Pakalpojums ietvaros Valsts reģionālās attīstības aģentūra (VRAA) nodrošina pakalpojumu saņēmējam IT procesu uzraudzību un pārvaldību ar mērķi nodrošināt pakalpojuma saņēmēja turējumā esošās informācijas pieejamību, integritāti un konfidencialitāti.
Šo pakalpojumu ieteicams izmantot publiskā sektora iestādēm, kas vēlas koncentrēties uz pamatdarbības jautājumiem un vienlaikus saņemt kompetentus un kvalitatīvus IT pakalpojumus.
Pakalpojumu var saņemt:
- Vides aizsardzības un reģionālās attīstības ministrijas (VARAM) resora iestādes, balstoties uz VARAM rīkojuma Nr. 317 6. punktu “VRAA IS drošības pārvaldības nodaļas vadītājs nodrošina VARAM un padotības iestāžu IT drošības pārvaldības metodisko vadību” un 9.2. punkta 6. apakšpunktu “VRAA iekļauj IT pakalpojumu katalogā un nodrošina IT pakalpojumus vismaz šādās jomās: .. IT drošības pārvaldību, kā arī IT drošības pārvaldības funkciju iestādēs (2018.19.02 rīkojuma Nr 1-2/31 redakcijā)”;
- valsts un pašvaldību institūcijas, kā arī informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji, noslēdzot ārpakalpojuma līgumu ar VRAA.
Pakalpojuma informācija
Informācijas drošības pārvaldības pakalpojums ietver procesus un darbības, kas ir paredzētas Ministru kabineta 04.08.2015. noteikumos Nr. 442 un citos LR normatīvajos aktos attiecībā uz IT drošību. Pakalpojums tiek nodrošināts, ievērojot informācijas drošības pārvaldības standarta ISO 27001:2013 prasības.
Pakalpojums ietver šādus apakšpakalpojumus:
- Informācijas drošības pārvaldības metodiskais atbalsts
- Normatīvajos aktos paredzēto Informācijas drošības pārvaldnieka funkciju izpilde
- Pakalpojuma saņēmēja publiski eksponētu tīmekļa vietņu darbībai nepieciešamo SSL/TLS (x.509) sertifikātu pārvaldība
- Ielaušanās (drošības) auditu iegādes, norises un ieteikumu izpildes atbalsts un uzraudzība.
Iestāde, kura slēdz līgumu par pakalpojuma izmantošanu, izvēlas, kurus apakšpakalpojumus tā izmantos.
Informācijas drošības pārvaldības metodiskais atbalsts
Apakšpakalpojuma ietvaros VRAA:
- sniedz atbalstu drošības pārvaldības normatīvo aktu izstrādē, izvērtējot esošo IT dokumentāciju un veidojot vienotu, konceptuāli sasaistītu dokumentu struktūru;
- organizē un veic drošības pārvaldības apmācības;
- veic IT drošības pasākumu metodisko uzraudzību, kā arī sniedz konsultācijas un ieteikumus.
Normatīvajos aktos paredzēto Informācijas drošības pārvaldnieka funkciju izpilde
Apakšpakalpojuma ietvaros tiek veikta:
- dalība ar IKT pakalpojumu pārvaldību saistīto normatīvo aktu un metodisko dokumentu izstrādē, ieviešanā un ievērošanas kontrolē;
- IS drošības pasākumu īstenošana, ievērojot normatīvajos aktos noteiktās prasības, šo pasākumu organizācija un vadība;
- atbalsta sniegšana padotības iestāžu struktūrvienībām IS un IT infrastruktūras risinājumu ar drošību saistīto pasākumu īstenošanā (VARAM resora iestādēm);
- IS drošības incidentu atklāšanas, izpētes, novēršanas, izziņošanas un dokumentēšanas nodrošināšana;
- IS drošības risku novērtēšanas, analīzes, drošības risku mazinošo pasākumu plānu sagatavošanas un izpildes kontroles organizācija un veikšana;
- IS noteiktā drošības režīma pārvaldības nodrošināšana;
- dalība ar IS izstrādi un ekspluatāciju saistīto projektu izvērtēšanā, uzraudzībā un realizācijā;
- izmaiņu uzraudzība IS drošības jomā, izvērtējot to iespējamo ietekmi uz iestādes darbību.
Pakalpojums neietver:
- izstrādāto dokumentu apstiprināšanas organizāciju;
- pakalpojuma saņēmēja sasniedzamības nodrošināšanu attiecībā uz trešajām pusēm drošības jautājumos;
- uzraudzības un kontroles funkciju (audita darbību) izpildi.
Pakalpojuma saņēmēja publiski eksponētu tīmekļa vietņu darbībai nepieciešamo SSL/TLS (x.509) sertifikātu pārvaldība
Pakalpojums tiek nodrošināts tikai VARAM resora iestādēm attiecibā uz sistēmām, kuru uzturēšana ir deleģēta VRAA. Pakalpojuma ietvaros VRAA veic publiski eksponētu tīmekļa vietņu SSL sertifikātu iegādi, drošības parametru uzraudzību, kā arī atjaunināšanu, kas ietver šādas darbības:
- nepieciešamā (ieteicamā) SSL sertifikāta veida izvēle (rekomendācija);
- iegādes izdevumu iekļaušana VRAA IS drošības nodaļas budžetā,
- SSL sertifikāta iegāde un uzstādīšanas atbalsts;
- SSL sesiju parametru kontrole;
- SSL sertifikātu derīguma termiņu uzraudzība;
- EV SSL sertifikātu gadījumā juridisko formalitāšu pavadība un atbalsts.
Ielaušanās (drošības) auditu iegādes, norises un ieteikumu izpildes atbalsts un uzraudzība
Apakšpakalpojuma ietvaros veicamās darbības nosaka līgumā.
Izmantošanas nosacījumi un sadarbības uzsākšanas procedūra
Nosacījumi
Iestādei jābūt a) VARAM resora iestādei, b) jānoslēdz līgums ar VRAA par pakalpojumu.
Iestāde nosaka ekspertu sadarbībai ar VRAA drošības pakalpojuma ietvaros un paziņo to VRAA uz e-pasta adresi ISDPN@vraa.gov.lv. Ekspertam ir jāpārzina iestādes biznesa procesi un jāzina par tiem atbildīgās personas, kā arī jāpārzina iestādes izmantotie IT rīki. Ekspertam jābūt attālināti sasniedzamam drošības incidentu gadījumos. Resora iestādēm ekspertu iecelšanas kārtība noteikta ar rīkojumu.
Procedūra
Konkrētu darbību pakalpojuma ietvaros pieprasa iestādes eksperts, nosūtot e-pastu uz adresi ISDPN@vraa.gov.lv.
Konsultatīvo atbalstu var pieprasīt jebkurš iestādes darbinieks, nosūtot e-pastu uz minēto adresi.
Nodrošināmais servisa līmenis (SLA)
Pakalpojums tiek sniegts VRAA darba laikā.
Drošības incidentu novēršana tiek veikta 24 x 7 režīmā.
Atbilde uz konsultācijas pieprasījumu e-pastā tiek sniegta 2 darba dienu laikā.
Novērtē IT pakalpojumu
Sniedziet savu ieguldījumu IT pakalpojuma novērtēšanā, aizpildot aptaujas anketu.