Informācijas tehnoloģiju drošības un lietošanas noteikumi

LU.informacijas.tehnologiju.drosibas.parvaldiba.pdf (3,5 MB)

1. Latvijas Universitātes informācijas tehnoloģiju drošības politika
2. Latvijas Universitātes informācijas tehnoloģiju drošības noteikumi
3. Latvijas Universitātes Informācijas tehnoloģiju lietošanas noteikumi

Latvijas Universitātes Informācijas tehnoloģiju drošības politika

I. Vispārīgie jautājumi

1. Lai noteiktu organizācijas informācijas sistēmu drošības principus, ir noteikta kopēja Latvijas Universitātes (turpmāk – LU) informācijas tehnoloģiju (turpmāk – IT) drošības politika, kas aptver esošās informācijas sistēmas, nosakot atbildīgos IT drošības jomā, un pauž LU vadības nostāju, kāpēc organizācijas rīcībā esošā informācija ir svarīga tās mērķu īstenošanai un kā tiek nodrošināta informācijas un tehnisko resursu aizsardzība.
2. IT drošības politikas uzdevums ir definēt LU vadības nostāju un atbalstu informācijas drošības nodrošināšanai atbilstoši LU vajadzībām, spēkā esošajiem normatīvajiem aktiem un drošības normām.
3. IT drošības politikas nostādnes tiek noteiktas atbilstoši LU mērķiem un stratēģijai.
4.IT drošības politika ieņem centrālo vietu LU IT drošības organizēšanā, un no tās izriet visi ar IT drošību saistītie noteikumi, kārtības, procedūras, plāni un rīkojumi. IT drošības politikas nostādnes ir jāzina ikvienam LU darbiniekam.

II. IT drošības politikas pamatnostādnes

5.LU IT drošības politika (turpmāk – drošības politika) ir izstrādāta un tiek īstenota saskaņā ar LU darbības mērķiem un uzdevumiem, Latvijas Republikā spēkā esošajiem normatīvajiem aktiem, kā arī ņemot vērā starptautisko IT drošības standartu rekomendācijas.
6.Drošības politika ir izstrādāta ar mērķi nodrošināt tādu IT vidi, lai LU informācijas un tehniskie resursi būtu aizsargāti pret ārējiem un iekšējiem drošības riskiem un vienlaikus nodrošinātu LU nepārtrauktu un kvalitatīvu darbību atbilstoši normatīvajos aktos noteiktajām funkcijām.
7.Drošības politika nosaka galvenos drošības pamatnosacījumus IT videi un kārtību informācijas un tehnoloģisko resursu aizsardzības nodrošināšanai LU.
8.Drošības politika ir saistoša visiem LU darbiniekiem, kā arī tiem ārpakalpojumu sniedzējiem, kuri LU sniedz ar IT saistītus pakalpojumus.

III. Drošības politikas īstenošanas pamatprincipi

9.LU ir noteikts un pastāvīgi tiek pilnveidots dokumentu un pasākumu kopums, kura īstenošana nodrošina drošības politikas mērķu sasniegšanu.
10.Risku ierobežošanas un darbības nepārtrauktības nodrošināšanas izmaksas ir samērojamas ar iespējamiem zaudējumiem, kas varētu rasties šo risku īstenošanās vai LU darbības pārtraukšanas gadījumos.
11.LU tiek sekmēta katra darbinieka izpratne par pienākumiem risku un darbības nepārtrauktības pārvaldīšanā un informācijas un tehnoloģisko resursu aizsardzības nodrošināšanā, veicot LU darbinieku regulāru izglītošanu.
12.LU tiek nodrošināta pastāvīga drošības politikas īstenošanas koordinēšana un pārraudzīšana.
13.Gadījumos, kad LU darbinieki neievēro IT drošības politikas izvirzītās prasības, LU vadība var ierosināt disciplinārās sodīšanas procesu saskaņā ar spēkā esošajiem normatīvajiem aktiem.

IV. Drošības organizēšana

14.Resursu turētājs. LU vadība kopumā ir atbildīga par informācijas drošības politikas īstenošanu, t.sk. par IT drošības organizēšanas izveidi un atbildības noteikšanu, kontroles noteikšanu un adekvātu resursu piešķiršanu IT drošības organizēšanas pilnvērtīgai funkcionēšanai. LU vadība norīko IT resursu turētāju.
15.IT drošības pārvaldnieks. Lai nodrošinātu konkrētu drošības pasākumu īstenošanu un koordināciju kopumā, LU vadība norīko IT drošības pārvaldnieku, kurš ir tieši pakļauts viņam. IT drošības pārvaldnieks ir atbildīgs par risku analīzes veikšanu, nepieciešamo IT drošības normatīvās bāzes uzturēšanu un īstenošanu, noteikto drošības prasību ievērošanas uzraudzību, IT drošības incidentu izmeklēšanu un darbinieku apmācību IT drošības jomā.
16.Resursu administrators. Lai nodrošinātu drošības pasākumu tehnisko īstenošanu, LU vadība vai resursu turētājs norīko resursu administratoru.
17.Informācijas lietotājs. Informācijas lietotājs ir atbildīgs par visām darbībām, kuras ir veiktas ar viņa lietotāja vārdu. Lietotāja pienākums ir informēt resursu administratoru un/vai LU IT servisu par visiem IT drošības incidentiem un aizdomīgiem notikumiem.

V. Resursu piederība

18.Visi informācijas un tehnoloģiskie resursi pieder LU. Tomēr atbildības nodrošināšanas un uzskaitāmības nolūkos visiem informācijas resursiem LU vadība rakstiskā formā norīko resursu turētājus un/vai resursu administratorus.

Latvijas Universitātes Informācijas tehnoloģiju drošības noteikumi

I. Vispārīgie jautājumi

1.Latvijas Universitātes (turpmāk – LU) Informācijas tehnoloģiju (turpmāk – IT) drošības noteikumi (turpmāk – noteikumi) izstrādāti saskaņā ar Informācijas tehnoloģiju drošības likumu.
2.Noteikumi nosaka kārtību, kādā LU nodrošina tai piederošo informācijas un tehnisko resursu (turpmāk – resursi) aizsardzību.
3.Noteikumi ietver minimālās prasības. Informācijas sistēmas resursu turētājs var noteikt stingrākus drošības pasākumus.
4.Noteikumu mērķis ir:
4.1.apliecināt LU vadības apņemšanos nodrošināt resursu drošību, lai uzturētu to integritāti, pieejamību un konfidencialitāti;
4.2.nodrošināt vienādu un sistemātisku pieeju informācijas tehnoloģiju drošības jautājumu risināšanai visā LU;
4.3.panākt LU darbinieku izpratni par informācijas tehnoloģiju drošības jautājumiem;
4.4.būt par pamatu procedūru, instrukciju un citu nepieciešamo drošības dokumentu izstrādē un ieviešanā.
5.Noteikumu ievērošana ir obligāta visiem LU IT resursu lietotājiem.

II. Noteikumos lietotie termini

6.Informācijas resursi – dažādu informācijas sistēmu sistēmprogrammas, sistēmu un datu faili un cita informācija, ko izmanto informācijas apstrādei, pārraidei, glabāšanai un citu funkciju veikšanai.
7.Tehniskie resursi – serveri, tīkla aparatūra, komunikāciju līnijas un citi tehniskie līdzekļi, ko izmanto informācijas apstrādei, pārraidei un glabāšanai.
8.Resursu turētājs – LU rektors vai ar LU rīkojumu iecelts darbinieks, kurš ir atbildīgs par IT drošības pārvaldību.
9.IT drošības pārvaldnieks – ar LU rīkojumu iecelts darbinieks vai ārpakalpojumu sniedzējs, kurš nodrošina IT drošības pārvaldību (likuma izpratnē atbildīgā persona).
10.Resursu administrators – resursu turētāja vai ārpakalpojumu sniedzēja norīkota persona, kura ir atbildīga par resursu funkcionēšanu un/vai saturu.
11.Resursu lietotājs – LU darbinieks vai studējošais, kurš izpilda noteiktus pienākumus un apstrādā noteiktu informāciju atbilstoši piešķirtām tiesībām lietot noteiktus informācijas resursus.
12.Informācijas integritāte – raksturo, cik lielā mērā informācija ir pilnīga, patiesa, precīza un aktuāla.
13.Informācijas pieejamība – raksturo, vai lietotāji var piekļūt nepieciešamajai informācijai ne vēlāk kā noteiktā laikā pēc informācijas pieprasīšanas brīža.
14.Informācijas konfidencialitāte – raksturo, cik lielā mērā informācija ir pieejama tikai šīs informācijas saņemšanai paredzētajiem lietotājiem.
15.Informācijas vērtība – informācijas nozīmīgums iestādes funkciju veikšanai.
16.Drošības incidents – kaitīgs notikums vai nodarījums, kas apdraud informācijas resursu integritāti, pieejamību vai konfidencialitāti.
17.Auditācijas pieraksti – analīzei pieejams resursu veikto darbību (piekļūšana, datu ievade, mainīšana, dzēšana, izvade) atspoguļojums elektroniskas informācijas veidā.
18.Drošības dokumenti – dokumentu kopums, kas apraksta iestādes resursu lietošanas kārtību.
19.Risku pārvaldīšana – informācijas sistēmu risku identificēšana, novērtēšana, samazināšana un kontrolēšana, kuras ietvaros tiek veikta informācijas sistēmu risku ierobežošana līdz iestādei pieņemamam līmenim.
20.Ārpakalpojuma sniedzējs – trešā persona, kas uz līguma pamata nodrošina iestādes IT drošības pārvaldību vai citas funkcijas.

III. Resursu pārvaldība

21.LU vadība norīko IT drošības pārvaldnieku, kura pienākumi ir:
21.1.organizēt iestādes IT drošības noteikumu izstrādi;
21.2.nodrošināt izmaiņu pārvaldību;
21.3.uzturēt aktuālās izmaiņas drošības dokumentos.
22.LU vadība vai resursu turētājs. apstiprina visiem vai atsevišķiem resursiem resursu administratoru, kura pienākumi ir:
22.1.nodrošināt resursu normālu (pareizu) darbību;
22.2.nodrošināt resursu lietotāju pārvaldību;
22.3.pildīt citus iestādes IT drošības noteikumos uzliktos pienākumus;
22.4.kopā ar resursu turētāju un/vai IT drošības pārvaldnieku veikt risku aktualizāciju.

IV. Fiziskā resursu aizsardzība

23.LU Informācijas tehnoloģiju departaments (turpmāk – ITD) tā direktora vadībā risku pārvaldības ietvaros veic IT fiziskās aizsardzības pasākumus, kas aizsargā tās no nevēlamiem apkārtējās vides faktoriem (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem faktoriem (neatbilstoša elektroenerģijas piegāde u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.).

V. Serveru fiziskā aizsardzība

24.LU ITD nodrošina, ka visi serveri tiek ekspluatēti slēdzamās telpās ar ierobežotu pieejamību, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi, vai arī nodrošina serveru fizisko aizsardzību, lai tos nevarētu izslēgt, pārvietot, bojāt un nesankcionēti mainīt to konfigurāciju. Serveru telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība.
25.Nepiederošas personas, t.sk. ārējie pakalpojumu sniedzēji, serveru telpās drīkst uzturēties tikai pilnvarotu personu pavadībā.
26.Serveru telpām ir ierobežota fiziska piekļuve. Tiesības piekļūt serveru telpām nosaka IT drošības pārvaldnieks, uzturot pilnvaroto personu sarakstu. Sarakstā iekļaujamas tikai tās personas, kam nepieciešama fiziska piekļuve serveriem.
27.Piekļuve serveru telpām tiek kontrolēta ar kodu atslēgām.
28.Iekļūšana telpās tiek reģistrēta piekļuves kontroles sistēmas audita pierakstos, kurus uztur LU Saimniecības pārvaldes norīkots darbinieks.
29.Atstājot serveru telpas, pilnvarotajām personām jāpārliecinās, ka durvis un logi ir cieši aizvērti.
30.Sistēmu uzturot, resursu administratoram ir jāseko IT resursa izstrādātāja vai ražotāja izvirzīto prasību ievērošanai, piemēram, nodrošinot pietiekamu atmiņas un diska apjomu, atbilstošu temperatūru un gaisa mitrumu serveru telpās.
31.Atkarībā no iespējamo zaudējumu apmēriem LU ITD nodrošina serveru un serveru telpu pietiekamu aizsardzību pret fiziskiem apdraudējumiem (t.sk. neatbilstošiem klimatiskajiem apstākļiem, ugunsgrēku, plūdiem, elektroenerģijas piegādes pārtraukumiem, tīšiem bojājumiem), nepieciešamības gadījumā ierīkojot ugunsdzēsības signalizāciju, automātiskās ugunsdzēšanas sistēmu, uzstādot alternatīvās strāvas piegādes iekārtas un gaisa dzesēšanas iekārtas.

VI. Tīklu infrastruktūra

32.LU ITD nodrošina pietiekamu fizisko aizsardzību tīkla aparatūrai un kabeļiem, tos izvietojot tādējādi, lai tiem nevarētu nesankcionēti, nemanīti vai aiz nejaušības piekļūt, pieslēgties vai kā citādi bojāt.
VII. Darbstaciju fiziskā aizsardzība
33.LU ITD direktors sadarbībā ar LU direktoru nodrošina resursu administratora darba vietu ierobežotas pieejamības telpās.
34.Darbstacijas lieto atbilstoši ražotāja noteiktajām prasībām.
35.Lietot elektroenerģijas nepārtrauktas piegādes iekārtas, ja elektroenerģijas piegādes traucējumu radītais risks ir nepieņemami liels.

VIII. Portatīvo iekārtu fiziskā aizsardzība

36.Portatīvos datorus lieto atbilstoši ražotāja noteiktajām prasībām.
37.LU ITD veic portatīvo iekārtu aprites reģistrēšanu, lai noteiktu, kura persona lieto attiecīgo iekārtu.

IX. Datu nesēju fiziskā aizsardzība

38.Datu nesējus, kas satur informācijas resursus, lietot un pārvietot bez īpaša laika ierobežojuma drīkst tikai LU resursu turētāja pilnvaroti darbinieki, kuriem ir pieeja informācijas resursiem. Informācijas resursi, kurus nav nepieciešams lietot vai pārvietot, tiek glabāti LU telpās tam paredzētās vietās. Ja ir nepieciešams iznīcināt datu nesējus, to iznīcināšanu uzrauga vai nodrošina IT drošības pārvaldnieks.
39.Datu nesēju aizsardzības ietvaros LU resursu administrators veic datu ievada un izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu lietošanu.
40.Resursu lietotājiem datu nesējus ar klasificētiem informācijas resursiem aizliegts atstāt nedrošās, publiski pieejamās vietās.
41.Ja datu nesēju, kas satur klasificētus informācijas resursus, ir paredzēts iznīcināt, tad to izdara tādā veidā, lai nebūtu iespējams veikt uz tā esošo datu atjaunošanu.

X. Klasificētie resursi

42.Nepieciešamības gadījumā LU ITD veic papildu fiziskās aizsardzības pasākumus atkarībā no resursu klasifikācijas.
43.LU ITD sistemātiski veic informācijas sistēmas fiziskās aizsardzības pasākumus, nepieļaujot situāciju, ka informācijas resursi atrastos ārpus ierobežotas pieejamības telpām bez resursu turētāja pilnvarotu LU darbinieku uzraudzības.
44.LU ITD regulāri veic fiziskās aizsardzības pasākumu pārbaudi.

XI. Piekļuves kontrole

45.Katram resursu lietotājam tiek piešķirts lietotāja vārds un parole, kā arī noteiktas piekļuves tiesības. Lietotājs ir atbildīgs par piešķirtā lietotāja vārda un paroles lietošanu, saglabāšanu un neizpaušanu.
46.IT drošības pārvaldnieks kopā ar resursu turētāju klasificē IT resursus atbilstoši LU IT resursu klasifikācijai un fiksē to IT resursu klasifikācijas tabulā.
47.Resursu turētājs apstiprina piekļuves tiesības. Balstoties uz resursu turētāja norādījumu, resursu administrators izveido piekļuvi lietotājam visās norādījumā uzskaitītajās informācijas sistēmās.
48.Resursu turētajam vai tā pilnvarotai personai ir jāinformē resursu administratori par tiem darbiniekiem un studējošajiem, kuri pārtrauc darba vai studiju attiecības ar LU. Resursu administrators pēc šīs informācijas saņemšanas nekavējoties anulē visas attiecīgā lietotāja piekļuves tiesības LU informācijas sistēmas resursiem.
49.Lietotājs ir atbildīgs par darbībām, kas tiek veiktas, izmantojot viņa lietotāja vārdu. Lietotāja autentiskumu nosaka, lai pārliecinātos, ka lietotāja vārda izmantotājs ir sankcionētais tā turētājs. Autentiskuma noteikšanai tiek izmantotas paroles. Pēc lietotāja vārda un paroles ievadīšanas lietotājs var izmantot informācijas resursu atbilstoši noteiktajām piekļuves tiesībām.
50.Par paroli nedrīkst izmantot personu identificējošus datus (piemēram, personas datus, automašīnas numuru, radu vārdus vai uzvārdus, vārdus, kas saistīti ar darbavietu vai kas bieži tiek tajā lietoti).
51.Lietotāji paši ir atbildīgi par savu paroļu drošu glabāšanu.
52.Lietotājam pirmo reizi autorizējoties sistēmās, parole ir jānomaina.
53.Par paroli jāizvēlas pietiekami sarežģīta simbolu kombinācija. Paroles garumam resursiem, kas klasificēti ar informācijas konfidencialitātes līmeni K2, ir jābūt vismaz 8 (astoņiem) simboliem. Administratoru parolēm jābūt 10 (desmit) simbolu garām. Paroles garumam resursiem, kas klasificēti ar konfidencialitātes līmeni K3, ir jābūt vismaz 8 (astoņiem) simboliem. Administratoru parolēm jābūt 12 (divpadsmit) simbolu garām. Lietotāja vārdiem un parolēm starp konfidencialitātes līmeņiem K2 un K3 resursos ir jāatšķiras.
54.Lietotājam regulāri, ne retāk kā 1 (vienu) reizi gadā jāmaina lietošanas parole resursiem, kas klasificēti ar konfidencialitātes līmeni K2. Lietotājam regulāri, ne retāk kā 1 (vienu) reizi 3 (trīs) mēnešos jāmaina lietošanas parole resursiem, kas klasificēti ar konfidencialitātes līmeni K3. K3 konfidencialitātes līmeņa resursu administratoram ir jānodrošina automātisks paroles maiņas pieprasījums.
55.Lietotāju paroles uz serveriem var glabāt tikai šifrētā veidā.
56.Lietotājam parole ir jāiegaumē. Rakstiskā veidā paroles atļauts glabāt tikai aizslēgtā seifā ar ierobežotu pieeju vai izmantot speciāli šim nolūkam paredzētus rīkus.
57.Lietotājam ir aizliegts izpaust jebkuru piešķirto paroli, kā arī citu konfidenciālu informāciju, kas saistīta ar IT resursu izmantošanu. Par katru darbību, kas veikta datoru tīklā, datu bāzēs, kā arī citās informatīvās sistēmās, ir atbildīgs izmantotā lietotāja vārda un paroles īpašnieks.
58.Izmantojot LU IT resursus publiskās vietās, lietotajam ir jāpārliecinās, ka, beidzot darbu, sistēma ir pieejama tikai no jauna autentificējoties – lietotājam ievadot lietotāja vārdu un paroli.
59.Ja lietotājs konstatē, ka kāds cits ir uzzinājis viņa paroli, lietotājs to nekavējoties nomaina un par to nekavējoties ziņo resursu administratoram un/vai LU IT servisam.
60.Aizliegts mēģināt uzzināt citu lietotāju paroles.
61.Resursu administratoram, instalējot sistēmu, jānomaina noklusētās paroles.

XII. Datu rezerves kopiju veidošana

62.LU ITD regulāri veic svarīgāko koplietošanas informācijas resursu un programmatūru rezerves datu kopēšanu. Rezerves datu kopēšanu nodrošina resursu administrators, un to biežums un apjoms tiek saskaņots ar resursu turētāju.
63.Svarīgāko koplietošanas informācijas resursu un programmatūru rezerves kopijas tiek glabātas no datu apstrādes ģeogrāfiski nošķirtās vietās (dažādās ēkās), kam ir tāda pati aizsardzība kā datu centram, kurā atrodas resurss.
64.Vismaz reizi dienā tiek veidota inkrementālā dublējumkopija resursu datnēm. Resursu administrators pārbauda, ka rezerves kopiju veidošanas process ir beidzies sekmīgi.
65.Nodzēstu datu atjaunošana tiek nodrošināta vismaz 30 (trīsdesmit) dienas.
66.Reizi gadā resursa administrators pārbauda iespēju no rezerves kopijām atjaunot informācijas resursu datus.
67.Rezerves datu kopijas tiek glabātas tikai šim mērķim paredzētā datu nesējā.

XIII. Resursu loģiskā aizsardzība

Risku pārvaldības ietvaros
68.LU risku pārvaldības ietvaros:
68.1.resursu administrators veic informācijas resursu loģiskās aizsardzības pasākumus, dokumentē resursus un veic resursu lietotāju reģistrācijas, tiesību piešķiršanas un anulēšanas procedūras;
68.2.katram lietotājam piešķir unikālu lietotāja vārdu pieejai informācijas resursiem. Jauna lietotāja reģistrāciju veic saskaņā ar IT drošības politiku un LU IT drošības noteikumiem. Resursu lietotāju darba pienākumu vai studiju maiņas vai darba attiecību izbeigšanas gadījumā tiek nekavējoties mainīti vai anulēti piešķirtie lietotāja vārdi un pieejas tiesības informācijas resursiem;
68.3.resursu administratora pieejas vārdus kopā ar parolēm rakstiskā veidā var glabāt tikai aizslēgtā seifā ar ierobežotu pieeju vai izmantot speciāli šim nolūkam paredzētus rīkus;
68.4.resursu administrators atbilstoši resursu turētāja norādījumiem periodiski (vismaz reizi gadā) pārskata (auditē) lietotāju tiesības, lai nodrošinātu nevajadzīgu kontu anulēšanu vai tiesību maiņu, lai tikai autorizētiem lietotājiem ir piekļuve informācijas resursiem un lietotājiem ir piešķirtas tikai tās tiesības, kas nepieciešamas darba pienākumu pildīšanai.

Lietotāju autentiskuma noteikšanas ietvaros
69.Lietotāju autentiskuma noteikšanas ietvaros:
69.1.resursu administrators pārliecinās, ka attiecīgos informācijas resursus lieto pilnvarotais lietotāja vārda turētājs, izmantojot dažādus pietiekamas drošības autentifikācijas līdzekļus, kas var tikt pilnveidoti, mainīti un attīstīti;
69.2.autentifikācijas līdzekļu lietošanas veidus un kārtību nosaka IT drošības pārvaldnieks, bet tehniski nodrošina resursu administrators;
69.3.resursu lietotājam un administratoram par paroli jāizvēlas pietiekami sarežģīta simbolu kombinācija. Ievadot paroli, tā nedrīkst būt salasāma uz datora ekrāna. Paroles elektroniskajos nesējos glabā un pārsūta šifrētas. Paroli nekavējoties nomaina, ja tā varētu būt vai ir kļuvusi zināma citai personai.

Resursu lietošanas pārraudzības ietvaros
70.Informācijas sistēmu lietošanas pārraudzības ietvaros:
70.1.resursu administrators nodrošina, ka auditācijas pieraksti tiek veidoti par informācijas sistēmām, kas satur klasificētus informācijas resursus, un darbībām datortīklā, kurā ir pieeja informācijas sistēmām, kas satur klasificētus informācijas resursus. Auditācijas pierakstos iekļauj visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu datumu un laiku, kā arī lietotāja vārdu vai citu izmantoto autentifikācijas līdzekli;
70.2.auditācijas resursi tiek uzglabāti LU IT centrālajā auditācijas sistēmā vismaz 30 (trīsdesmit) dienas vai arī lokālajā tehniskajā resursā, nodrošinot auditācijas ierakstiem rezerves kopijas vismaz 30 (trīsdesmit) dienas;
70.3.resursu administrators nodrošina korektu sistēmas laiku, lai audita pierakstu dati būtu patiesi;
70.4.resursu administrators nodrošina auditācijas pierakstu integritāti un regulāri veido auditācijas pierakstu datu rezerves kopijas saskaņā ar šiem noteikumiem;
70.5.LU IT centrālajā auditācijas sistēmā auditācijas pierakstiem vienu reizi mēnesī izveido arhīva kopijas, kuras glabā vienu gadu;
70.6.resursu administrators regulāri pārrauga visu resursa sistēmu darbību, īpašu uzmanību pievēršot to resursu pārraudzībai, kas satur klasificētus informācijas resursus. Šim nolūkam resursu administrators pēc izvēles var lietot speciālas pārraudzības programmas vai iebrukumu noteikšanas sistēmas;
70.7.resursu administrators pārrauga vismaz šādus gadījumus:
70.7.1.mēģinājumi piekļūt informācijas resursiem, kuriem lietotājs nav pilnvarots piekļūt;
70.7.2.privileģēto lietotāja vārdu piešķiršana un lietošana;
70.7.3.nesankcionētas programmatūras konfigurācijas maiņa un neatļautas programmatūras uzstādīšana;
70.8.par auditācijas pierakstu analīzē atklātajiem incidentiem, iespējamajiem riskiem un to ietekmi resursu administrators ziņo IT drošības pārvaldniekam.

XIV. Vīrusu kontrole

71.Vīrusu kontrole informācijas resursos:
71.1.resursu administrators nosaka kārtību un veic pasākumus datorvīrusu darbības novēršanai informācijas sistēmās;
71.2.vīrusu darbības novēršanai lieto speciāli šim nolūkam paredzētu programmatūru. Vīrusu definīciju failus nekavējoties atjauno, tiklīdz izstrādātājs tos piedāvā;
71.3.resursu administrators regulāri veic antivīrusu programmas pārraudzību, lai pārliecinātos par tās darbību un jaunāko vīrusu definīciju failu esamību.

XV. Darbstaciju aizsardzība

72.Personālo un portatīvo datoru aizsardzība:
72.1.portatīvajos datoros, kuri tiek lietoti ārpus LU darba telpām, glabā tikai to informāciju, kas nepieciešama noteiktajā laikā noteiktajam datora lietotājam;
72.2.personālajā datorā uzstāda un lieto tikai to programmatūru un tādā konfigurācijā, ko ir noteicis resursu turētājs. Resursu administrators personālā datora funkcionalitāti ierobežo līdz darba vajadzībām nepieciešamo funkciju līmenim;
72.3.lietotājam atstājot personālo datoru bez uzraudzības, to slēdz, lietojot ekrānsaudzētāju ar paroli, speciālu slēgšanas funkciju vai citu metodi, kas ļauj turpināt darbu ar personālo datoru vienīgi tad, ja ir veikta lietotāja autentifikācija.

XVI. Datortīklu aizsardzība

73.Datortīklu aizsardzība:
73.1.resursu administrators izstrādā un uztur datortīkla shēmu, kurā parādīta datortīklā savienotā aparatūra un nodrošinātie pakalpojumi;
73.2.datu plūsmā starp lokālo datortīklu un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami LU funkciju izpildei, šim nolūkam lietojot ugunsmūra sistēmu;
73.3.resursu administrators pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst LU darbības vajadzībām, un ka darbojas rezerves savienojumi;
73.4.pieslēgšanos LU informācijas sistēmām no loģiski attālas vietas aizsargā, lietojot kriptogrāfijas līdzekļus kopā ar lietotāja vārdu tā, lai droši noteiktu lietotāja autentiskumu.
74.IT drošības pārvaldnieks pēc nepieciešamības iesaka papildu loģiskās aizsardzības pasākumus atkarībā no informācijas resursu klasifikācijas.

XVII. LU sadarbība ar ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem

75.Ja LU izvēlas resursa uzturēšanu uzticēt ārējam pakalpojumu sniedzējam, tam jānodrošina drošības līmenis, kas nav zemāks par šajos noteikumos noteikto.
76.LU nosaka informācijas izpaušanas ierobežojumus.
77.Ārpakalpojuma līgumā jāiekļauj Informācijas tehnoloģiju drošības likumā noteiktie pienākumi.
78.Saskaņojot ar resursu turētājiem, piešķir pieejas tiesības informācijas resursiem ārējiem informācijas tehnoloģiju pakalpojumu sniedzējiem tikai to pienākumu veikšanai nepieciešamajā apjomā.
79.Visas izmaiņas (sistēmas informācijas resursu izveidošana, papildināšana, mainīšana, apstrāde, pārraidīšana, glabāšana, atjaunošana un iznīcināšana) notiek atbilstoši LU IT izmaiņu pārvaldības prasībām.

Latvijas Universitātes Informācijas tehnoloģiju lietošanas noteikumi

I. Vispārīgie jautājumi

1.Lietotājs var izmantot Latvijas Universitātes (turpmāk – LU) informācijas tehnoloģiju (turpmāk – IT) resursus saskaņā ar šiem noteikumiem, LU IT drošības noteikumiem un citiem reglamentējošiem normatīvajiem aktiem. Šo noteikumu neievērošana un/vai sistēmas lietošanas tiesību iegūšana, izmantojot trešo personu pieejas paroles, vai trešo personu vārdā tiek uzskatīta par sistēmas integritātes apzinātu bojājumu. Par minētajām pretlikumīgajām darbībām persona ir atbildīga saskaņā ar LR Krimināllikumu, Fizisko personu datu aizsardzības likumu un citiem LR normatīvajiem aktiem.
2.LU darbiniekam, parakstot darba līgumu, ir noteiktas saistības ievērot konfidencialitāti attiecībā pret trešajām personām, kā arī ievērot šos noteikumus un nodrošināt viņa rīcībā esošās LU ierobežotas pieejamības informācijas aizsardzību normatīvajos aktos noteiktajā kārtībā.
3.Personāla departaments seko darbinieku līgumattiecībām ar LU, lai, beidzoties līgumattiecībām, attiecīgie lietotāju konti savlaicīgi tiktu bloķēti, dzēsti vai mainītas to piekļuves tiesības, atbilstoši statusam.
4.Studentu serviss seko studentu līgumattiecībām ar LU, lai, beidzoties līgumattiecībām, attiecīgie lietotāju konti savlaicīgi tiktu bloķēti vai dzēsti vai mainītas to piekļuves tiesības, atbilstoši statusam.
5.Lietotāja darba vieta tiek aprīkota ar tehniskajiem un informācijas resursiem saskaņā ar pamatstruktūrvienības vadītāja pieprasījumu. Katram lietotājam tiek piešķirts lietotāja vārds un parole, kā arī noteiktas piekļuves tiesības. Lietotājs ir atbildīgs par piešķirtā lietotājvārda (identifikatora) un paroles lietošanu, saglabāšanu un neizpaušanu.

II. E-pasta lietošana

6.Viena e-pasta sūtījuma apjoms nedrīkst pārsniegt 25 MB. Aizliegts atkārtoti sūtīt e-pasta vēstuli, ja ir saņemts paziņojums, ka adresāts nevar saņemt sūtījumu e-pasta servera limita pārsniegšanas dēļ.
7.Aizliegts atvērt neskaidras izcelsmes e-pasta sūtījumus (piemēram, īpatnēji temati laukā "Subject", pievienota nezināma formāta datne vai izpildāmā datne, interneta saites vēstules saturā), it īpaši ja par bīstamo datņu veidiem saņemts brīdinājums no LU IT servisa. Par šādiem e-pasta sūtījumiem nekavējoties jāziņo resursu administratoram vai LU IT servisam.
8.Aizliegts e-pasta ziņojumam pievienot izpildāmās datnes (piemēram, *.exe, *.com, *.shs, *.vbs).
9.E-pasta lietotājs, regulāri nodzēšot nevajadzīgo informāciju, kontrolē, lai viņa pastkastes kopapjoms serverī nepārsniegtu 200 MB. Resursu administrators un LU IT serviss drīkst bloķēt lietotāja e-pasta kontu, ja pastkastes kopapjoms pārsniedz minēto apjomu.

III. Lietotāju atbildība un pienākumi

10.Lietotājam pieejamo informācijas resursu drīkst izmantot tikai to mērķu realizācijai, kurus noteikusi LU. Iegūto informāciju nedrīkst izmantot komerciāliem mērķiem, kā arī kategoriski aizliegts izmantot darbībās, kas nav tieši saistītas ar LU noteikto uzdevumu izpildi.
11.Lietotājs ievēro iekšējās kārtības noteikumus un citus LU normatīvos aktus.
12.Izmantojot resursus, lietotāju pienākums ir:
12.1.nekavējoties ziņot resursu administratoram vai LU IT servisam (darba laikā pa tālruni 67034999, ārpus darba laika ziņojumus nosūtot pa e-pastu itserviss@lu.lv) šādos gadījumos:
12.1.1.ja radušās aizdomas, ka lietotāja paroli uzzinājusi cita persona;
12.1.2.saņemot neskaidras izcelsmes e-pasta sūtījumus (piemēram, nepazīstami korespondenti, īpatnēji norādīti vēstuļu temati);
12.1.3.ja radušās aizdomas, ka dators inficēts ar vīrusu;
12.1.4.ja radušās aizdomas par datortehnikas bojājumu;
12.1.5.pamanot novirzes datora vai informācijas sistēmas darbībā;
12.2.šo noteikumu 12.1.3. un 12.1.4. punktā noteiktajos gadījumos nekavējoties izslēgt bojāto tehniku;
12.3.izlasīt resursu administratora sūtītos ziņojumus un laikus izpildīt norādītās darbības;
12.4.iepazīties ar instrukcijām un ieteikumiem;
12.5.regulāri izdzēst darbam nevajadzīgos e-pasta sūtījumus;
12.6.nepārtraukt pretvīrusu programmas atjaunināšanas procesu;
12.7.sekot, lai uz datora obligāti būtu aktivizēts ekrāna saudzētājs ar paroles aizsardzību.
Ekrāna saudzētājam automātiski jāaktivizējas, ja piecu minūšu laikā lietotājs nav veicis nekādas darbības.
13.Lietotājiem aizliegts:
13.1.nodot trešajām personām lietotāja rekvizītus (lietotāja vārdu, paroli). Lietotāja rekvizītus drīkst izmantot tikai konkrētais lietotājs (fiziska persona), kuram tie piešķirti. Pilnvarotam lietotājam regulāri (ne retāk kā reizi gadā) jāmaina lietošanas parole;
13.2.izdarīt darbības, kas būtu vērstas pret sistēmas drošību, izmantojot neparedzētas pieslēgšanās iespējas. Beidzot (pārtraucot) darbu, lietotājam jāaizver pārlūkprogramma, kurā tas strādā ar informācijas resursu. Lietotājs nedrīkst saglabāt lietošanas paroli, izmantojot pārlūkprogrammas iespējas;
13.3.saņemto informāciju pārveidot, publicēt, pārvadīt, piedalīties tās nodošanā vai pārdošanā, reproducēt kopumā vai daļēji. Jebkuras darbības ar datiem, ieskaitot to vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu, drīkst veikt tikai LU noteiktajā kārtībā;
13.4.izmantot resursus, lai izplatītu vai uzglabātu ar darbu nesaistītu informāciju, t.sk. komerciāla vai personīga rakstura sludinājumus, uzsaukumus, reklāmas, destruktīvas programmas un spēles;
13.5.nesankcionēti piekļūt vai mēģināt piekļūt datiem, sistēmām vai tīkliem;
13.6.paroli uzglabāt, pierakstītu redzamās vietās;
13.7.veikt darbības, kas nevajadzīgi noslogo informācijas sistēmas resursus, neņemot vērā citu informācijas sistēmas lietotāju vajadzības, t.sk. pārmērīgi izmantot internetu, drukāt nevajadzīgi daudz dokumentu kopiju, atstāt atvērtas uz failu servera esošās datnes, kuras nav nepieciešamas darbam;
13.8.instalēt nelicencētu programmatūru;
13.9.nesankcionēti nodot programmatūras un datu kopijas trešajām personām;
13.10.veidot sev vai piešķirt citiem lietotājiem attālinātu pieeju savas darba stacijas, portatīvā datora vai servera resursiem.
14.Lietotājs ir atbildīgs par zaudējumiem, kas radušies šajos noteikumos un citos normatīvajos aktos noteikto prasību neievērošanas dēļ.

IV. Resursa administratora tiesības un pienākumi

15.Resursa administratora pienākumi:
15.1.izveido, modificē un likvidē IS lietotāju identifikatorus (kontus) un piešķir attiecīgās tiesības;
15.2.ja nepieciešams, ierobežo servisa apjomu, par to informējot visus šī servisa lietotājus elektroniski;
15.3.kontrolē un uzrauga, lai resursu lietotāji ievērotu šajos noteikumos noteiktos nosacījumus.
16.Resursa administrators ir tiesīgs:
16.1.brīvdienās un ārpus oficiālā darba laika atslēgt informācijas sistēmas resursus, lai veiktu uzturēšanas darbus, 3 darba dienas iepriekš par to brīdinot resursa lietotājus;
16.2.atslēgt informācijas sistēmas resursus un apturēt sistēmu darbu arī darba laikā, ja notikusi avārija (ja iespējams, iepriekš par to brīdinot lietotājus).