19. Article

Slēdzot līgumu par informācijas sistēmas izmantošanu, ministrija minētajā līgumā paredz iestādei vai personai pienākumu nodrošināt, ka iestādes vai personas izmantotajā informācijas sistēmā, kas ir integrēta šajos noteikumos minētajā informācijas sistēmā, nav iespējama masveida datu kopēšana un tiek ievērotas šādas vispārīgās drošības un tehniskās prasības: 19.1. tiek ievērotas paaugstinātas drošības informācijas sistēmām noteiktās minimālās drošības prasības atbilstoši Valsts informācijas sistēmu likumam un normatīvajiem aktiem par kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām, un ir izstrādāti normatīvajos aktos par valsts informācijas sistēmu vispārīgajām drošības prasībām noteiktie dokumenti; 19.2. informācijas sistēmā izmanto programmatūru, ar kuru veic auditācijas pierakstus, lai uzskaitītu visas darbības, kas tiek veiktas ar personas datiem (tai skaitā personas datu aplūkošanu) saskaņā ar normatīvajiem aktiem par personas datu aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām un novērtētu minēto darbību ietekmi uz informācijas sistēmas drošību; 19.3. informācijas sistēmas informācijas un tehniskie resursi atbilst normatīvajiem aktiem, kas regulē elektronisko dokumentu apriti un glabāšanu; 19.4. ir nodrošināta informācijas sistēmas atbilstība vismaz šādām infrastruktūras aizsardzības prasībām: 19.4.1. sistēmas un infrastruktūru (serverus, disku masīvus, komutatorus, kuriem pieslēgti sistēmas serveri) aizsargā pret neautorizētu piekļuvi, zādzībām un tīšiem vai netīšiem bojājumiem (piemēram, plūdi, ugunsgrēks); 19.4.2. sistēmas drošības pārvaldnieks ir atbildīgs par to, lai savietojamās sistēmas un savietotāja infrastruktūras telpās iekļūtu tikai tās personas, kurām tas nepieciešams darba pienākumu izpildei; 19.4.3. infrastruktūras telpas aprīko ar apsardzes signalizāciju (detektori, kuri fiksē nesankcionētu durvju un logu atvēršanu), dūmu un uguns detektoriem, automatizētu gāzes ugunsdzēšanas sistēmu vai nodrošina tās ar ugunsdzēšanas aparātiem; 19.5. ir nodrošināta sistēmas atbilstība šādām sistēmas loģiskās aizsardzības prasībām: 19.5.1. sistēmas iekšējos datortīklus nodala no interneta ar ugunsmūri; 19.5.2. sistēmu un infrastruktūru (serverus, disku masīvus) nodala atsevišķā apakštīklā vai nodala ar ugunsmūri; 19.5.3. nodrošina sistēmas pretvīrusu aizsardzību. Pretvīrusu programmas datubāzi atjauno vismaz reizi dienā; 19.5.4. nepārtraukti nodrošina sistēmas darba vides drošības apdraudējumu novēršanu, izmantojot aizsardzības sistēmu un nosakot ielaušanās mēģinājumus; 19.5.5. izmantojot tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju, nodrošina attālinātas piekļuves ierobežošanu sistēmas administrēšanai; 19.5.6. organizē atsevišķi sistēmas uzlabojumu testēšanu šīm vajadzībām izveidotā testa vidē, kas nodalīta no savietojamās sistēmas un savietotāja fiziskā vai loģiskā līmenī. Testa vides infrastruktūras aizsardzības prasības atbilst šo noteikumu 19.4. apakšpunktā minētajām prasībām; 19.5.7. nodrošina, ka sistēmas administrēšanu un pārvaldību var veikt tikai tās personas, kurām sistēmā esošā informācija atbilstošā apmērā ir nepieciešama darba pienākumu veikšanai; 19.6. tās personas darba līgumā vai amata aprakstā, kas apkalpo sistēmu, iekļauj nosacījumu par konfidencialitātes prasību ievērošanu attiecībā uz datiem, kas nonāk šīs personas rīcībā, veicot darba pienākumus. Pirms darba pienākumu izpildes uzsākšanas persona ar parakstu apliecina, ka ir iepazīstināta ar drošības politiku, sistēmas drošības noteikumiem un citiem sistēmas darbību reglamentējošiem dokumentiem. Ja sistēmu apkalpo trešā persona, konfidencialitātes prasības nosaka dokumentā, ar kuru nodibina tiesiskās attiecības. 40 (Grozīts ar MK 17.12.2019. noteikumiem Nr. 662)