VAS LATVIJAS PASTS

Sertifikācijas pakalpojumu sniedzēja informācijas sistēmu, iekārtu un procedūru drošības apraksts

 

 

 

 

 

 

 

 

 

Dokumenta pārskatīšanas vēsture

Versija	Datums	Autors	Komentāri
0.1	17.08.2006.	Siemens SIA   Agnese Vīdnere Informācijas sistēmu konsultante/juriste	Dokumenta sākotnējā versija.
0.2	22.08.2006	Agnese Vīdnere	Papildināta iepriekšējā versija
1.0	22.08.2006	Agnese Vīdnere	Papildināta iepriekšējā versija. Pirmā apstiprinātā versija.

 

 

 

Saskaņojums

 

Versija	Saskaņots ar	Saskaņošanas datums	Komentāri
0.2	Latvijas Pasts	22.08.2006
1.0	Latvijas Pasts Aivars Junga	23.08.2006

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SATURS

1.     Ievads. 5

2.     Vispārīgie drošības pasākumi 6

3.     Atbilstība normatīvajiem aktiem un standartiem.. 7

4.     Drošības pasākumi attiecībā uz IS drošību. 8

5.     Drošības pasākumi attiecība uz iekārtu drošību. 10

6.     Drošības pasākumi attiecībā uz procedūru drošību. 10

7.     Atjaunošanas plāns. 11

8.     Atsauces. 11

 

Tabulas un attēli

Tabula 1: Dokumentā lietotie termini 4

Tabula 2: Dokumentā lietotie saīsinājumi 4

 

Dokumentā lietotie termini un saīsinājumi

Tabula 1: Dokumentā lietotie termini

Termini	Skaidrojumi
Informācijas sistēma	Informācijas un tehnisko resursu, procedūru un personāla kopums, kas ir izveidots, strādā un tiek uzturēts, lai ievadītu, uzglabātu, apstrādātu un citādi izmantotu informāciju, paredzot lietotāju piekļūšanu tai
Informācija	Ziņa vai ziņu kopums jebkurā tehniski iespējamā fiksēšanas, uzglabāšanas vai nodošanas veidā
Iekārtas	Programmatūra un aparatūra, kas paredzēti sertifikācijas pakalpojumu sniegšanai (tehniskie resursi)
Procedūra	Dokumentēta sertifikācijas pakalpojumu sniegšanas darbību secība

 

Tabula 2: Dokumentā lietotie saīsinājumi

Saīsinājumi	Skaidrojumi
SPS	Sertifikācijas pakalpojumu sniedzējs
IS	Informācijas sistēma
MK	Ministru kabinets
DNP	Darbības nepārtrauktības plāns
EDL	Elektronisko dokumentu likums
SI	Sertificēšanas institūcija
HSM	Hardware security module
PKI	Publiskās atslēgas infrastruktūra (Public key infrastructure)

 

1.      Ievads

Dokumenta “Sertifikācijas pakalpojumu sniedzēja informācijas sistēmu, iekārtu un procedūru drošības apraksts” (turpmāk tekstā – Drošības apraksts) mērķis ir aprakstīt drošības pasākumus Sertifikācijas pakalpojuma sniedzēja informācijas sistēmas, iekārtu un procedūru funkcionēšanai, parādīt parakstītājiem, trešajām pesrsonām, likumdevējiem un uzraudzības iestādēm sertifikācijas pakalpojumu sniegšanas informācijas sistēmu, iekārtu un procedūru drošību un atbilstību normatīvo aktu prasībām, izvirzītajiem standartiem un VAS Latvijas Pasta sertifikācijas pakalpojumu sniegšanas drošību reglamentējošiem dokumentiem.

Drošības apraksts ir izveidots pamatojoties uz Elektronisko dokumentu likumu[1], MK noteikumiem Nr.357[2].

Dokuments Drošības apraksts ir paredzēts iesniegšanai Datu valsts inspekcijai, sertifikācijas pakalpojumu sniedzēja akreditācijai.

 

2.      Vispārīgie drošības pasākumi

Visi procesi un darbības SPS ietvaros tiek organizētas, regulētas, pārzinātas un uzraudzītas.

Ir izveidota informācijas drošības pārvaldības struktūra, kas balstās uz Latvijas Republikas normatīvajiem aktiem, starptautiskajiem standartiem un uz to pamata izstrādātiem iekšējiem dokumentiem.

Informācijas drošības pārvaldība tiek balstīta uz dokumentētām prasībām un nosacījumiem (noteikumiem, instrukcijām, procedūrām utt.), kas precīzi un nepārprotami definē SPS IS lietotāju, personāla, IS pakalpojumu sniedzēju, sadarbības partneru pienākumus un tiesības, darbojoties ar SPS resursiem un to pakalpojumiem.

 

Pamatdokuments, kas nosaka SPS organizācijas darbību, pakalpojumu sniegšanas kārtību, drošību un citus nosacījumus ir Sertifikācijas pakalpojumu sniegšanas noteikumi[3], kura sastāvā ir:

Sertifikātu politika[4],

Sertificēšanas noteikumi Izsniegšanas SI[5],

Laika zīmoga politika[6],

Laika zīmogošanas noteikumi[7],

Sertificēšanas noteikumi Politikas SI[8],

Sertificēšanas noteikumi Saknes SI[9] un

LP USPS Pakalpojumu specifikācija[10].

 

Sertifikācijas pakalpojumu sniegšanas noteikumi ir publiski pieejami un ir publicēti.

 

SPS izmanto uzticamas un drošas informācijas sistēmas un produktus, kas ir pienācīgi aizsargāti pret neatļautu piekļūšanu un izmaiņām.

 

Ir izvērtēta informācijas resursu konfidencialitāte, integritāte un pieejamība. Pēc konfidencialitātes, integritātes un pieejamības pakāpes noteikšanas katram no informācijas resursiem, tos grupē atbilstoši klasifikācijas kategorijām. Klasifikācijas kategorija nosaka drošības pasākumus attiecībā uz konkrēto resursu.

Ir noteikta tehnisko resursu klasifikācija, kas nosaka konkrētā resursa nozīmību SPS darbības uzturēšanā. Visi SPS IS tehniskie resursi tiek iegādāti, ekspluatēti un aizsargāti, vadoties no prasībām un nosacījumiem, kas izriet no tiem piešķirtās klasifikācijas kategorijas.

Lai nodrošinātu SPS darbības drošumu un izpildītu EDL prasības, visi SPS organizācijas darbinieki tiek īpaši izvērtēti. Tiek novērtētas ne tikai nepieciešamās speciālās zināšanas, bet tiek arī pārbaudīts vai persona nav sodīta pat tīšu noziedzīgu nodarījumu izdarīšanu. Pārbaudes tiek veiktas pirms darba līguma noslēgšanas, kā arī regulāri darba līguma darbības laikā.[11]

Par iepazīšanos ar drošības dokumentiem, IS lietotāji paraksta ievērošanas apliecinājumu.

Lai realizētu SPS drošības pārvaldību regulāri tiek veikti SPS IS audits[12]. Audita principi un termiņi ir noteikti audita plānā.

Izstrādātā iekšējā dokumentācija aptver visas drošības kontroles kategorijas:

¨       Preventīvā kontrole;

¨       Detektīvā kontrole;

¨       Korektīvā kontrole.

Drošības pasākumu ieviešana un uzturēšana notiek saskaņā ar izstrādāto plānu. SPS IS drošības pasākumu ieviešanas un attīstības plāna mērķis ir reglamentēt norises, vadoties no standarta ISO/IEC 13335-3[13] nostādnēm, kas nepieciešams SPS drošības pārvaldības ieviešanai un informācijas aprites drošības uzturēšanai SPS IS saskaņā ar Latvijas Republikas normatīvo aktu un SPS iekšējo IS drošību reglamentējošo dokumentu prasībām.

Visas darbības notiek saskaņā ar drošības pamatprincipiem:

¨       Duālā kontrole – visas kritiskās darbības tiek kontrolētas divos līmeņos, lai nodrošinātu izpildes pareizību;

¨       “Zina tikai tas, kam jāzina” – informācija ir pieejama tikai tām personām, kurām tā ir nepieciešama savu darba pienākumu pildīšanai. Informācijas aprite tiek kontrolēta;

¨       „Viss, kas nav atļauts – ir aizliegts” - ja atļauja darbībai ar konkrēto SPS IS resursu vai tā daļu nav skaidri un nepārprotami noteikta, tad šāda darbība ir aizliegta;

¨       Pienākumu sadale - izpildes un kontroles funkcijas tiek sadalītas starp dažādiem darbiniekiem;

 

¨       Tīra galda un tīra ekrāna politika - ir aizliegts atstāt jebkādu informāciju tā, lai to varētu redzēt nepiederošās personas (uz datora monitora ekrāna, uz galda un t.t.).

 

3.      Atbilstība normatīvajiem aktiem un standartiem

SPS organizācijas darbību regulē iekšējā dokumentācija, kas ir balstīta uz Latvijas Republikas normatīvo aktu prasībām:

¨       Elektronisko dokumentu likums[14]

¨       Fizisko personu datu aizsardzības likums[15]

¨       MK noteikumi Nr 514 „Noteikumi par tehniskajām un organizatoriskajām prasībām, kādām atbilst kvalificēts sertifikāts, uzticams sertifikācijas pakalpojumu sniedzējs, droši elektroniskā paraksta radīšanas līdzekļi, kā arī kārtību, kādā veicama droša elektroniskā paraksta verificēšana”[16]

¨       MK noteikumi Nr 358 „Sertifikācijas pakalpojumu sniegšanas informācijas sistēmu, iekārtu un procedūru drošības pārbaudes kārtība un termiņi”[17]

Kā arī SPS drošību nodrošina atbilstība starptautiskajiem standartiem:

¨       LVS ISO/IEC 17799:2005 „Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai”[18]. Atbilst sekojošām standarta sadaļām:

o        Risku novērtēšana

o        Drošības politika

o        Informācijas drošības organizēšana

o        Resursu pārvaldība

o        Cilvēkresursu drošība

o        Fiziskā drošība

o        Komunikāciju un darbību pārvaldība

o        Piekļuves kontrole

o        IS izstrāde, ieviešana, uzturēšana

o        IS incidentu pārvaldība

o        Darbības nepārtrauktības plāns

o        Atbilstība

¨       LVS ISO/IEC TR13335-1, 2, 3 „Informācijas tehnoloģija. Vadlīnijas informācijas tehnoloģijas pārvaldīšanai”[19] Atbilst sekojošām standarta sadaļām:

o        IT drošības mērķi, stratēģijas un politika

o        Riska analīzes stratēģijas nosacījumi

o        Kombinētā pieeja

o        IT drošības plāna izpilde

o        Papildus pasākumi

¨       LVS ISO/IEC 12207 „Informācijas tehnoloģija. Programmatūras dzīves cikla procesi”[20] Atbilst sekojošām standarta sadaļām:

o        Primārie dzīves cikla procesi

o        Atbalsta dzīves cikla procesi

o        Organizatoriskie dzīves cikla procesi

Kā arī SPS IS, iekārtas un procedūras atbilst:

¨       ETSI TS 101 456 „Politikas prasības sertifikācijas pakalpojumu sniedzējam, kas izsniedz kvalificētos sertifikātus”[21]

¨       ETSI TC 102 023 „Politikas prasības laika zīmoga pakalpojumu sniedzējiem”[22]

 

Saskaņā ar Elektronisko dokumentu likuma prasībām, ir veikta sertifikācijas pakalpojumu sniegšanas informācijas sistēmu, iekārtu un procedūru drošības pārbaude un ir saņemts eksperta slēdziens.

4.      Drošības pasākumi attiecībā uz IS drošību

SPS IS drošības pārvaldība ir organizēta, ietverot sekojošas drošības kontroles jomas:

§         Organizācijas drošības politika

§         IS drošības pārvaldības organizatoriskā struktūra

§         Informācijas un tehnisko resursu klasifikācija

§         SPS Personāls

§         SPS IS fiziskā un vides drošība

§         SPS pakalpojumu pārvaldība un komunicēšanās ar klientiem

§         Piekļuves kontrole

§         Sertifikācijas pakalpojumu sniegšanas tehniskais risinājums un tā uzturēšana

§         SPS IS darbības nepārtrauktības pārvaldība

§         SPS kā uzticama sertifikācijas pakalpojumu sniedzēja atbilstība Latvijas Republikas Elektronisko dokumentu likuma prasībām

Drošības norišu kontrolei un vadībai, SPS organizācijas ietvaros, ir norīkota SPS Drošības amatpersona.

SPS Drošības amatpersona ir atbildīga par SPS informācijas sistēmas drošības stāvokli, nepieciešamo drošības stāvokļa uzlabošanas pasākumu organizēšanu un regulāru atskaišu sniegšanu SP Vadītājam par drošības incidentiem, riskiem un drošības stāvokļa uzlabošanas plāniem.

 

Informācijas sistēmas drošības uzturēšanai ir noteiktas trīs atbildības kategorijas drošības jomā:

¨       Informācijas/tehnisko resursu turētājs;

¨       Informācijas/tehnisko resursu administrators;

¨       Informācijas/tehnisko resursu lietotājs;

Resursu turētāji ir atbildīgi par to pārvaldībā nodoto resursu un to daļu pieejamību, funkcionalitāti un saglabāšanu atbilstoši Latvijas normatīvajiem aktiem un šiem Noteikumiem.

Resursu administratori ir personas, kuras realizē SPS IS resursu uzturēšanu saskaņā ar šī resursa ekspluatācijas nosacījumiem, tehniskajām normām un drošības prasībām.

SPS IS lietotāji ir personas, kuras parakstījušas “SPS drošības noteikumu lietotājiem ievērošanas apliecinājumu”, kā arī fiziskas vai juridiskas personas, ar kurām noslēgts līgums, kas paredz lietotāja tiesību piešķiršanu un kurā iekļautas saistības par SPS  informācijas konfidencialitātes saglabāšanu.

Lai nodrošinātu SPS IS drošību, visiem SPS IS lietotājiem ir jāiziet apmācība un regulāras papildus instruktāžas SPS drošības jautājumos. Par SPS IS lietotāju apmācību ir atbildīga SPS Drošības amatpersona. Apmācības notiek pēc iepriekš noteikta plāna.

 

5.      Drošības pasākumi attiecība uz iekārtu drošību

Visi tehniskie resursi ir klasificēti, nosakot to nozīmību komercdarbības uzturēšanā un sagrupēti, piešķirot atbilstošas klasifikācijas kategorijas, lai nodrošinātu katrai klasifikācijas kategorijai atbilstošu drošības līmeni.

Ir noteikti atbildīgie (resursa turētāji) par katra tehniskā resursa drošību un ekspluatāciju.

Piekļuve konkrētam tehniskam resursam ir atļauta tikai ar resursa turētāja piekrišanu.

Ir noteikts klasifikācijas kategorijas piešķiršanas termiņš.

Darbības ar iekārtām ir strikti reglamentētas.

Atkarībā no klasifikācijas kategorijas, ir izstrādāti noteikumi resursu glabāšanai, drošai iznīcināšanai, ekspluatācijai.

Visas izmaiņas SPS IS tehnisko resursu sastāvā, slēgumā vai konfigurācijā tiek reģistrētas, norādot veikto izmaiņu raksturu, laiku un personu, kas šīs izmaiņas veikusi.

 

Ir noteikti pasākumi tehnisko resursu fiziskās drošības nodrošinājumam[23].

 

6.      Drošības pasākumi attiecībā uz procedūru drošību

Visas procedūras ir dokumentētas. Darbinieki tiek iepazīstināti ar attiecīgajiem dokumentiem.

Procedūras ir izstrādātas saskaņā ar Latvijas Republikas normatīvajiem aktiem un starptautiskajiem standartiem.

SPS drošas, nepārtrauktas un kvalitatīvas darbības nodrošināšanai, darbiniekiem tiek piešķirtas lomas.

Loma ir konkrētai personai piesaistīts profesionāls pienākums, kas nepieciešams, lai SPS institūcija pildītu tai paredzētos uzdevumus.

Dažas no piešķirtām lomām ir uzskatāmas par uzticības lomām[24].

Uzticības lomas paredz dažādu SPS kritisko darbību veikšanu. Šīs lomas tiek piešķirtas ar SPS vadības rīkojumu un tikai personām, kuras izgājušas atsevišķu pārbaudi, kurām var uzticēt veikt no drošības viedokļa sensitīvas darbības.

Sertifikācijas pakalpojumu sniedzēja izstrādātie iekšējie dokumenti, uz kuru pamata tiek veiktas procedūras, nodrošina fizisko personu datu aizsardzību un indivīda tiesības uz privātās dzīves neaizskaramību[25].

Paraksta pārbaudes dati, paraksta radīšanas dati un kvalificēts sertifikāts, ar kuru tiek viedots paraksts, atrodas uz viedkartes un ir aizsargāts ar PIN.

Ir aprakstīta SPS pakalpojumu struktūra, reglamentēti publisko atslēgu infrastruktūras komponenšu (atslēgu, sertifikātu, viedkaršu un citu kriptogrāfisko iekārtu)  funkcionēšanas cikli. 

Visas darbības ar HSM iekārtām, SI un klientu PKI atslēgām, sertifikātiem tiek kontrolētas un reģistrētas.

 

7.      Atjaunošanas plāns

Lai nodrošinātu sertifikācijas pakalpojumu sniegšanas nepārtrauktu darbību, ir izstrādātas vairākas darbības nepārtrauktības procedūras, instrukcijas, noteikumi.

Šie dokumenti apraksta SPS nepārtrauktas darbības uzturēšanas pamatnosacījumus un pasākumus, kas nodrošinātu SPS tiešo un netiešo zaudējumu minimizēšanu kriptogrāfisku problēmu, līgumsaistību pārtraukšanas problēmu, resursu nefunkcionēšanas problēmu un katastrofu situāciju gadījumā.

SPS darbības nepārtrauktības plānā ir norādītas darbības un to secība, lai:

¨       nodrošinātu IS darbības pārtraukumiem adekvātas atbildes reakcijas;

¨       minimizētu IS darbības pārtraukumu laiku un iespējamos zaudējumus;

¨       atjaunotu IS funkcionalitāti, savlaicīgi paredzot tam nepieciešamos resursus.

 

Darbības nepārtrauktības plāna uzturēšanai ir izveidota DNP koordinācijas grupa un iecelts atbildīgais par DNP pārvaldību.

 

8.      Atsauces