5. Piekļuve

  Piekļuve rezerves kopijām ir atļauta tikai pilnvarotām personām.

  A un B klases sistēmu rezerves kopijām piekļuve jāierobežo īpaši rūpīgi.

  A klases sistēmām vismaz viena pilna rezerves kopija jāglabā no sistēmas atdalītos resursos ģeogrāfiski attālinātā vietā, ja tas attiecināms.

  6. Neveiksmīga rezerves kopija

  Neveiksmīgas rezerves kopijas gadījumā atbildīgā persona informē kiberdrošības pārvaldnieku un veic kļūdas novēršanu.

  Par katru rezerves kopijas izveides rezultātu jābūt pierakstam vai tehniskam žurnālierakstam.

  7. Atjaunošanas pārbaude

  Rezerves kopiju atjaunošanas pārbaudes veic:

  • A klases sistēmām vismaz reizi 6 mēnešos;
  • B klases sistēmām vismaz reizi gadā vai pēc būtiskām izmaiņām;
  • C klases sistēmām pēc nepieciešamības vai būtiskām izmaiņām.

  Pārbaudes rezultātu dokumentē atjaunošanas pārbaudes protokolā.

  Apstiprināja: […]
  Datums: […]

  Rezerves kopijas atjaunošanas pārbaudes protokols

  Dokumenta mērķis: pierādīt, ka rezerves kopija nav tikai izveidota, bet arī nolasāma un izmantojama.

  Datums: […]
  Veica: […]

  1. Pārbaudītā sistēma

  Sistēma / resurss: […]
  Rezerves kopijas datums: […]

  2. Pārbaudes rezultāts

  • Atjaunošana veiksmīga
  • Atjaunošana daļēji veiksmīga
  • Atjaunošana neveiksmīga

  3. Konstatētās problēmas

  […]

  4. Turpmākā rīcība

  […]

  Apstiprināja: […]
  Datums: […]

  Žurnālfailu pārvaldības kārtība

  Dokumenta mērķis: noteikt, kādi žurnālfaili jāveido, cik ilgi jāglabā un kas tos pārskata.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir nodrošināt IKT resursu un informācijas sistēmu darbību izsekojamību un incidentu izmeklēšanu.

  2. Žurnālfailos iekļaujamie notikumi

  Jāreģistrē vismaz:

  • lietotāju pieslēgšanās un neveiksmīgi pieslēgšanās mēģinājumi;
  • administratoru darbības;
  • kontu izveide, dzēšana un tiesību maiņa;
  • piekļuves tiesību izmaiņas;
  • konfigurācijas izmaiņas;
  • drošības brīdinājumi;
  • tīkla piekļuves notikumi, ja attiecināms;
  • sistēmas kļūdas, kas var ietekmēt drošību vai pieejamību.

  3. Glabāšanas termiņi

  Sistēmas klase	Glabāšanas termiņš
  A klase	18 mēneši
  B klase	12 mēneši
  C klase	6 mēneši

  4. Formāts un aizsardzība

  Žurnālfailiem jābūt mašīnlasāmā formātā.

  Žurnālfaili jāaizsargā pret:

  • nepilnvarotu piekļuvi;
  • neatļautu maiņu;
  • neatļautu dzēšanu.

  Piekļuve žurnālfailiem ir atļauta tikai pilnvarotām personām.

  5. Laika sinhronizācija

  IKT resursiem jāizmanto vienots un uzticams laika sinhronizācijas avots.

  Žurnālfailu ierakstiem jābūt ar korektu datumu un laiku.

  6. Pārskatīšana

  Žurnālfailus pārskata:

  • incidenta vai aizdomu gadījumā;
  • plānotas drošības pārbaudes ietvaros;
  • pēc nepieciešamības, ja konstatēti drošības brīdinājumi.

  Apstiprināja: […]
  Datums: […]

• Datu aizsardzība un šifrēšana. Skaidri nosakiet, kuros gadījumos šifrēšana ir obligāta, kur glabājas atslēgas un kam ir tiesības tām piekļūt. Šī daļa ir svarīga gan datu noplūdes, gan piekļuves kontroles ziņā.

  Dokumentu piemērs:

  14. Šifrēšanas un atslēgu pārvaldības kārtība

• Šifrēšanas un atslēgu pārvaldības kārtība

  Dokumenta mērķis: noteikt, kad obligāti jālieto šifrēšana un kas drīkst piekļūt atslēgām.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir aizsargāt informāciju tās glabāšanas un pārsūtīšanas laikā.

  2. Šifrēšanas lietošana

  Šifrēšana jālieto:

  • attālinātai piekļuvei iestādes iekšējiem resursiem;
  • informācijas pārsūtīšanai publiskos tīklos;
  • bezvadu tīklos;
  • A klases informācijas glabāšanai, ja tehniski iespējams.

  3. Atslēgu un paroļu aizsardzība

  Šifrēšanas atslēgas, sertifikāti un paroles jāglabā tikai pilnvarotām personām pieejamā veidā.

  Atslēgas un paroles nedrīkst glabāt publiski pieejamās vietās vai koplietot bez pamatojuma.

  4. Piekļuves maiņa

  Ja pastāv aizdomas par atslēgas, sertifikāta vai paroles kompromitēšanu, tā nekavējoties jāmaina vai jāatsauc.

  Apstiprināja: […]
  Datums: […]

• Lietotāju apmācība un disciplīna. Ar tehniskām kontrolēm vien nepietiek. Jums jāspēj pierādīt, ka lietotāji ir instruēti, zina, kā rīkoties, un ka apmācība nav notikusi tikai mutiski.

  Dokumentu piemēri:

  15. Lietotāju kiberdrošības instruktāžas kārtība,

  16. Kiberdrošības instruktāžu reģistrs

• Lietotāju kiberdrošības instruktāžas kārtība

  Dokumenta mērķis: noteikt obligāto lietotāju apmācību kārtību un uzskaiti.

  Iestāde: […]
  Versija: […]
  Atbildīgais: […]

  1. Mērķis

  Kārtības mērķis ir nodrošināt, ka IKT lietotāji zina minimālās kiberdrošības prasības.

  2. Instruktāžu veidi

  Iestādē veic:

  • sākotnējo instruktāžu ne vēlāk kā viena mēneša laikā pēc konta izveides;
  • kārtējo instruktāžu vismaz reizi gadā;
  • ārkārtas instruktāžu pēc būtiska incidenta vai prasību izmaiņām.

  3. Minimālais saturs

  Instruktāžā iekļauj:

  • paroļu un MFA lietošanu;
  • pikšķerēšanas pazīmes;
  • rīcību aizdomīga e-pasta vai faila gadījumā;
  • rīcību incidenta vai aizdomu gadījumā;
  • aizliegumu nodot savu kontu citai personai.

  4. Uzskaite

  Instruktāžas fakts jāfiksē instruktāžu reģistrā.

  Apstiprināja: […]
  Datums: […]

  Kiberdrošības instruktāžu reģistrs

  Dokumenta mērķis: pierādīt, ka lietotāji ir instruēti.

  Iestāde: […]
  Atbildīgais: […]

  Datums	Persona	Instruktāžas veids	Veica	Apliecinājums
  […]	[…]	Sākotnējā / kārtējā / ārkārtas	[…]	Paraksts / e-apliecinājums

• Ārpakalpojumi un trešo pušu riski. Ja daļa infrastruktūras vai sistēmu ir pie ārpakalpojuma sniedzēja, jums jāvērtē risks pirms sadarbības un līgumā jābūt minimālajiem drošības nosacījumiem.

  Dokumentu piemēri:

  17. Ārpakalpojuma kiberdrošības izvērtējums,

  18. IKT ārpakalpojuma līguma drošības pielikums

• Ārpakalpojuma kiberdrošības izvērtējums

  Dokumenta mērķis: pirms līguma fiksēt, vai ārpakalpojums nerada nepieņemamu kiberdrošības risku.

  Pakalpojums: […]
  Piegādātājs: […]
  Datums: […]
  Izvērtēja: […]

  1. Pakalpojuma apraksts

  […]

  2. Piekļuve iestādes resursiem

  Jautājums	Atbilde
  Vai piegādātājs piekļūs iestādes IKT resursiem?	Jā/Nē
  Vai piegādātājs apstrādās personas datus?	Jā/Nē
  Vai piegādātājs administrēs sistēmas?	Jā/Nē
  Vai pakalpojums ir būtisks iestādes funkciju izpildei?	Jā/Nē

  3. Minimālās prasības līgumā

  Līgumā jāiekļauj:

  • pakalpojuma apjoms;
  • drošības prasības;
  • piekļuves kārtība;
  • incidentu ziņošanas pienākums;
  • datu atdošana vai dzēšana pēc līguma beigām;
  • prasība novērst drošības nepilnības.

  4. Secinājums

  • Pakalpojumu drīkst iegādāties.
  • Pakalpojumu drīkst iegādāties tikai pēc papildu nosacījumu izpildes.
  • Pakalpojumu nedrīkst iegādāties.

  Pamatojums: […]

  Saskaņoja kiberdrošības pārvaldnieks: […]
  Datums: […]

  IKT ārpakalpojuma līguma drošības pielikums

  Dokumenta mērķis: ielikt līgumā obligātos drošības punktus bez liekas birokrātijas.

  Līgums: […]
  Piegādātājs: […]
  Pasūtītājs: […]

  1. Piekļuve

  Piegādātājs drīkst piekļūt tikai tiem Pasūtītāja IKT resursiem, kas nepieciešami līguma izpildei.

  Piekļuve jāizmanto tikai līgumā noteiktajam mērķim.

  2. Konfidencialitāte

  Piegādātājs nodrošina Pasūtītāja informācijas konfidencialitāti un neizpauž to trešajām personām bez tiesiska pamata.

  3. Incidenti

  Piegādātājs nekavējoties informē Pasūtītāju par jebkuru incidentu vai aizdomām, kas var ietekmēt Pasūtītāja IKT resursus, datus vai pakalpojumu pieejamību.

  4. Drošības nepilnības

  Piegādātājs novērš konstatētās drošības nepilnības saprātīgā termiņā, par to informējot Pasūtītāju.

  5. Datu atdošana un dzēšana

  Pēc līguma izbeigšanas Piegādātājs pēc Pasūtītāja norādījuma atdod vai dzēš Pasūtītāja datus.

  6. Apakšuzņēmēji

  Piegādātājs nedrīkst nodot Pasūtītāja datu vai IKT resursu apstrādi apakšuzņēmējiem bez Pasūtītāja saskaņojuma.

  Piegādātājs: […]
  Pasūtītājs: […]
  Datums: […]

Dokumenti nav mērķis. Tie ir pierādījums, ka kārtība pastāv

Dokumentiem jāsakrīt ar reālo tehnisko stāvokli. Ja politikā rakstīts, ka ir MFA, bet VPN darbojas tikai ar paroli, tad dokuments nepalīdz. Ja backup kārtībā rakstīts, ka atjaunošana tiek pārbaudīta, bet neviens nekad nav veicis restore testu, tad risks joprojām paliek.

Tāpēc jēga ir no īsiem, uzturamiem dokumentiem, kas tiešām palīdz pārvaldīt vidi. Katrai sagatavei ir jābūt skaidram mērķim un tikai būtiskajām sadaļām, nevis formālai dokumentu kaudzei. Tikpat svarīgi ir arī dokumentus regulāri pārskatīt.

Kā to izmantot praksē

Izveidojiet nevis abstraktu novērtējumu, bet konkrētu darbu sarakstu

Vispirms apziniet, kas ir jūsu būtiskās sistēmas un pakalpojumi. Pēc tam pārskatiet piekļuves, attālināto administrēšanu, tīkla segmentāciju, rezerves kopijas, logus un incidentu rīcību.

Rezultātā jums jāiegūst konkrēts saraksts ar lietām, kas jau ir kārtībā, kas jāsakārto un kas ir prioritāte. Vadībai tas dod pārskatāmu bildi, IT atbildīgajam tas dod praktisku darbu sarakstu, un organizācijai tas dod pierādījumus, ka minimālās kiberdrošības prasības netiek tikai pieminētas dokumentos.