15. Article

Izstrādājot sistēmas drošības politiku, paredz, ka: 15.1. sistēmas lietotāji, kas veic sistēmas administrēšanas darbu, izmanto īpašus lietotāju kontus (turpmāk sistēmas administratora konts), kas netiek izmantoti ikdienas darbību veikšanai; 15.2. katrs reģistrēta lietotāja konts ir saistīts ar konkrētu fizisko personu. Ja sistēmā tiek izmantoti konti, kas nav piesaistāmi konkrētai fiziskai personai (turpmāk sistēmkonti), tad sistēmā jābūt iestrādātiem kontroles mehānismiem, kas novērš iespēju reģistrētiem lietotājiem izmantot sistēmkontus; 15.3. ja sistēmā netiek izmantota daudzfaktoru autentifikācija, tas ir, viens atribūts, kam nav statiska daba (piemēram, kodu kalkulators, vienreiz lietojams īsziņas kods), un vismaz viens cits atribūts, tad reģistrētiem sistēmas lietotājiem obligāti jālieto paroles; 15.4. sistēmas lietotāja paroles garums nav mazāks par deviņām rakstu zīmēm un satur vismaz vienu lielo latīņu alfabēta burtu un mazo latīņu alfabēta burtu, kā arī ciparu vai speciālu simbolu; 15.5. sistēmas lietotāja paroles aizliegts elektroniski glabāt un transportēt nešifrētā veidā, arī lietotāja autentifikācijas procesa ietvaros, izņemot šo noteikumu 15.7. apakšpunktā minēto gadījumu; 15.6. sistēmas lietotāja parole ievadīšanas brīdī lietotājam netiek pilnībā attēlota; 15.7. sistēmas lietotāja parole, kas nosūtīta publiskā datu pārraides tīklā nešifrētā veidā, ir lietojama vienu reizi un derīga ne ilgāk kā 72 stundas pēc tās nosūtīšanas; 15.8. sistēmā nav pieļaujama funkcionalitāte, kas atļauj sistēmas lietotājam saglabāt savu paroli tā, lai tā turpmākajās pieslēgšanas reizēs nav jāievada; 15.9. iekārtām, tai skaitā infrastruktūras iekārtām, kas nodrošina sistēmas funkcionēšanu, netiek izmantotas noklusējuma (ražotāja vai izplatītāja uzstādītās) paroles; 15.10. tiek nodrošināta sistēmas auditācijas pierakstu (turpmāk sistēmas pieraksti) veidošana un uzglabāšana vismaz sešus mēnešus pēc ieraksta izdarīšanas. Sistēmas pierakstos ietver informāciju par pieslēgšanos vai atslēgšanos no sistēmas, datu atlasi, kā arī konta izveidi, grozīšanu vai dzēšanu, fiksējot notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC), interneta protokola adresi, no kuras veikta darbība, aprakstu, kā arī informāciju par darbības iniciatoru identifikatoru, pieslēguma metadatus; 15.11. jebkura piekļuve sistēmai ir izsekojama līdz konkrētam sistēmas lietotāja kontam vai interneta protokola (IP) adresei; 15.12. sistēmai jābūt uzliktiem pieejamiem programmatūras atjauninājumiem, iepriekš izvērtējot to nepieciešamību; 15.13. visās institūcijas valdījumā esošajās galalietotāju iekārtās, kas ikdienā tiek izmantotas, lai pieslēgtos sistēmai, jābūt iekļautai pretvīrusu funkcionalitātei; 15.14. sistēmas funkcionalitāte ir izpildāma ar minimāli iespējamām tiesībām; 15.15. sistēmās, kas nodrošina elektroniskā pasta saņemšanu no ārējiem resursiem, ienākošo saziņu apstrādā vismaz atbilstoši e-pastu autentifikācijas protokola (DMARC) prasībām, ieviešot e-pasta apstrādi atbilstoši sūtītāja domēna vārda DMARC politikai, atskaites ģenerēšanu un nosūtīšanu DMARC konfigurācijā norādītajam kontaktam; 15.16. institūcija, kas ir elektroniskā pasta domēna īpašnieks, publicē DMARC atbilstošu ierakstu savā domēna vārdu sistēmā (DNS), norādot striktu atteikuma politiku (p=reject), ievieš procedūru DMARC ziņojumu saņemšanai un to analīzei; 15.17. institūcija nodrošina informācijas sistēmās esošo datu rezerves kopiju veidošanu un atjaunošanu. 21 (Grozīts ar MK 19.12.2017. noteikumiem Nr. 756; MK 15.01.2019. noteikumiem Nr. 16; MK 11.08.2020. noteikumiem Nr. 497; 15.15. un 15.16. apakšpunkts stājas spēkā 01.01.2021, sk. 45. punktu)