7. Article

IS resursu loģiskā aizsardzība 7.1. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS loģiskās aizsardzības pasākumus. 40 7.2. Tirgus dalībnieks dokumentē un veic IS lietotāju reģistrācijas, tiesību piešķiršanas un anulēšanas procedūras: 7.2.1. katram lietotājam un IS administratoram piešķir unikālu lietotāja kodu. Jauna lietotāja reģistrāciju veic saskaņā ar informācijas resursu turētāja dokumentētu pieprasījumu. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā nekavējoties tiek mainītas vai anulētas IS lietotāja un administratora tiesības; 7.2.2. IS administratora kodu kopā ar paroli glabā drošā ierobežotas pieejas vietā. 41 7.3. Lietotāja autentiskuma noteikšana: 7.3.1. lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka attiecīgos klasificētos IS resursus lieto pilnvarotais lietotāja koda īpašnieks. Autentifikācijas līdzekļi var būt, piemēram, paroles, viedkartes, biometriskie līdzekļi u.c.; 7.3.2. tirgus dalībnieks nosaka autentifikācijas līdzekļu lietošanas kārtību; 7.3.3. kā paroli izvēlas pietiekami sarežģītu simbolu kombināciju. Ievadot paroli, tā nedrīkst būt salasāma uz datora ekrāna. Paroles elektroniskajos nesējos glabā un pārsūta šifrētas. Paroli nekavējoties nomaina, ja tā varētu būt vai ir kļuvusi zināma citai personai. Izņēmums ir IS, kas nesatur klasificētus informācijas resursus; 7.3.4. ja tirgus dalībnieks IS lietotāja (piemēram, klienta) autentifikāciju veic, lietojot elektroniskās kartes ar personas identifikācijas numuru (tālāk tekstā — PIN), tad rakstveidā nosaka to lietošanas un sagatavošanas kārtību, kas izstrādāta saskaņā ar šo noteikumu IS drošības prasībām. Tirgus dalībnieks lieto tādu elektroniskās kartes un PIN sagatavošanas metodi, kas nepieļauj šī autentifikācijas līdzekļa nesankcionētu lietošanu un paredz drošu piegādi IS lietotājam. PIN šifrē, ja to sūta pa komunikāciju līnijām. 42 7.4. Pārraudzības funkcija: 7.4.1. tirgus dalībnieks nodrošina, ka auditācijas pieraksti tiek veidoti par informācijas sistēmām, kas satur klasificētus informācijas resursus, un darbībām datortīklā, kurā ir pieeja IS, kas satur klasificētus informācijas resursus. Auditācijas pierakstos iekļauj visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu datumu un laiku, kā arī lietotāja (t.sk. administratora) kodu vai citu autentifikācijas līdzekli; 7.4.2. tirgus dalībnieks nodrošina auditācijas pierakstu integritāti un regulāri veido auditācijas pierakstu datu rezerves kopijas saskaņā ar 9.4. punkta noteikumiem; 7.4.3. tirgus dalībnieks regulāri pārrauga vismaz to IS darbību, kas satur klasificētus informācijas resursus. Šim nolūkam var lietot speciālas pārraudzības programmas vai datoriebrukumu noteikšanas sistēmas; 7.4.4. pārrauga vismaz šādus gadījumus: 7.4.4.1. atkārtota neveiksmīga pieslēgšanās IS, 7.4.4.2. mēģinājumi piekļūt informācijas resursiem, kuriem lietotājs nav pilnvarots piekļūt, 7.4.4.3. IS lietošana neparastā laikā, piemēram, ārpus darba laika, 7.4.4.4. atkārtoti mēģinājumi lietot lietotāja kodus, kuri jau ir atcelti, 7.4.4.5. privileģēto lietotāja kodu piešķiršana un lietošana (piemēram, IS administratoru kodi), 7.4.4.6. nesankcionētas programmatūras konfigurācijas maiņas un neatļautas programmatūras uzstādīšana. 43 7.5. Vīrusu kontrole: 7.5.1. tirgus dalībnieks nosaka kārtību un veic pasākumus datoru vīrusu darbības novēršanai tehnoloģiskajos resursos; 7.5.2. vīrusu darbības novēršanai lieto speciāli šim nolūkam paredzētu programmatūru. Vīrusu definīciju failus nekavējoties atjauno, tiklīdz izstrādātājs piedāvā atjaunojuma failus; 7.5.3. tirgus dalībnieks regulāri veic antivīrusu programmas pārraudzību, lai pārliecinātos par tās darbību un jaunāko vīrusu definīciju failu esamību. 44 7.6. Personālo un portatīvo datoru aizsardzība: 7.6.1. tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt uz personālā un portatīvā datora (tālāk tekstā — personālie datori). Portatīvajos datoros, kuri tiek lietoti ārpus tirgus dalībnieka darba telpām, glabā tikai tos informācijas resursus, kas nepieciešami noteiktajā laikā noteiktajam datora lietotājam; 7.6.2. personālajā datorā uzstāda un lieto tikai to programmatūru un tādā konfigurācijā, ko ir noteicis tirgus dalībnieks. Personālā datora funkcionalitāti ierobežo līdz darba vajadzībām nepieciešamo funkciju līmenim; 7.6.3. personālo datoru, atstājot bez lietotāja uzraudzības, slēdz, lietojot ekrānsaudzētāju ar paroli, speciālu slēgšanas funkciju vai citu metodi, kas ļauj turpināt darbu ar personālo datoru vienīgi tad, ja ir veikta lietotāja autentifikācija; 7.6.4. tirgus dalībnieks nosaka kārtību, kādā darba vajadzībām darbinieki lieto viņiem piederošus datorus un kādā lieto tirgus dalībnieka datorus ārpus darba telpām. Šī kārtība nedrīkst samazināt noteikto informācijas resursu aizsardzības līmeni. 45 7.7. Datortīklu aizsardzība: 7.7.1. tirgus dalībnieks izstrādā un uztur datortīkla shēmu, kurā parādīta datortīklā savienotā aparatūra un nodrošinātie pakalpojumi; 7.7.2. datu plūsmā starp lokālo datortīklu un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei. Šim nolūkam var lietot ugunsmūra sistēmu; 7.7.3. regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām, un ka darbojas rezerves savienojumi; 7.7.4. pieslēgšanos tirgus dalībnieka IS no loģiski attālas vietas aizsargā, lietojot kriptogrāfijas līdzekļus kopā ar lietotāja paroli tā, lai droši noteiktu lietotāja autentiskumu; 7.7.5. ja tirgus dalībnieks piedāvā klientam pakalpojumus, lietojot ārējos tīklus un pārsūtot klienta datus (piemēram, interneta bankas pakalpojumi), tad tirgus dalībnieks nodrošina klienta datu integritāti un konfidencialitāti. Pārsūtot datus, lieto kriptogrāfijas līdzekļus saskaņā ar 7.8. punktu. Klientu autentifikācijai papildus kodam un parolei lieto citus drošības līdzekļus (piemēram, kodu kartes, viedkartes vai elektronisko parakstu). 46 7.8. Tirgus dalībnieks, lietojot kriptogrāfijas līdzekļus (piemēram, publisko atslēgu infrastruktūru), rakstveidā nosaka to lietošanas kārtību, kā arī veic kriptogrāfijas līdzekļu (piemēram, privāto un slepeno atslēgu) klasificēšanu un nodrošina to pietiekamu aizsardzību. 47 7.9. Tirgus dalībnieks veic papildu loģiskās aizsardzības pasākumus atkarībā no IS informācijas resursu klasifikācijas līmeņa. 48 7.10. Tirgus dalībnieks veic līdzvērtīgus loģiskās aizsardzības pasākumus klasificētiem informācijas resursiem neatkarīgi no datu glabāšanas veida (t.sk. disketes, papīra dokumenti, audiokasetes u.tml.). 49 7.11. Tirgus dalībnieks sadarbībā ar ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem: 7.11.1. nosaka prasības iesaistīto personu atbildībai, pagaidu lietotāju kontu piešķiršanai, pārmaiņu pārvaldīšanai un citas IS drošības prasības; 7.11.2. saskaņojot ar IS resursu turētājiem, piešķir pieejas tiesības IS resursiem ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem tikai to pienākumu veikšanai nepieciešamajā apjomā; 7.11.3. nosaka informācijas izpaušanas ierobežojumus. 50 7.12. Ja IS uztur ārējais pakalpojumu sniedzējs, tam jānodrošina IS drošības līmenis, kas nav zemāks par tirgus dalībnieka noteikto. Tirgus dalībnieks iepazīstina ārējo pakalpojumu sniedzēju ar IS drošības prasībām. 51