Content
Pārskats par Nacionālās informācijas tehnoloģiju drošības padomes darbu 2016.gadā
Kategorija: AM + cert.lv| III. Notikumu hronoloģija | |
|---|---|
| 18. janvārī | Tikšanās ar BHC Labs pārstāvjiem |
| 15. februārī | Dalība MilCERT atklāšanas pasākumā |
| 24. martā | Padomes sēde ar nevalstisko organizāciju pārstāvju līdzdalību |
| 4.–5.aprīlī | VS vizīte Izraēlā, kur apspriesti kiberdrošības jautājumi |
| 31.maijā | VS vizīte Apvienotajā Karalistē, kur apspriesti kiberdrošības jautājumi |
| 8. jūlijā | Padomes sēde |
| 26. oktobrī | Tikšanās ar ASV vēstnieci Nancy Pettit |
| 27. oktobrī | Uzstāšanās Data Security Solutions konferencē |
| 4. novembrī | Padomes sēde |
| 8. decembrī | Kiberdrošības mācības “Kiberdzirnas 2016” |
Pārskata periodā nomainījās Padomes priekšsēdētāja vietnieks, kā arī Padomes locekļi no Vides aizsardzības un reģionālās attīstības ministrijas, Labklājības ministrijas un Izglītības un zinātnes ministrijas. Pārskata periodā aizvadītas trīs Padomes sēdes.
Pārskata periodā tika veikts darbs pie grozījumu veikšanas Informācijas tehnoloģiju drošības likumā (turpmāk – IT drošības likums). Grozījumi bija nepieciešami četru iemeslu dēļ. Pirmkārt, lai atspoguļotu izmaiņas Latvijas Universitātes Matemātikas un informātikas institūta (turpmāk – LU MII) juridiskajā nosaukumā. Otrkārt, lai noteiktu ekskluzīvu MIDD atbildību par aizsardzības resora iestādēm IT drošības incidentu gadījumā. Šī brīža IT drošības likums neparedz nodalītu atbildību starp CERT.LV un MIDD, tāpēc izmaiņas ļaus palielināt spēju efektīvi un operatīvi reaģēt uz IT drošības incidentiem aizsardzības resorā. Treškārt, tika izstrādāti grozījumi, lai noteiktu iespēju IT drošības incidentu novēršanas institūcijām (CERT.LV un MIDD) pieprasīt augstākā līmeņa domēna “.lv” reģistra un elektroniskās numurēšanas sistēmas uzturētājam – LU MII Tīklu risinājumu daļai – atslēgt “.lv” domēna vārdu IT drošības incidentu gadījumā. Grozījumu mērķis ir novērst un mazināt apdraudējumu lietotājiem, kas tiek radīts, izmantojot domēna “.lv” vārdu. Likumprojektā paredzētā redakcija nosaka atslēgt domēna “.lv” vārdus tajos gadījumos, kad domēna vārda reģistrētājs vai servera, uz kura glabājas, piemēram, ļaundabīga programmatūra vai pikšķerēšanas lapa, uzturētājs ir ļaunprātīgo aktivitāšu organizētājs un labuma guvējs.
Visbeidzot, grozījumu izstrādes laikā tika plānots iekļaut arī izmaiņas, lai Latvijā ieviestu atbildīgas drošības nepilnību atklāšanas procesu (turpmāk – AA process) un ar likumu atrunātu kārtību personu veiktai drošības nepilnību meklēšanai, atklāšanai un ziņošanai.Padome 2016. gada beigās neiebilda pret IT drošības likuma grozījumu likumprojekta iesniegšanu Ministru kabinetā atkārtoti bez AA procesa ieviešanai paredzētajiem grozījumiem, ja netiktu panākts saskaņojums starp iesaistītajām institūcijām. Tā kā saskaņojumu neizdevās panākt, tad 2016. gada beigās IT drošības likuma grozījumi tika iesniegti bez AA procesa.
2016. gadā tika turpināts darbs pie agrās brīdināšanas sistēmas paplašināšanas, uzstādot papildu sensorus valsts un pašvaldību institūcijās. Padomē apspriesta tālākā agrās brīdināšanas sistēmas attīstība, kā arī sniegta informācija par sensoros novēroto aktivitāti un būtiskākajiem incidentiem. Jāatzīmē, ka ar agrās brīdināšanas sistēmas palīdzību CERT.LV ir noteikuši daudzus bīstamus un slēptus uzbrukumus valsts iestādēm.
Padome konceptuāli atbalstīja priekšlikumus, atbalstot arī iniciatīvu LVRTC un Valsts policijai ciešāk sadarboties, lai koordinētu Valsts policijas personāla apmācību kibernoziedzības apkarošanas jautājumos.
eID un e-paraksta lietošana nodrošina augstāku drošības līmeni, tāpēc, lai novērstu salīdzinoši zemo eID izmantošanu elektronisko pakalpojumu saņemšanā un izvairītos no nelietderīgiem tēriņiem nākotnē, Padomē tika atbalstīts priekšlikums virzīt eID kā obligātu un primāru personu identifikācijas rīku. 2016. gada 8. novembra sēdē Ministru kabinetā tika izteikts atbalsts PMLP un LVRTC risinājums noteikt eID kā obligātu un primāru personu apliecinošu līdzekli sākot no 2019. gada 1. janvāra.
Padomē tika aktualizēts arī jautājums saistībā ar “E-veselības” projekta ieviešanas gaitu. Tika izteikts atbalsts elektronisko darbnespejās lapu un recepšu, kā arī citu moduļu ieviešanai e-veselības sniegto pakalpojumu ietvaros un eID kā ērta un droša pacientu identifikācijas dokumenta izmantošanai e-veselības pakalpojumu saņemšanai. Tika rosināts ātrāk iesaistīt CERT.LV “E-veselībai” līdzīgu valstiski svarīgu projektu izstrādes procesā, lai varētu veikt sistēmu drošības risku izvērtēšanu un sniegt viedokli par sistēmu drošības mehānismiem un autentifikācijas sistēmu plānošanu.
Avoti:
MK: http://polsis.mk.gov.lv/documents/5846
2017-03-14 » edgars
Re: Pārskats par Nacionālās informācijas tehnoloģiju drošības padomes darbu 2016.gadā