9. Article

INFORMĀCIJAS UN TEHNISKO RESURSU LOĢISKĀ AIZSARDZĪBA DAŽĀDĀS VIDĒS 9.1. Personālie datori un portatīvie datori 9.1.1. Bankā jānosaka atbildīgais par katra bankas personālā datora lietošanu (parasti datora lietotājs, bet, ja to lieto vairāki darbinieki, - struktūrvienības vai grupas vadītājs). 9.1.2. Informācijas īpašnieks, kas ne vienmēr ir datora lietotājs, ir atbildīgs par to datu rezerves kopiju sagatavošanu un glabāšanu, kuri atrodas personālajā datorā vai tam pievienotajos informācijas nesējos, piem., cietajā vai optiskajā diskā. 9.1.3. Personālais dators ir sistemātiski jāpārrauga, lai konstatētu neautorizētas konfigurācijas vai nelicencētas programmatūras uzstādīšanu. Bankā ir jānosaka atbildīgais par šo pasākumu veikšanu. 9.1.4. Visos personālajos datoros, kas satur klasificētu informāciju, jālieto loģiskās pieejas vadības programmatūra ( logical access control software ), kas ļauj piešķirt, anulēt lietotāja tiesības un pārraudzīt piekļūšanu datora resursiem. 9.1.5. Tīklam pievienotos datoros jālieto tīkla loģiskās pieejas vadības programmatūra (parasti tīkla operētājsistēma), kas ļauj piešķirt, anulēt lietotāja tiesības un pārraudzīt piekļūšanu datora resursiem. 9.1.6. Visos personālajos datoros ir jālieto ieslēgšanas parole ( power-on password ). Izņēmums ir datori, kas nesatur klasificētu informāciju. 9.1.7. Ja personālo datoru atstāj ieslēgtu uz neilgu laiku, jālieto ekrānsaudzētājs ar paroli vai arī darbiniekam jāatsakās ( logoff ) no visām IS. Izņēmums ir datori, kas nesatur klasificētu informāciju un kas nav pievienoti datortīklam. 9.1.8. Parolēm, kas atrodas personālā datora cietajā diskā, ir jābūt šifrētām (piem., ar vienvirziena algoritmu). 9.1.9. Maksimāli jāierobežo lietotāja piekļūšana operētājsistēmas komandām. 9.1.10. Slepenai informācijai personālajā datorā jābūt šifrētai. 9.1.11. Konfidenciālai informācijai personālajā datorā jābūt šifrētai vai arī personālajam datoram jāatrodas vidē ar stipru fizisko aizsardzību. 9.1.12. Ja personālo datoru administrators ir atbildīgs par pieejas vadības programmatūru vairākiem datoriem, viņam jāaizsargā sava administratoru identificējošā parole. 9.1.13. Bankas IS drošības politikā jānosaka: 9.1.13.1. vai banka atļauj lietot darbam darbinieku personiskos datorus; 9.1.13.2. vai darbinieks drīkst izmantot bankas datoru (ja tas atrodas darbinieka mājās) personiskajām vajadzībām; 9.1.13.3. riska analīzes nepieciešamība portatīvo un mājās lietoto personālo datoru izmantošanai. 9.1.14. Bankā jāizstrādā bankai piederošo un mājās lietojamo personālo datoru izmantošanas noteikumi, kuros jānosaka, ka jāievēro vīrusu kontroles noteikumi (sk. 12.8. punktu), pārmaiņu pārvaldības noteikumi (sk. 12.7. punktu) un noteikumi par pieslēgšanos bankas IS, izmantojot globālos tīklus (sk. 9.3. punktu). 9.2. Lokālie datortīkli 9.2.1. Datortīkla administratora darba vietai jābūt speciāli nodalītai un nodrošinātai ar loģisko aizsardzību. 9.2.2. Datortīkla administratoram jāaizsargā savs lietotāja kods un parole. 9.2.3. Datortīkla administratoram jāveic šādi pienākumi: 9.2.3.1. datortīkla lietotāju pārvaldība (lietotāja kodu reģistrācija, dzēšana, tiesību piešķiršana pēc informācijas resursu īpašnieka norādījumiem); 9.2.3.2. jānovērš iespējas nesankcionēti pieslēgt tīklam svešu aparatūru (citi datortīkli, komunikāciju ierīces, piem., adapteri vai modemi); 9.2.3.3. jāuzrauga lokālais datortīkls, jāreģistrē pārkāpumi (nesankcionēti pieslēgšanās mēģinājumi, tiesību pārkāpšanas mēģinājumi) un jāziņo par tiem saskaņā ar bankas izstrādātajām procedūrām; 9.2.3.4. jāizstrādā un jāuztur datortīkla shēma, kurā parādīta visa datortīklā savienotā aparatūra un tās atrašanās vieta; 9.2.3.5. jāuztur datortīkla programmatūra un jāveic tās versiju pārraudzība; 9.2.3.6. jāierobežo datortīkla lietotāju tiesības piekļūt operētājsistēmas programmatūrai, operētājsistēmas komandām, datortīkla analizēšanas programmu, piem., LANA lyzer , lietošanai. 9.2.4. Par katru lokālo datortīklu jābūt atbildīgajam, kurš nodarbojas ar datortīkla drošības jautājumiem. Atbildīgais var būt datortīkla administrators, bankas IS drošības administrators vai vairāku lokālo datortīklu drošības administrators. 9.3. Globālo tīklu vide 9.3.1. Jānodrošina bankai piederošās tīkla aparatūras loģiskā un fiziskā aizsardzība. 9.3.2. Ja nomātos privātos vai publiskos tīklos daļa no tīkla aparatūras ir bankas uzraudzībā, jānodrošina šīs tīkla aparatūras loģiskā un fiziskā aizsardzība. 9.3.3. Jānomaina bankai piederošās tīkla aparatūras noklusētās paroles pirms aparatūras uzstādīšanas tīklā. 9.3.4. Ja banka izmanto nomātus privātos un/vai publiskos tīklus, jāveic ar šo tīklu izmantošanu saistīto risku analīze un pēc tam jāveic attiecīgi risku samazināšanas pasākumi. 9.3.5. Nomātos privātos un publiskos tīklos (piem., Internet ) jāaizsargā klasificētas informācijas konfidencialitāte un integritāte. Slepena informācija ir jāšifrē, augsta riska informācijas sūtīšanā jālieto kriptogrāfiskie autentiskuma noteikšanas paņēmieni vai līdzvērtīga aizsardzības metode. 9.3.6. Bankas datortīklā līdz minimumam jāsamazina iespējamās pieslēgšanās vietas no loģiski attālas ( remote access ) vietas (piem., portatīvā datora, izmantojot modemu un tālruņa līniju vai Internet tīklu), kā arī bankas datortīkla un publisko tīklu pastāvīgo savienojumu fiziskie punkti. 9.3.7. Informācijas un tehnisko resursu īpašniekam ir jādod atļauja gan pieslēgumam no ārpuses, gan pastāvīgam savienojumam. 9.3.8. Jāveic pieslēgumu un tīklu savienošanas projektu riska analīze. 9.3.9. Jāseko informācijai par aparatūras un programmatūras jauninājumiem ( patches, fixes ), lai novērstu citur atklātos un publicētos IS drošības trūkumus. 9.4. Savienojumi ar ārējiem un publiskiem tīkliem 9.4.1. Nepastāvīgo savienojumu (piem., iezvanpieejas savienojumu) aizsardzības noteikumi 9.4.1.1. Ne retāk kā reizi trijos mēnešos jāpārbauda visu ārējo savienojumu eksistence un jāpārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst bankas darbības vajadzībām. 9.4.1.2. Savienojumi ar IS, kurās informācija nav klasificēta un kuras nav savienotas ar bankas datortīklu, var pieļaut lietotāju autentiskuma noteikšanu ar paroli. 9.4.1.3. Pieslēgšanās bankas datortīklam no loģiski attālas vietas ir jāaizsargā, lietojot kriptogrāfijas tehnoloģiju (ieteicams izmantot elektronisko talonu) kopā ar lietotāja paroli tā, lai droši noteiktu lietotāja autentiskumu. 9.4.1.4. Ja, pieslēdzoties no loģiski attālas vietas, ir pieejama slepena vai augsta riska informācija, tad lietotāja autentiskums ir jāpārbauda, lietojot kriptogrāfijas tehnoloģiju, brīdī, kad tiek veiktas darbības ar šo informāciju (ieteicams izmantot elektronisko talonu). 9.4.1.5. Bankā jāizstrādā procedūra, kas nosaka tūlītējas lietotāja elektroniskā talona derīguma atcelšanas kārtību, ja lietotājs paziņo, ka elektroniskais talons ir pazaudēts vai nozagts. 9.4.1.6. Bankas IS, kura pieļauj pieslēgšanos no loģiski attālas vietas, jābūt nodrošinātai ar stipru loģisko un fizisko aizsardzību. 9.4.1.7. IS ir jāglabā auditācijas pieraksti par visiem veiksmīgajiem un neveiksmīgajiem pieslēgšanās mēģinājumiem. 9.4.2. Pastāvīgo savienojumu aizsardzības noteikumi 9.4.2.1. Tīklu savienošanu drīkst veikt, ievērojot bankas pārmaiņu pārvaldības noteikumus. 9.4.2.2. Tīklu savienojuma mezgls ir jānodrošina ar stipru fizisko aizsardzību. 9.4.2.3. Visi bankas datortīkla un publisko tīklu savienojumi jāaizsargā ar ugunsmūri, un visai informācijai, ko sūta starp tīkliem, ir jāplūst caur to. Izņēmums ir tīkls, kas nesatur klasificētu informāciju un kas ir fiziski atdalīts no bankas datortīkla. 9.4.2.4. Ugunsmūrī ietilpstošie datori jāizmanto tikai un vienīgi ugunsmūra funkcijas veikšanai. 9.4.2.5. Ugunsmūrim ir jābūt nodrošinātam ar stipru loģisko un fizisko aizsardzību (sk. 12. punktu). 9.4.2.6. Caur ugunsmūri saņemtajai informācijai un pa elektronisko pastu sūtītajiem piesaistītajiem ( attached ) failiem jāveic vīrusu pārbaude. 9.4.2.7. Jānodrošina, lai no bankas WWW (World Wide Web) servera nebūtu iespējams nesankcionēti piekļūt bankas datortīklam. 9.4.2.8. Jānodrošina WWW servera loģiskā un fiziskā aizsardzība. 9.4.2.9. Jāveic ar Internet izmantošanu saistīto risku analīze. 9.4.2.10. WWW lietojumprogramma ir jāveido tā, lai netiktu izpausta bankas klasificētā informācija. 9.4.2.11. Ja pa Internet saņem slepenus vai konfidenciālus klienta datus, jāveic pasākumi, lai pie tiem nevarētu piekļūt citi klienti, kā arī bankas darbinieki, kuriem nav attiecīgu pilnvaru. 9.4.2.12. Ja banka piedāvā klientam pakalpojumus, izmantojot publiskos tīklus, tad bankai jānodrošina klienta datu integritāte un konfidencialitāte. 9.4.2.13. Uzsākot sesiju bankas datortīklā (caur publisko tīklu), lietotāja autentiskums jāpārbauda, lietojot kriptogrāfijas tehnoloģiju. 9.4.2.14. Ja bankas datortīklā ir pieejama slepena un/vai augsta riska informācija, tad lietotāja autentiskums ir jāpārbauda, lietojot kriptogrāfijas tehnoloģiju, brīdī, kad tiek veiktas darbības ar šo informāciju (ieteicams izmantot elektronisko talonu). 9.4.2.15. Bankā jāizstrādā procedūra, kas nosaka tūlītējas lietotāja elektroniskā talona derīguma atcelšanas kārtību, ja lietotājs paziņo, ka elektroniskais talons ir pazaudēts vai nozagts. 9.5. Tālruņu tīkli 9.5.1. Bankas darbiniekiem jābūt skaidri zināmai atbildībai un ierobežojumiem, izmantojot tālruņus. 9.5.2. Bankai ir jānodrošina no publiskā operatora (piem., SIA "Lattelekom") ienākošo kabeļu pilnīga kontrole savas iestādes robežās, kur tā ir jānodrošina ar labu fizisko aizsardzību. 9.5.3. Tālruņu tīkla komutācijas skapji ir jānodrošina pret nesankcionētu piekļūšanu. 9.5.4. Tālruņu tīkla komutatoru PBX ( Private Branch Exchange ) telpa ir jānodrošina ar labu fizisko aizsardzību. Šāda aparatūra drīkst būt pieejama tikai pilnvarotiem darbiniekiem. 9.5.5. Visiem tālruņa izsaukumiem (gan savienojumiem ar publisko tīklu tieši, gan caur vietējo centrāli) jābūt iekļautiem auditācijas pierakstos. 9.5.6. Bankā jāizstrādā balss pasta, mobilo tālruņu lietošanas un glabāšanas un informācijas aizsargāšanas noteikumi. Tajos jāietver vismaz šādi norādījumi: 9.5.6.1. aizliegums izpaust citiem lietotājiem savus balss pasta sistēmas lietotāja kodus un paroles; 9.5.6.2. ka jāizmanto auditācijas pieraksti un speciālas to analīzes programmas, lai būtu iespējams regulāri pārbaudīt balss pasta sistēmas izmantošanu; 9.5.6.3. kā mobilie tālruņi jāglabā, lai tos nevarētu nozagt vai nesankcionēti lietot. 9.5.7. Bankā jāizstrādā faksa aparātu izmantošanas noteikumi, kuros jāietver vismaz šādi norādījumi: 9.5.7.1. aizliegums izmantot faksu slepenas vai augsta riska informācijas sūtīšanai, sevišķi maksājuma uzdevumu sūtīšanai, bet, ja īpašos gadījumos tas jādara, tad jāievēro šādi noteikumi: 9.5.7.1.1. slepena informācija ir jāšifrē, 9.5.7.1.2. augsta riska informācijas sūtīšanā jāizmanto kriptogrāfijas tehnoloģija; 9.5.7.2. faksa aparāts ir jāuzstāda tā, lai uz sūtītajiem dokumentiem būtu redzams sūtītāja tālruņa numurs un identifikators; 9.5.7.3. jānosaka, kādi faksa dokumenti ir jākopē glabāšanai. 9.6. IS izstrāde 9.6.1. Bankā jābūt IS izstrādāšanas procesa aprakstam, kas nosaka kvalitatīvas, bankas darbības vajadzībām atbilstošas IS izstrādāšanas kārtību un kvalitātes prasības. 9.6.2. Pirms jaunas IS ieviešanas lietošanas vidē ir jāsaņem to informācijas un tehnisko resursu īpašnieku atļauja, kuru informācijas un/vai tehniskie resursi tiks skarti, lietojot jauno IS. 9.6.3. Pirms ieviešanas ir jāveic katras jaunas IS riska analīze. 9.6.4. Kad izstrādātā IS tiek ieviesta, ir jāievēro pārmaiņu pārvaldības noteikumi (sk. 12.7. punktu) un pārmaiņas jāatspoguļo auditācijas pierakstos. 9.6.5. Katrai esošai IS ir jābūt labi dokumentētai. 9.6.6. Katrai jaunai IS, ko izstrādā vai/un ievieš, jābūt labi dokumentētai. Dokumentācijā jāiekļauj šādas sastāvdaļas: 9.6.6.1. programmu vai IS shēmas; 9.6.6.2. atsevišķu programmu dokumentācija; 9.6.6.3. datubāzes datu vārdnīca; 9.6.6.4. datu plūsmas shēmas; 9.6.6.5. IS administratora instrukcijas; 9.6.6.6. lietotāju instrukcijas; 9.6.6.7. IS instalācijas apraksts. 9.6.7. Ja IS dokumentācijā ietverta tehniska rakstura klasificēta informācija, tad IS dokumentācija jāglabā saskaņā ar klasificētas informācijas nesēju glabāšanas noteikumiem. 9.6.8. IS dokumentācijas rezerves kopijas jāglabā drošā vietā (piem., ugunsdrošā seifā citā bankas ēkā), lai nepieciešamības gadījumā tās varētu kalpot bankas darbības atjaunošanai. 9.6.9. IS izstrādāšanas videi jābūt pilnīgi atdalītai no lietošanas vides: 9.6.9.1. jānodala reālie bankas darbības dati no testēšanas datiem; 9.6.9.2. jānodala loģiskās pieejas kontroles; 9.6.9.3. fiziski jānodala izstrādāšanas un lietošanas vide (telpas). 9.6.10. Bankā jāizstrādā IS izstrādes, ieviešanas, pieņemšanas, pārmaiņu pārvaldības un versiju uzraudzības noteikumi. 9.6.11. Visas pārmaiņas pirms to veikšanas jāsankcionē informācijas īpašniekam. 9.6.12. Programmu pirmkodiem un objektkodiem ir jābūt nodrošinātiem pret nesankcionētu piekļūšanu un lietošanu. 9.6.13. Izstrādātājs nedrīkst piekļūt programmu pirmkodiem, kas nodoti ieviešanai. 9.6.14. Jābūt no izstrādātāja neatkarīgai kvalitātes kontroles funkcijai, kuru izmanto, lai pārbaudītu IS kvalitāti, pirms IS tiek ieviesta lietošanas vidē. 9.6.15. IS ekspluatācijas gaitā izstrādātājam nedrīkst būt tiesības veikt pārmaiņas IS lietošanas vidē. IS izstrādātājam tā jānodod uzturēšanas vai ieviešanas funkcijas izpildītājam, kas kompilē IS un, pēc kvalitātes kontroles saņemot atļauju, to ievieš. 9.6.16. Kad IS tiek uzstādīta lietošanas vidē, tajā nedrīkst būt saglabājušies testētāju lietotāja kodi vai testēšanas datu faili.