12. Article

VISPĀRĒJĀS LOĢISKĀS AIZSARDZĪBAS METODES 12.1. Bankā jāizstrādā IS lietotāju reģistrācijas, pilnvarošanas un tiesību anulēšanas procedūras. 12.2. Ja IS satur klasificētu informāciju vai informācijas resursi atrodas bankas datortīklā, jānodrošina, lai lietotāja identificēšanai tiktu izmantots individuāls lietotāja kods. 12.3. Loģiskās pieejas vadība 12.3.1. Lietotāja identifikācija 12.3.1.1. Katram lietotājam katrai IS ir jābūt individuālam unikālam lietotāja kodam. Lietotājs ir atbildīgs par darbībām, kuras IS veiktas ar viņa lietotāja kodu. 12.3.1.2. IS administrators nedrīkst lietot savu administratora kodu, ja viņš IS veic darbu kā parasts lietotājs. 12.3.1.3. Lai reģistrētu jaunu lietotāju, IS administratoram ir jāsaņem rakstiska atļauja no informācijas resursu īpašnieka. IS administratoram ir jāpārliecinās par saņemtā pieprasījuma autentiskumu. 12.3.1.4. Informācijas resursu īpašniekam kopā ar tehnisko resursu īpašnieku jānosaka, kuri informācijas un tehniskie resursi lietotājam ir nepieciešami. 12.3.1.5. IS administratoram jāglabā šāda informācija: 12.3.1.5.1. lietotāja kods; 12.3.1.5.2. lietotāja vārds, uzvārds; 12.3.1.5.3. lietotāja tiesības; 12.3.1.5.4. lietotāja darba vieta un tālruņa numurs; 12.3.1.5.5. informācijas resursu īpašnieka pieprasījums. 12.3.1.6. IS administratoram regulāri jāpārbauda, vai lietotāja kodi, kas uzstādīti IS, atbilst pašreizējām vajadzībām, piem., vai IS nav saglabājušies to lietotāju kodi, kuri vairs nelieto IS vai kuri vairs nestrādā bankā. 12.3.1.7. IS administratoram ir regulāri jāpārbauda, vai lietotāja tiesības atbilst tām, ko pieprasījis informācijas resursu īpašnieks. 12.3.1.8. Lai mainītu lietotāja tiesības vai reģistrētu lietotāju citā IS, ir jāsaņem rakstiska atļauja no informācijas resursu īpašnieka. 12.3.1.9. Bankā jāizstrādā procedūra, kas nosaka, kādā veidā ziņu par to, ka lietotājs vairs nestrādā bankā, saņem visi IS administratori. 12.3.1.10. Bankai, saņemot jaunu aparatūru un sistēmas, nekavējoties jānomaina noklusētās administratoru paroles. 12.3.1.11. Katrs administratora kods jākontrolē tikai vienai personai. Izņēmums var būt galvenā administratora kods. 12.3.1.12. Galvenā administratora kods kopā ar paroli (to kopijas) ir jāglabā drošā vietā, piem., aizzīmogotā aploksnē ugunsdrošā seifā, lai nodrošinātu iespēju nepieciešamības gadījumā informācijas resursu īpašniekam operatīvi nomainīt galveno administratoru. 12.3.1.13. Ja IS vai datoru aparatūra tiek piegādāta ar duālām parolēm galvenajam administratoram, administratora kods un paroļu kopijas jāglabā atsevišķās aizzīmogotās aploksnēs ugunsdrošā seifā. 12.3.1.14. Ja administrators beidz darbu bankā vai maina amatu (vairs nav administrators), nepieciešams nekavējoties atcelt viņa administratora kodu vai nomainīt paroli. 12.3.2. Lietotāja autentiskuma noteikšana 12.3.2.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka lietotāja koda izmantotājs ir pilnvarotais lietotāja koda īpašnieks. Autentiskuma noteikšanai var izmantot paroles, elektroniskos talonus, tiesību sertifikātus u.c. 12.3.2.2. Ja IS satur klasificētu informāciju vai informācijas resursi atrodas bankas datortīklā, lietotāja autentiskuma noteikšanai jāizmanto lietotāja kods kopā ar kādu no 12.3.2.1. punktā minētajiem līdzekļiem. 12.3.2.3. Bankā jānodrošina, lai lietotāji apzinātos savas paroles aizsargāšanas nepieciešamību. 12.3.2.4. Par parolēm ir jāizvēlas pietiekami sarežģītas burtu un ciparu kombinācijas, lai citiem tās būtu grūti uzminēt. Parolēm jābūt ne īsākām par 6 simboliem. 12.3.2.5. IS jābūt tādām, lai parole neparādītos uz ekrāna, kad lietotājs to ievada. 12.3.2.6. Paroles elektroniskajos nesējos ir jāglabā šifrētas. 12.3.2.7. Parolēm, kuras sūta pa lokālo vai globālo tīklu, jābūt šifrētām. 12.3.2.8. Bankas iekšējos noteikumos jānosaka: 12.3.2.8.1. cik bieži parole jāmaina; 12.3.2.8.2. ka nedrīkst lietot vienu un to pašu paroli, lai pieslēgtos bankas iekšējām un ārējām IS; 12.3.2.8.3. pēc cik neveiksmīgiem paroles ievadīšanas mēģinājumiem lietotāja darbība jāaptur; 12.3.2.8.4. kā jārīkojas, ja lietotāja darbība ir apturēta. 12.3.2.9. Lietotāja koda darbības apturēšanai automātiski jāfiksējas auditācijas pierakstos. 12.3.2.10. Ja datoru aparatūra, programmatūra un operētājsistēmas tiek piegādātas kopā ar lietotāja kodiem un parolēm, tad šīs paroles ir nepieciešams nomainīt. 12.3.2.11. Ja paroles tiek pierakstītas uz papīra, tās jāglabā drošā vietā, piem., seifā, aizzīmogotā aploksnē ar atzīmi par slepenību. 12.3.2.12. Parole ir jānodod lietotājam drošā veidā un atsevišķi no lietotāja koda. 12.3.2.13. Bankā jābūt izstrādātai procedūrai, kas nosaka kārtību, kādā lietotājs iegūst jaunu paroli vai nomaina veco. 12.3.2.14. Kad lietotājs pirmo reizi izmanto savu lietotāja kodu un paroli, IS ir tūlīt jāliek lietotājam paroli nomainīt. Izņēmums ir IS, kas nesatur klasificētu informāciju un informācijas resursi, kas atrodas datortīklam nepievienotā datorā. 12.3.2.15. Ja lietotāja autentiskuma noteikšanai tiek izmantoti elektroniskie taloni, tad katram lietotājam jābūt savam elektroniskajam talonam. Šis noteikums jāievēro arī tad, ja talonus izmanto bankas klienti. 12.3.2.16. Tiem darbiniekiem, kas veic elektroniskā talona un PIN uzstādīšanu, nedrīkst būt pieeja citām ar klienta apkalpošanu saistītām funkcijām. 12.3.2.17. Darbinieks, kurš ir atbildīgs par elektronisko talonu sagatavošanu bankas klientam, un darbinieks, kurš ir atbildīgs par PIN uzstādīšanu, nedrīkst būt viena un tā pati persona. 12.3.2.18. Datoriem, ar kuriem veic elektroniskā talona un PIN sagatavošanu bankas klientam, jābūt nodrošinātiem ar stipru loģisko un fizisko aizsardzību. 12.3.2.19. Pieeja PIN sagatavošanas funkcijai jāpakļauj duālai kontrolei ( dual control ), t.i., funkcijai iespējams piekļūt tikai vismaz divu attiecīgo funkcijas izpildītāju klātbūtnē. 12.3.2.20. PIN sagatavošanas funkcija jānodrošina ar stipru loģisko aizsardzību. Ieteicams pieeju funkcijai aizsargāt ar individuālo elektronisko talonu katram funkcijas izpildītājam. 12.3.2.21. Pieeja datu bāzēm, kuras glabā informāciju par klienta elektroniskajiem taloniem un PIN, ir jāpakļauj duālai kontrolei. Pieeju nedrīkst aizsargāt tikai ar lietotāja kodu un paroli. 12.3.2.22. Elektroniskie taloni ir jānodrošina ar stipru fizisko aizsardzību un duālo kontroli. 12.3.2.23. Ja elektroniskā talona un PIN sagatavošanai tiek izmantota vairāk nekā viena aparatūras vienība, visai aparatūrai ir jāatrodas vienā fiziski drošā telpā. Ja tomēr kāda aparatūras daļa atrodas ārpus šīs telpas, informācijai, kuru sūta starp aparatūras daļām, ir jābūt šifrētai. 12.3.2.24. Elektroniskā talona un PIN sagatavošana jāatspoguļo auditācijas pierakstos. Šiem pierakstiem jābūt labi aizsargātiem un neizdzēšamiem. 12.3.2.25. Elektroniskais talons un PIN ir jānodod bankas klientam atsevišķās aploksnēs vai jāsūta atsevišķos pasta sūtījumos. 12.3.2.26. PIN, kurus sūta pa komunikāciju līnijām, jābūt šifrētiem. 12.3.2.27. Bankas iekšējos noteikumos jānosaka: 12.3.2.27.1. ka PIN ir jāsastāv vismaz no četrām zīmēm; 12.3.2.27.2. PIN neveiksmīgas ievadīšanas mēģinājumu skaits; 12.3.2.27.3. PIN nodošanas kārtība; 12.3.2.27.4. kādā veidā bankai ir jāinformē savi klienti par pareizu PIN lietošanu. 12.3.2.28. Ja elektroniskos talonus izmanto bankas darbinieki, tad bankai jāizstrādā to izmantošanas noteikumi. 12.3.3. Lietotāja pilnvarošana 12.3.3.1. Šajā punktā minētie noteikumi attiecas uz IS, kas satur klasificētu informāciju, un informācijas resursiem, kas atrodas bankas datortīklā. 12.3.3.2. Informācijas resursu īpašnieks, pieprasot lietotāja reģistrēšanu, nosaka, kuriem informācijas resursiem lietotājs drīkstēs piekļūt. Pēc pieprasījumā uzrādītās informācijas IS administrators piešķir lietotāja kodu un pieejas tiesības. 12.3.3.3. Piešķirot pieejas tiesības, jāievēro princips, ka sākuma stāvoklī pieeja informācijas resursiem ir aizliegta. Pēc tam lietotājam tiek piešķirtas nepieciešamās tiesības. 12.3.3.4. Kad lietotājs mēģina pieslēgties kādam informācijas resursam, pieejas vadības programmatūrai ir jāpārbauda, vai lietotājam ir attiecīgās tiesības. 12.4. Auditācijas pieraksti 12.4.1. Auditācijas pieraksti ir jāizmanto IS, kas satur klasificētu informāciju, kā arī tad, ja informācijas resursi atrodas datortīklam pievienotā datorā. 12.4.2. Auditācijas pierakstos jāfiksē šāda informācija: 12.4.2.1. visi veiksmīgie un neveiksmīgie pieslēgšanās gadījumi, fiksējot datumu un laiku; 12.4.2.2. visi lietotāja kodi, kuri ir atcelti to neizmantošanas dēļ vai nepareizi ievadītas paroles dēļ; 12.4.2.3. visi neveiksmīgie mēģinājumi lietot elektronisko talonu vai tiesību sertifikātu; 12.4.2.4. IS administratora darbības, viņa veiksmīgie un neveiksmīgie pieslēgšanās mēģinājumi. 12.4.3. Auditācijas pieraksti jānodrošina ar loģisko aizsardzību. 12.4.4. Auditācijas pierakstu dzēšana jāatspoguļo auditācijas pierakstos. 12.4.5. Visi mēģinājumi, gan veiksmīgie, gan neveiksmīgie, grozīt auditācijas pierakstu saturu jāatspoguļo auditācijas pierakstos. 12.4.6. Auditācijas pierakstiem regulāri jāveido rezerves kopijas saskaņā ar 10. punktā minētajiem noteikumiem. 12.4.7. Bankas iekšējos noteikumos jānosaka, kurām IS un cik ilgi auditācijas pieraksti ir jāglabā. 12.5. Pārraudzības funkcija ( monitoring ) 12.5.1. Bankai ir jāpārrauga savu IS lietošana, izmantojot auditācijas pierakstos iekļauto informāciju un/vai informāciju no citiem avotiem, piem., speciālas pārraudzības programmatūras. Bankā jāizstrādā noteikumi, kuros jānosaka: 12.5.1.1. kuras IS un kādi gadījumi jāpārrauga (jāpārrauga vismaz tās IS, kas satur klasificētu informāciju); 12.5.1.2. par pārraudzību atbildīgās personas; 12.5.1.3. pārraudzības regularitāte. 12.5.2. Jāveic pārraudzības efektivitātes pārbaudes - jāpārliecinās, vai pārraudzība spēj atklāt attiecīgos drošības pārkāpumus. 12.5.3. Jāpārrauga šādi gadījumi: 12.5.3.1. neveiksmīga pieslēgšanās IS ( login failures ); 12.5.3.2. mēģinājumi piekļūt informācijas resursiem, kuriem lietotājs nav pilnvarots piekļūt; 12.5.3.3. IS izmantošanas gadījumi neparastā laikā, piem., ārpus darba laika; 12.5.3.4. atkārtoti mēģinājumi izmantot lietotāja kodus, kuri jau ir atcelti; 12.5.3.5. privileģēto lietotāja kodu piešķiršana un izmantošana (piem., IS administratoru kodi); 12.5.3.6. mēģinājumi pieslēgt datortīklam datoru vai citu aparatūru; 12.5.3.7. finanšu u.c. darījumu integritāte, t.i., jāpārbauda, vai dati pēc to apstrādes IS ir pareizi ( transaction tracking ); 12.5.3.8. piekļūšana slepenai, konfidenciālai, augsta un vidēja riska informācijai un funkcijām; 12.5.3.9. ja tiek ieviesta jauna IS vai jauna programmas versija un ja tiek izmantoti esošie bankas dati, jāuzrauga datu integritāte laikā, kad dati tiek pārnesti no vecās IS uz jauno. 12.6. Kriptogrāfija 12.6.1. Bankā jāizstrādā kriptogrāfijas tehnoloģijas izmantošanas noteikumi. 12.6.2. Ja kriptogrāfiskās atslēgas tiek izmantotas, lai piekļūtu klasificētai informācijai vai funkcijām (piem., maksājuma sūtīšanai), tad šīs atslēgas nedrīkst lietot vairākas personas, bet tās jāpiešķir katram individuālam lietotājam. 12.6.3. Ja individuālas kriptogrāfiskās atslēgas izmanto bankas darbinieki vai klienti, ir jābūt rakstiskiem šo atslēgu glabāšanas un aizsardzības noteikumiem. 12.6.4. Bankā jāizstrādā atslēgu pārvaldības procedūras (t.i., atslēgu ģenerēšanas, glabāšanas, lietošanas, dzēšanas, atjaunošanas kārtība) un jānorīko par atslēgu pārvaldību atbildīgās personas. 12.6.5. Datoriem, kas glabā atslēgu datubāzi, vai citām tehniskām ierīcēm, kas glabā atslēgas, jābūt nodrošinātiem ar stipru loģisko un fizisko aizsardzību. Atslēgas drīkst glabāties elektroniskajos nesējos tikai šifrētā veidā. 12.6.6. Kriptogrāfiskajām atslēgām, ja tās sūta pa lokālo vai globālo tīklu, jābūt šifrētām. 12.6.7. Jāveic riska analīze tiem datiem un funkcijām, kurām paredzēts izmantot kriptogrāfijas tehnoloģiju. Riska analīzes rezultātā jāizvēlas atbilstošs kriptogrāfiskais algoritms, atslēgu garums un atslēgu pārvaldības procedūras. 12.6.8. Kriptogrāfisko atslēgu ģenerēšanas metode nedrīkst pieļaut, ka lietotāja atslēga tiek veidota, izmantojot tikai lietotāja paroles datus. 12.7. Pārmaiņu pārvaldība 12.7.1. Bankā jāizstrādā informācijas un tehnisko resursu pārmaiņu pārvaldības noteikumi. 12.7.2. Jāidentificē visi informācijas un tehniskie resursi, kurus skar pārmaiņas. 12.7.3. Pārmaiņas atļauts veikt tikai tad, ja ir saņemta pārmaiņām pakļauto informācijas un tehnisko resursu īpašnieku atļauja. 12.7.4. Jāizanalizē, kā pārmaiņas iespaidos esošās drošības kontroles un vai tās nepazeminās informācijas integritātes un konfidencialitātes līmeni. 12.7.5. Jāpārrauga IS dokumentācijas papildināšana. 12.7.6. Jāuztur visu pārmaiņu reģistrācijas žurnāls ( audit log ). 12.7.7. Pārmaiņu pārvaldībai jānodrošina tikai testētas un pārbaudītas programmatūras nodošana lietošanā. 12.7.8. IS auditoriem vai pārraudzības funkcijas izpildītājiem jābūt iespējai pārbaudīt veikto pārmaiņu reģistrācijas žurnālus. 12.7.9. Jābūt iespējai uzstādīt programmas iepriekšējo versiju, ja jaunā, mainītā versija neapmierina prasības. 12.7.10. Pārejot no vecās IS uz jauno, pārmaiņu pārvaldības funkcijas izpildītājiem ir jāpārliecinās, vai IS maiņas rezultātā datu integritāte ir saglabāta. 12.7.11. Pirms operētājsistēmas pārmaiņu veikšanas jāsagatavo operētājsistēmas rezerves kopijas gadījumam, ja pārmaiņas bijušas neveiksmīgas un jālieto iepriekšējā versija. 12.7.12. Pirms operētājsistēmas pārmaiņu ieviešanas jāpārliecinās, ka pārmaiņas ietekmē tikai paredzētās funkcijas. 12.7.13. Pēc operētājsistēmas mainīšanas ir jāpārbauda IS integritāte un IS iestrādātās aizsardzības metodes, lai pārliecinātos, ka tās nav cietušas. 12.7.14. Jaunas operētājsistēmas instalēšanas laikā jānodrošina, lai visas operētājsistēmas noklusētās paroles tiktu mainītas. 12.7.15. Ja tiek veiktas pārmaiņas iegādātajās IS, tad pirms to veikšanas ir jāveido oriģinālās programmatūras, kā arī IS datu kopijas. 12.7.16. Tehnisko resursu pārmaiņas jāplāno, pirms pārmaiņām jāveido tajos esošo datu un programmatūras rezerves kopijas, pēc pārmaiņu veikšanas jāveic testēšana. 12.7.17. Bankā jāizstrādā noteikumi darbībām ārkārtas pārmaiņu apstākļos, nosakot, kas ir tiesīgs pieņemt lēmumu par ārkārtas pārmaiņām. 12.7.18. Ārkārtas pārmaiņas nedrīkst būt pastāvīgas (kļūt par normu); pēc problēmas atrisināšanas ārkārtas pārmaiņas ir jāatceļ vai tās jāievieš ar parasto pārmaiņu procedūru. 12.8. Vīrusu kontrole 12.8.1. Bankā jāizstrādā vīrusu kontroles procedūras vīrusu profilaksei, atklāšanai un likvidēšanai. 12.8.2. Bankā jānorīko darbinieki, kas nodarbojas ar atklāto vīrusu likvidēšanu. Šiem darbiniekiem ir jāapkopo dati par visiem vīrusu atklāšanas gadījumiem. Vīrusu likvidēšanu drīkst veikt tikai pilnvaroti darbinieki. 12.8.3. Bankā jāveic darbinieku izglītošana par jautājumiem, kas saistīti ar vīrusiem; darbiniekiem ir jābūt skaidrai kārtībai, kā un kam jāziņo par vīrusa esamību vai aizdomām par to. 12.8.4. Serveros, personālajos datoros un piezīmjdatoros jāizmanto pretvīrusu programmatūra. 12.8.5. Pretvīrusu programmatūra ir bieži jāatjauno, lai būtu iespējams atklāt visjaunākos vīrusus. 12.8.6. Ar pretvīrusu programmatūru jāpārbauda visa bankā ienākošā un no bankas izejošā elektroniskā informācija (elektroniskais pasts, disketes u.c.). 12.8.7. Ja bankā ir bijuši citas organizācijas datorspeciālisti, ar pretvīrusu programmatūru jāpārbauda visi datori, ar kuriem viņi ir strādājuši, un datortīklu resursi, kam viņi ir piekļuvuši. 12.8.8. Ja sveši datori tiek pieslēgti bankas datortīklam, tie vispirms jāpārbauda ar pretvīrusu programmatūru. 12.9. Utilītprogrammu pārvaldība 12.9.1. Utilītprogrammas drīkst izmantot tikai iepriekš noteiktos gadījumos, kas saistīti ar IS izstrādi un uzturēšanu, un to var darīt tikai pilnvaroti darbinieki. 12.9.2. Pieeja utilītprogrammām jānodrošina ar loģisko aizsardzību, lai tās būtu pieejamas tikai pilnvarotiem darbiniekiem. 12.9.3. Bankas darbiniekiem, kuri izpilda IS auditēšanas vai IS drošības funkcijas, ir jāveic pārbaudes, vai pieeja utilītprogrammām ir tikai pilnvarotiem lietotājiem.