Pievienošanās koordinētas ievainojamību atklāšanas procesam ir iespēja sadarboties ar drošības pētniekiem, savlaicīgi saņemt informāciju par identificētām drošības nepilnībām un ievainojamībām attiecībā uz programmā iekļauto testējamo resursu.

CERT.LV sniedz atbalstu:

• palīdzot izvērtēt, kuri no iestādes resursiem ir piemērotākie, uzsākot dalību programmā;
• ievainojamības ietekmes izvērtēšanā un novēršanas pasākumu identificēšanā;
• novēršanas aktivitāšu saskaņošanā ar trešajām pusēm – personām, kas iestādei nodrošina IKT atbalstu un/vai jebkura veida programmatūras vai tehnisko komponenšu radīšanu/piegādi/ieviešanu/uzturēšanu;
• iestādes un pētnieka sadarbībai gadījumos, ja iestādei radusies šāda nepieciešamība, piemēram, veicot ievainojamības detalizētu izpēti, izskatot un konsultējoties par publiskojamās informācijas sagatavošanu.

Iestādes, kas nolēmušas piedalīties koordinētas ievainojamību atklāšanas procesā, iestādes mājaslapas saturu papildina ar:

-  informāciju par dalību koordinētas ievainojamību atklāšanas procesā;

-  saiti uz ievainojamību ziņošanas platformu (https://cvd.cert.lv/);

-  informāciju par sistēmām un resursiem, kurus koordinētas ievainojamību atklāšanas process  aptver;

-  informāciju, kā atrast iestādes programmu;

-  norādi, ka ir aizliegts atklāt trešajām pusēm ar atklāto ievainojamību saistītos datus.

Iestādēm dalība ievainojamību ziņošanas platformā ir bez maksas.

Valsts un pašvaldību iestādes brīvprātīgi pieņem lēmumu par iesaistīšanos koordinētas ievainojamību atklāšanas procesā un nosaka resursus, uz kuriem ievainojamību ziņošana attiecināma.

Pēc lēmuma pieņemšanas par iestādes dalību procesā iestādes pārstāvis reģistrējas ievainojamību ziņošanas platformā un reģistrācijas formā aizpilda visus obligātos laukus:

• Vārds;
• Uzvārds;
• Lietotājvārds (būs publiski pieejams citiem platformas dalībniekiem);
• Iestādes piešķirtā e-pasta adrese;
• Parole;
• Loma –> izvēlas “iestādes pārstāvis”;
• Iestādes nosaukums;
• Ieņemamais amats iestādē.

Pārstāvja reģistrēšana tiek turpināta tikai tad, ja ir atzīmēts, ka pārstāvis apņemas ievērot platformas lietošanas noteikumus un CERT.LV personas datu apstrādes kārtību ievainojamību ziņošanas platformā.

Iestādes pārstāvim uz norādīto e-pasta adresi tiek nosūtīta verifikācijas saite, kurai sekojot pārstāvis pabeidz reģistrācijas procesu un gaida apstiprinājumu reģistrācijai no CERT.LV.

Kad iestādes pārstāvis ir aizpildījis reģistrācijas formu un to iesniedzis, CERT.LV atbildīgais darbinieks pārbauda iestādes pārstāvja saistību ar iestādi. Ja saistība tiek apstiprināta, iestādes pārstāvja reģistrācija tiek pabeigta. Ja iestādes pārstāvja reģistrācija tiek atteikta, pārstāvim uz e-pasta adresi tiek nosūtīts paziņojums par reģistrācijas atteikumu. Šādā gadījumā iestādes vadītājs sazinās ar CERT.LV.

Iestādes vadītājs un iestādes pārstāvis iepazīstas ar iestādēm paredzēto informāciju ievainojamību ziņošanas platformā.

Iestādes pārstāvis:

1. identificē koordinētas ievainojamību atklāšanas procesā iekļaujamos resursus (piemēram, iestādes mājaslapa), izvērtē resursa kritiskumu, riskus un resursa aizsardzības pakāpi un novērtē iestādes gatavību reaģēt uz iesniegtajiem ievainojamību ziņojumiem;
2. novērtē savu iekšējo kapacitāti, lai nodrošinātu ievainojamību apstrādi ievainojamību ziņošanas platformā iekļautajiem resursiem un veic nepieciešamos uzlabojumus;
3. veic nepieciešamās izmaiņas iestādes pārvaldības dokumentos;
4. reģistrējas kā lietotājs ievainojamību ziņošanas platformā;
5. sagatavojas resursu testēšanai, pārliecinoties, ka resursam tiek veidotas rezerves kopijas un ir notikušas atjaunošanas pārbaudes;
6. pārliecinās, ka resursam visā testēšanas laikā ir nodrošināts pietiekams tehniskā personāla atbalsts;
7. sagatavojas ziņojumu saņemšanai;
8. pārliecinās, ka testējamajiem resursiem tiek nodrošināta auditācijas pierakstu veidošana un glabāšana problēmu/incidentu analīzes vajadzībām.

Iestādes vadītājs nodrošina iestādes pārstāvja aizvietošanu, nepieciešamības gadījumā norīkojot programmas papildu pārvaldītājus.

Ievainojamību ziņošanas platformā katrai Iestādei tiek izveidota Programma (vai vairākas), kurā iestāde iekļauj testējamos resursus un informē par specifiskām prasībām, kuras drošības pētniekam jāievēro. Katrai Programmai no Iestādes puses jānosaka galveno atbildīgo, kurš nodrošina programmā iekļaujamās informācijas precizitāti un pārliecinās par Iestādes spēju reaģēt un nodrošināt testēšanas apgabalā iekļauto resursu atbalstu un pieteikto ievainojamību ziņojumu apstrādi.

Iestādes atbildīgais savu programmu redz izvēlnes posmā “Manas programmas”.

Pēc programmas informācijas aizpildīšanas, iestādes pārstāvis, izvēloties “Pieprasīt publicēšanu”, nodod to CERT.LV atbildīgajam darbiniekam, kurš izskata aizpildīto informāciju un publicē programmu. Pēc programmas publicēšanas tā ir publiski pieejama ievainojamību ziņojumu reģistrēšanai platformā.

Ja nepieciešams, CERT.LV palīdzēs aizpildīt programmas informāciju, kā arī izvērtēt, kuri iestādes resursi ir iekļaujami programmā.

Uzsākot dalību ievainojamību ziņošanas platformā un atļaujot testēt savus resursus, var rasties dažādas situācijas, kas saistītas ar: 
-    atšķirīgu izpratni par ievainojamību identificēšanas un ziņošanas procesu;
-    atšķirīgām interesēm attiecībā uz informācijas publicēšanu;
-    atšķirīgu izpratni par ievainojamības ietekmi un riskiem;
-    nespēju precīzi noteikt ievainojamības novēršanas laiku un izmaksas, kā arī ievainojamības ietekmi;
-    nespēju novērst ievainojamību, jo nav pieejami nepieciešamie tehnoloģiskie risinājumi vai personāls;
-    citu iesaistīto personu neieinteresētību iesaistīties ievainojamības novēršanā;
-    komunikācijas problēmām starp iesaistītajām pusēm.

Ja minēto jautājumu sakarā ir radušās neskaidrības vai grūtības saistībā ar ievainojamību ziņošanas platformas lietošanu, aicinām rakstīt uz e-pasta adresi cvd@cert.lv 

Saziņa ievainojamību ziņošanas platformā notiek starp drošības pētnieku, iestādes pārstāvjiem - galveno atbildīgo) un programmas papildu pārvaldītājiem, ja tādi ir pievienoti, - un CERT.LV, izmantojot ievainojamības ziņojumā iekļauto dalībnieku kontaktinformāciju, kā arī ierakstot komentāru laukā nepieciešamo informāciju.

Pēc komentāra pievienošanas no e-pasta adreses cvd@cert.lv uz ievainojamības ziņojumā iesaistīto pušu norādītajām e-pasta adresēm tiek nosūtīts paziņojums par komentāra pievienošanu. 

Ja nepieciešams nomainīt ievainojamību ziņošanas platformā norādīto iestādes pārstāvi, iestādes vadītājs par to informē CERT.LV, sūtot elektroniski parakstītu vēstuli ar informāciju par veicamajām izmaiņām uz e-pasta adresi cvd@cert.lv.

CERT.LV atbildīgais darbinieks aptur esošā iestādes pārstāvja lietotāja kontu un apstiprina jaunā iestādes pārstāvja reģistrāciju.

Rekomendējam aprakstīt ievainojamību ziņojumu apstrādes procesu, tai skaitā vismaz šādu informāciju:  

• par iestādes pārstāvja noteikšanu un tam deleģētajiem uzdevumiem;
• kā iestāde nosaka resursus, kurus atļauts testēt;
• prasības, ko iestāde sagaida no drošības pētnieka;
• kā nosaka prasības un ierobežojumus testējamiem resursiem;
• kā iestāde veic izmaiņas ievainojamību ziņošanas platformā;
• vadlīnijas, kā organizē saziņu un sadarbību ar drošības pētnieku un CERT.LV;
• vadlīnijas ievainojamību ziņojumu apstrādei.

Atbilstoši iestādes problēmu/ziņojumu apstrādes procesam iestāde nodrošina saņemto ziņojumu apstrādi un saistīto pieteikumu reģistrēšanu savās sistēmās, kas ietver vismaz:

• ziņojumu reģistrēšanu un apstrādi;
• ievainojamību ziņojuma informācijas analīzi/pārbaudi, ziņotās ievainojamības izpēti, cēloņu identificēšanu;
• ievainojamības novēršanas un risku mazinošo aktivitāšu identificēšanu un plānošanu;
• iesaistīto pušu un nepieciešamā atbalsta identificēšanu, pieaicinot CERT.LV, ja nepieciešams;
• informāciju par novēršanas statusu un novēršanas termiņu aktualizēšanu ievainojamību ziņošanas platformā;
• sadarbību saistīto pakalpojumu sniedzējiem;
• resursu pārziņu informēšanu par ievainojamību un tās ietekmi;
• ziņotāju informēšanu par ievainojamības novēršanas gaitu un to, cik ilgā laikā ievainojamību plānots novērst un kādās situācijās ar ziņotāju sazināsies, lai iegūtu papildinformāciju vai informētu par termiņa pagarinājumu.

Ja iestāde, tās pārstāvis vai drošības pētnieks vēlas pārtraukt dalību koordinētas ievainojamību atklāšanas procesā, aicinām nosūtīt iesniegumu uz e-pasta adresi cvd@cert.lv.

Saņemot iesniegumu, CERT.LV atbildīgais darbinieks aptur attiecīgā lietotāja konta darbību ievainojamību ziņošanas platformā.

Prasības noteiktas šādos normatīvajos aktos:

• Informatīvajā ziņojumā “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē ” 62. §, 21-TA-447;
• Nacionālās kiberdrošības likuma VI nodaļā.

Koordinētas ievainojamību atklāšanas procesa ieviešanas mērķis ir veicināt pētnieku un augstas kvalifikācijas informācijas tehnoloģiju speciālistu aktīvāku iesaisti ievainojamību ziņošanā. Pētniekam būs iespēja piekļūt informācijai par resursiem, kurus atļauts testēt, un noteikta kārtība, kādā pētniekam jāziņo par atklāto ievainojamību.

Ievainojamību ziņošanas platformā ir šādas lietotāju lomas:

• drošības pētnieks
• iestādes pārstāvis
• CERT.LV atbildīgais darbinieks

Ievainojamību ziņošanas platforma ir platforma kas pieejama tiešsaistē 24/7, un tā atbalsta efektīvu un pārskatāmu ievainojamību ziņojumu reģistrēšanu, apstrādi un iesaistīto pušu sadarbību.

Platformas mērķis ir veicināt pētnieku un augstas kvalifikācijas informācijas tehnoloģiju speciālistu aktīvāku iesaisti.

Iestādēm ir pienākums sadarboties ar CERT.LV ievainojamību atklāšanas un novēršanas procesā saskaņā ar Informācijas tehnoloģiju drošības likuma 4.panta piektās daļas  un 5.panta otrās daļas 1. punktu.

Par identificētiem drošības incidentiem ziņot: cert@cert.lv, cert@cert.gov.lv  tālrunis: +371 67085888

Par identificētam ievainojamībām, kuras nav iespējams pieteikt platformā, ziņot: cvd@cert.lv , tālrunis: +371 67085888

Citos jautājumos:  https://cert.lv/lv/kontakti