8. Article

IS izstrāde, iegāde un pārmaiņu pārvaldīšana 8.1. Veicot IS izstrādes, iegādes, ieviešanas un pārmaiņu pārvaldīšanas procesu, tirgus dalībnieks ievēro un atbild par IS drošības prasību ievērošanu neatkarīgi no tā, vai šos procesus veic pats tirgus dalībnieks vai ārējais izstrādātājs un piegādātājs. Tas pats jāievēro, veicot būtiskas izmaiņas datortīkla ārējo pieslēgumu konfigurācijā. 52 8.2. Tirgus dalībnieks nosaka IS izstrādes, iegādes, ieviešanas un pārmaiņu pārvaldīšanas procesus iekšējos normatīvos aktos un dokumentē to gaitu. 53 8.3. IS izstrādes uzsākšana: 8.3.1. tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus; 8.3.2. atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus; 8.3.3. izstrādājamās IS resursu turētāji veic drošības prasību noteikšanu šai IS. 54 8.4. IS izstrāde: 8.4.1. IS izstrādes videi ir jāatbilst drošības prasībām, un to nodala no lietošanas vides; 8.4.2. pieejas tiesības IS izstrādes videi nosaka atbilstoši projektā iesaistīto personu pienākumiem; 8.4.3. katrai IS ir jābūt dokumentētai. Dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim. Dokumentācijai nodrošina rezerves kopijas, kuras glabā pēc līdzīgiem nosacījumiem kā citu datu rezerves kopijas; 8.4.4. dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS instalācijas apraksts, IS administratora un lietotāju instrukcijas u.c.). 55 8.5. Testēšana: 8.5.1. pirms IS ieviešanas tirgus dalībnieks veic IS darbības funkcionalitātes un drošības atbilstības noteiktajām prasībām pārbaudi; 8.5.2. tirgus dalībnieks nodala IS testa vidi no izstrādes un lietošanas vides; 8.5.3. testos piedalās personas, kas ir noteikušas funkcionalitātes un drošības prasības, IS resursu turētāji un lietotāji; 8.5.4. pamatojoties uz testu rezultātiem, tirgus dalībnieks nodrošina IS koriģēšanu vai uzsāk tās ieviešanu. 56 8.6. Ieviešana: 8.6.1. pirms IS ieviešanas ir jāsaņem to IS resursu turētāju atļauja, kuru IS resursi tiks ietekmēti, lietojot jauno IS; 8.6.2. pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību un citus pasākumus saskaņā ar 5.3. punktu; 8.6.3. ieviešot IS, tajā nedrīkst būt testētāju lietotāja kodi un testēšanas datu faili; 8.6.4. tirgus dalībnieks nodrošina, lai tiktu saglabāti tam pieejamie ieviestās IS pirmkodi. 57 8.7. Pārmaiņu pārvaldīšana: 8.7.1. IS pārmaiņas tiek veiktas tikai ar visu saistīto IS resursu turētāju atļauju; 8.7.2. IS pārmaiņas izdara, ievērojot 8.3.–8.6. punkta prasības; 8.7.3. tirgus dalībnieks identificē visus informācijas un tehnoloģiskos resursus, kurus ietekmē pārmaiņas; 8.7.4. tirgus dalībnieks analizē, kā pārmaiņas ietekmēs esošos IS drošības pasākumus un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis; 8.7.5. tirgus dalībnieks veic IS dokumentācijas papildināšanu; 8.7.6. tirgus dalībnieks uztur visu pārmaiņu reģistrācijas žurnālu; 8.7.7. tirgus dalībnieks veido un uztur IS versiju bibliotēku, lai būtu iespēja uzstādīt programmas iepriekšējo versiju, ja jaunā, mainītā versija nav apmierinoša; 8.7.8. pirms pārmaiņu ieviešanas veido rezerves kopijas tām IS, kuras var ietekmēt pārmaiņas; 8.7.9. pēc pārmaiņu ieviešanas tirgus dalībnieks pārliecinās, vai IS pārmaiņu rezultātā ir saglabāta datu integritāte un IS drošības līmenis; 8.7.10. tirgus dalībnieks izstrādā noteikumus par darbībām ārkārtas (neplānotu) pārmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas pārmaiņām. Jāveic pasākumi, lai samazinātu nepieciešamību veikt ārkārtas pārmaiņas. Ārkārtas pārmaiņām veido auditācijas pierakstus. 58 8.8. IS lietošanas izbeigšana: 8.8.1. likvidējot IS, nododot to citai personai, t.sk. gadījumos, kad tirgus dalībnieks pārtrauc kādu uzņēmējdarbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus; 8.8.2. likvidējot IS, veic risku analīzi, kurā izvērtē iespējamo apdraudējumu citām IS un tirgus dalībniekam kopumā; 8.8.3. tirgus dalībniekam ir nepieciešams pieņemt lēmumu par IS lietošanas izbeigšanu, nosakot turpmākās darbības ar IS — pilnīga likvidēšana vai glabāšana arhīvā; 8.8.4. ja IS pilnībā likvidē, tirgus dalībnieks nodrošina IS ietilpstošo informācijas resursu likvidēšanu saskaņā ar 6.6.5. punktu; 8.8.5. ja IS ievieto arhīvā, tirgus dalībnieks nodrošina noteikto IS drošības līmeni un likvidē lietošanas tiesības, kuras var atjaunot vēsturisko datu caurskatīšanai ar atbildīgās amatpersonas lēmumu. 59