1. Vispārīga informācija
1.1. Ar informatīvo ziņojumu “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē ” ir uzsākta koordinētas ievainojamību atklāšanas procesa ieviešana valsts pārvaldē, paredzot iespēju Latvijas valsts un pašvaldību iestādēm brīvprātīgi iesaistīties koordinētas ievainojamību atklāšanas procesā.
1.2. Ievainojamību ziņošanas platformu (turpmāk - platforma) uztur CERT.LV, pildot koordinētas ievainojamību atklāšanas procesa koordinētāja un vidutāja, platformas izstrādātāja, uzturētāja un pārziņa lomu.
1.3. Personas datu apstrāde platformā tiek veikta atbilstoši CERT.LV personas datu apstrādes kārtībai ievainojamību ziņošanas platformā.
1.4. Platformā tiek izmantotas sīkdatnes. Sīkdatņu izmantošana tiek veikta saskaņā ar CERT.LV sīkdatņu politiku.
2. Termini
2.1. Noteikumos ir lietoti šādi termini:
2.1.1. CERT.LV atbildīgais darbinieks: CERT.LV darbinieks, kurš veic platformas uzraudzību un administrēšanu.
2.1.2. Dalībnieks: platformas lietotājs - drošības pētnieks, CERT.LV atbildīgais darbinieks un iestādes pārstāvis.
2.1.3. Drošības pētnieks: fiziska vai juridiska persona, kas ir atklājusi ievainojamību un iesaistās koordinētas ievainojamību atklāšanas procesā (piemēram, tā sniedz iestādei IKT atbalsta vai sistēmu uzturēšanas pakalpojumus un/vai nodrošina jebkura veida programmatūras vai tehnisko komponenšu radīšanu, piegādi, ieviešanu vai uzturēšanu).
2.1.4. Iestāde: Latvijas Republikas valsts vai pašvaldību iestāde, kura ir iesaistījusies koordinētas ievainojamību atklāšanas procesā un kura ir platformā iekļautā resursa pārzinis.
2.1.5. Iestādes pārstāvis: persona, kuru iestāde ir noteikusi kā galveno atbildīgo par koordinētas ievainojamību atklāšanas procesu (piemēram, par informācijas tehnoloģiju drošības pārvaldību atbildīgā persona) vai programmas papildu pārvaldītāju.
2.1.6. Programma: informācija par iestādes pieteiktajiem IKT resursiem platformā, kā arī specifiskas norādes, prasības un ierobežojumi attiecībā uz veicamajiem testiem.
2.1.7. Resurss: iestādes IKT resurss, kas iekļauts testēšanas apgabalā un pieejams ievainojamību testēšanai koordinētas ievainojamību atklāšanas procesa ietvaros.
2.1.8. Resursa pārzinis: IKT resursa īpašnieks, turētājs, valdītājs vai persona, kuras pārziņā ir testējamais resurss.
2.1.9. Sadarbības partneris: Eiropas Savienības un Latvijas institūcija, CERT tīkla dalībnieks, programmatūras un tehnoloģisko iekārtu ražotājs un citi koordinētas ievainojamību atklāšanas procesā iesaistītie, ar kuriem iestāde un/vai CERT.LV sadarbojas.
3. Reģistrācija Ievainojamību ziņošanas platformā
3.1. Lai piedalītos koordinētas ievainojamību atklāšanas procesā un iesniegtu ziņojumu par ievainojamības atklāšanu, dalībnieks reģistrējas platformā.
3.2. Dalībnieks aizpilda reģistrācijas formu, kurā norāda: vārdu, uzvārdu, lietotājvārdu, elektroniskā pasta adresi, paroli un lomu platformā.
3.3. Iestādes pārstāvis, reģistrējoties platformā, norāda pilnu un patiesu informāciju un iestādes piešķirto e-pasta adresi. Informācija tiek izmantota pārbaudes veikšanai, lai nodrošinātu, ka iestādi platformā pārstāv iestādes pilnvarota persona.
3.4. Drošības pētnieka anonimitātes nodrošināšanai ir pieļaujams reģistrējoties norādīt brīvi izvēlētas rakstzīmes vārda un uzvārda laukos, kā arī lietotājvārdu un e-pasta adresi, kas neļauj identificēt drošības pētnieku.
3.5. Aizpildot reģistrācijas formu, dalībnieks apstiprina, ka ir iepazinies ar Ievainojamību ziņošanas platformas lietošanas noteikumiem un CERT.LV personas datu apstrādes kārtīb u ievainojamību ziņošanas platformā.
3.6. CERT.LV nodrošina dalībnieku verifikāciju. Dalībnieks uz norādīto e-pasta adresi saņem reģistrācijas apstiprinājuma pieprasījumu un var pabeigt reģistrēšanos platformā.
3.7. CERT.LV atbildīgais darbinieks veic dalībnieka reģistrācijas formas pārbaudi, tai skaitā iestādes pārstāvja saistību ar pieteikto iestādi. Ja pārbaude bijusi veiksmīga, iestādes pārstāvis uz norādīto e-pasta adresi saņem reģistrēšanās apstiprinājuma pieprasījumu un var pabeigt reģistrācijas procesu platformā.
3.8. Dalībnieks ir atbildīgs par ievadīto datu precizitāti un aktualitāti, kā arī apņemas neizmantot citas personas identitāti.
4. Ievainojamību ziņošanas platforma
4.1. Platforma ir paredzēta Latvijas valsts un pašvaldību iestāžu IKT resursu ievainojamību ziņojumu reģistrēšanai un apstrādei.
4.2. Platforma ir pieejama tiešsaistē 24/7, un tā atbalsta efektīvu, pārskatāmu ievainojamību ziņojumu reģistrēšanu, apstrādi un iesaistīto pušu sadarbību.
4.3. Platformā ir atrodama informācija par koordinētas ievainojamību atklāšanas procesā iesaistīto iestāžu pieteiktajiem testējamajiem resursiem (sadaļa “Programmas”), kā arī specifiskas norādes, prasības un ierobežojumi attiecībā uz veicamajiem testiem.
4.4. Platformas publiski pieejamajās sadaļās “Ziņas” un “BUJ” ir publicēta detalizēta informācija un atbildes uz biežāk uzdotajiem jautājumiem.
5. Ievainojamību ziņošanas un atklāšanas pamatprincipi
5.1. Iestādes pārstāvis platformā reģistrē iestādes resursus, kas pieejami testēšanai koordinētas ievainojamību atklāšanas procesa ietvaros, un nodrošina pieteikto ievainojamības ziņojumu apstrādi, nepieciešamības gadījumā piesaistot programmas papildu pārvaldītājus un CERT.LV.
5.2. Plānojot veikt kāda resursa drošības pētīšanu, drošības pētnieks platformā izvēlas atbilstošo programmu un iepazīstas ar programmas dalības noteikumiem.
5.3. Atklātu ievainojamību drošības pētnieks reģistrē platformā, izvēloties atbilstošo iestādi un programmu.
5.4. Gadījumos, kad drošības pētniekam platformā neizdodas atrast identificētajai ievainojamībai atbilstošu programmu un nav iespējams citā veidā informēt iestādes pārstāvi par ievainojamību, vai arī saziņa ar iestādes pārstāvi ir bijusi neveiksmīga, drošības pētniekam ir iespēja reģistrēt ievainojamību platformā programmā CERT.LV Klientūras ievainojamības.
5.5. Drošības pētnieks, iesniedzot ievainojamības ziņojumu, norāda pēc iespējas vairāk informācijas, kas varētu būt noderīga ievainojamības fakta apstiprināšanai un detalizētas izpētes veikšanai.
5.6. Platformā ir iespēja saglabāt ievainojamības apraksta melnrakstu un iesniegt ievainojamības ziņojumu vēlāk.
5.7. Iestādes pārstāvis izvērtē ievainojamības ziņojumu pēc tā saņemšanas. Iestādes pārstāvis, ja nepieciešams, precizē iesniegto informāciju, nosūtot jautājumus drošības pētniekam.
5.8. Iestādes pārstāvis vai drošības pētnieks ziņojuma apstrādē var iesaistīt CERT.LV, pievienojot pie ievainojamības ziņojuma kā dalībnieku.
5.9. Ievainojamības novēršanas ieteicamais termiņš ir 45-90 dienas, ņemot vērā ievainojamības sarežģītību un ietekmes kritiskumu.
5.10. Koordinētas ievainojamību atklāšanas procesā iesaistītās puses vienojas par publiskojamās informācijas apjomu saistībā ar identificēto ievainojamību, ņemot vērā sabiedrības tiesības uz informāciju un iestādes interešu aizsardzību līdzsvaru, lai neradītu iestādei papildu apdraudējumu un zaudējumus, kā arī lai efektīvi reaģētu un novērstu apdraudējumu.
5.11. Pirms informācijas par identificētās ievainojamības publiskošanas CERT.LV izvērtē informācijas saturu (piemēram, ievainojamību nedrīkst izpaust publiski, par ievainojamību jāziņo pēc iespējas ātrāk pēc tās atklāšanas u.c.).
5.12. Ja ievainojamības ziņojums ir saņemts CERT.LV Klientūras ievainojamības programmā, CERT.LV izvērtē iesūtīto ziņojumu. Ja informācija atbilst ievainojamības kritērijiem, CERT.LV uzsāk ievainojamības apstrādes procesu un identificē attiecīgā resursa pārzini. Ja iesūtītā informācija nav identificēta kā ievainojamība, CERT.LV ziņojumu noraida.
5.13. Ievainojamības ziņojumu apstrādā tikai iesaistītie dalībnieki. Informācija nav publiskojama līdz ziņojuma atrisināšanai.
5.14. Saņemot informāciju par ievainojamību, kura jau ir reģistrēta platformā, CERT.LV informē Drošības pētnieku, ka minētā ievainojamība jau ir reģistrēta.
5.15. CERT.LV publicētā informācija par ievainojamību ietver arī atzinību drošības pētniekam, ja vien drošības pētnieks nav norādījis pretējo. Ievainojamībai ir jābūt iepriekš neidentificētai un pietiekami nopietnai, lai par tās atklāšanu CERT.LV piešķirtu atzinību.
5.16. Nopietnas ievainojamības gadījumā CERT.LV var palīdzēt drošības pētniekam reģistrēt ievainojamību kopējās ievainojamību un eksponētību (CVE) sistēmas reģistrā.
6. Drošības pētnieka tiesības un pienākumi
6.1. Drošības pētnieks ievēro programmas noteikumus, nosacījumus un ierobežojumus.
6.2. Drošības pētnieks ievainojamību ziņojumu reģistrē atbilstošajā programmā.
6.3. Ja drošības pētnieks testē resursus, pirms katras testēšanas iterācijas drošības pētnieks atver iestādes programmu un pārliecinās, vai nav veiktas izmaiņas attiecībā uz atļautajām testēšanas darbībām (piemēram, liegta testēšana vai mainītas prasības). Papildprasības, kuras jāievēro drošības pētniekam, iestāde nosaka programmas aprakstā.
6.4. Pēc ziņojuma iesniegšanas saziņa ar drošības pētnieku notiek platformā, ziņojuma komentāros pievienojot informāciju, kas pēc komentāra saglabāšanas tiek nosūtīta uz drošības pētnieka norādīto e-pasta adresi.
6.5. Drošības pētnieks savlaicīgi reaģē uz jautājumiem par iesniegto ievainojamības ziņojumu.
6.6. Drošības pētnieks nav tiesīgs veikt darbības, kas kaitētu iestādei, izmantojot atklāto ievainojamību.
7. Iestādes pārstāvja tiesības un pienākumi
7.1. Iestādi platformā var pārstāvēt:
7.1.1. atbildīgais par informācijas tehnoloģiju drošības pārvaldību;
7.1.2. iestādes vadītāja vai atbildīgā par informācijas tehnoloģiju drošības pārvaldību noteikta atbildīgā persona.
7.2. Iestādēm ir pienākums sadarboties ar CERT.LV ievainojamību atklāšanas un novēršanas procesā un iestādes pārstāvis:
7.2.1. aktualizē iestādes un iestādes pārstāvja informāciju;
7.2.2. pārskata un aktualizē programmas;
7.2.3. nosaka programmas testēšanas nosacījumus;
7.2.4. savlaicīgi reaģē uz platformā saņemtajiem ievainojamību ziņojumiem, jautājumiem un komentāriem;
7.2.5. lemj par CERT.LV vai citu personu iesaisti ievainojamības ziņojuma apstrādē, kā arī precizē nepieciešamo palīdzības apjomu un veidu;
7.2.6. piedalās ar ievainojamības novēršanu saistīto jautājumu risināšanā un sadarbojas ar citām iesaistītajām pusēm, tai skaitā klientu u.c. ietekmēto personu apziņošanu;
7.2.7. informē CERT.LV un drošības pētnieku par ievainojamības novēršanas gaitu;
7.2.8. informē CERT.LV par novērotajām problēmām platformas darbībā;
7.2.9. informē CERT.LV, ja iestāde nolēmusi pārtraukt dalību koordinētas ievainojamību atklāšanas procesā.
7.3. Iestādes vadītājam ir tiesības mainīt jebkuru iestādes pārstāvi platformā, nosūtot pieprasījumu uz e-pasta adresi cvd@cert.lv.
7.4. Iestāde savā tīmekļa vietnē ievieto informāciju par iesaisti koordinētas ievainojamību atklāšanas procesā saskaņā ar informatīvā ziņojuma “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē” 3. nodaļā iekļauto aprakstu.
8. CERT.LV atbildīgo darbinieku tiesības un pienākumi
8.1. CERT.LV atbildīgie darbinieki sniedz atbalstu dalībniekiem.
8.2. CERT.LV saziņai par koordinētas ievainojamību atklāšanas procesa ieviešanu, platformas izmantošanu, iespējamiem uzlabojumiem un informatīvajiem paziņojumiem izmanto e-pasta adresi cvd@cert.lv.
8.3. CERT.LV atbildīgais darbinieks pirms iestādes programmas publicēšanas pārskata iestādes pārstāvja sagatavoto programmas aprakstu ar informāciju par testējamajiem resursiem un citām specifiskām prasībām. CERT.LV ir tiesības uzdot jautājumus un lūgt precizēt programmas aprakstu.
9. Koordinētas ievainojamību atklāšanas procesa pārtraukšana
9.1. Iestāde vai drošības pētnieks informē CERT.LV par dalības pārtraukšanu koordinētas ievainojamību atklāšanas procesā, nosūtot iesniegumu CERT.LV.
9.2. Pēc iesnieguma saņemšanas CERT.LV pārtrauc iestādes vai drošības pētnieka dalību koordinētas ievainojamību atklāšanas procesā un aptur lietotāja konta darbību platformā.
10. Strīdu risināšanas kārtība
10.1. Ja koordinētas ievainojamību atklāšanas procesa iesaistīto pušu starpā izveidojas domstarpības vai strīdi, puses tās cenšas atrisināt pārrunu ceļā, ievērojot Latvijas Republikas tiesību aktos noteikto kārtību.
1. Datu apstrādes pārzinis
1.1. CERT.LV personas datu apstrādes pārzinis ir:
| Nosaukums | Latvijas Universitātes Matemātikas un informātikas institūts |
| Zinātniskās institūcijas reģistrācijas numurs | 381013 |
| Nodokļu maksātāja reģistrācijas numurs | 90002111761 |
| Adrese | Raiņa bulvāris 29, Rīga, LV-1459, Latvija |
| Tālruņa numurs | +371 67085888 |
| E-pasta adrese | cert@cert.lv, cert@cert.gov.lv |
2. Datu aizsardzības speciālists
2.1. CERT.LV personas datu aizsardzības speciālists – tel.nr. +371 67085888, e-pasts cert@cert.lv.
3. Datu apstrādes nolūks un tiesiskais pamats
3.1. CERT.LV koordinētas ievainojamību atklāšanas procesā datu apstrāde notiek, pamatojoties uz Informācijas tehnoloģiju drošības likuma 6.1 panta otro un trešo daļu, kas atbilst Vispārīgās datu aizsardzības regulas 6. panta pirmās daļas apakšpunktiem:
c) apstrāde ir vajadzīga, lai izpildītu uz CERT.LV attiecināmu juridisku pienākumu;
e) apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot CERT.LV likumīgi piešķirtās oficiālās pilnvaras.
3.2. Ievainojamību ziņošanas platformas lietotāju datu apstrāde CERT.LV ir nepieciešama, lai nodrošinātu koordinētas ievainojamību atklāšanas procesa norisi, tai skaitā, īstenotu ievainojamību atklāšanas koordinēšanu Latvijā un nodrošinātu atklātās informācijas par ievainojamību nodošanu konkrētā Informācijas un komunikāciju tehnoloģiju (turpmāk - IKT) resursa pārzinim.
3.3. Dalībnieks, reģistrējoties platformā, piekrīt ievērot platformas noteikumus un personas datu apstrādes kārtību.
3.4. Dalībnieks ir informēts, ka CERT.LV apstrādā dalībnieka personas datus – vārdu, uzvārdu, lietotājvārdu, e-pasta adresi un IP adresi – ar mērķii:
3.4.1. reģistrēt dalībnieka kontu;
3.4.2. identificēt apmeklētāju kā reģistrēto dalībnieku;
3.4.3. reģistrēt apmeklējumu un veiktās darbības platformā;
3.4.4. nodrošināt koordinēšanu starp visiem iesaistītajiem dalībniekiem, tai skaitā platformas paziņojumu saņemšanu (piemēram, jauna ievainojamības ziņojuma saņemšana, izmaiņas iestādes ievainojamību ziņošanas programmas aprakstā, komentāra pievienošana u.c.);
3.4.5. nodrošināt saņemtās informācijas par ievainojamību nodošanu iestādes pārstāvim.
3.5. Saistībā ar ievainojamības ziņojumu apstrādi platformā CERT.LV var apstrādāt šādus personas datus:
3.5.1. ievainojamības ziņojuma saturā vai tā pielikumos iekļautie personas dati;
3.5.2. ievainojamības ziņojuma komentāros iekļautā informācija - sarakste starp ievainojamības apstrādē iesaistītajiem dalībniekiem.
3.6. Ievainojamības ziņojums var saturēt personas datus, kas saistīti ar konkrēto ievainojamību, bet nav drošības pētnieka personas dati.
3.7. Drošības pētniekam ir tiesības ievainojamības ziņojumā nenorādīt savus personas datus.
3.8. Iestādes pārstāvis un drošības pētnieks atbild par datiem, kurus tie pievieno platformā, nodrošinot, ka tiek pievienoti tikai tie dati, kas nepieciešami ievainojamības demonstrēšanai. Nepieciešamības gadījumā dalībnieks konsultējas ar savu vai CERT.LV datu aizsardzības speciālistu.
4. Iespējamie datu saņēmēji
4.1. CERT.LV ir tiesības izpaust dalībnieku personas datus:
4.1.1. ja informāciju par personas datiem pieprasa pats datu subjekts un CERT.LV ir iespēja pārliecināties par informācijas pieprasītāja identitāti;
4.1.2. ja informāciju par personas datiem rakstiski pieprasa pilnvarotas valsts vai pašvaldību iestādes Latvijas Republikas normatīvajos aktos noteiktajos gadījumos un kārtībā;
4.1.3. ja datu subjekts ir piekritis personas datu nodošanai citam apstrādātājam;
4.1.4. ja iestādes pārstāvis pieprasa informāciju par iestādi un tās kontaktpersonām.
4.2. Dalībniekiem ir tiesības pieprasīt informāciju par trešajām personām, kas saņēmušas informāciju par šo dalībnieku, ja vien Latvijas Republikas normatīvajos aktos nav noteikts citādi.
4.3. CERT.LV ir tiesības izpaust ietvaros saņemtos ievainojamību datus (kas var saturēt personas datus):
4.3.1. gadījumos, kuros ievainojamība skar arī citu Eiropas Savienības dalībvalsti, citu valstu informācijas tehnoloģiju drošības incidentu novēršanas institūcijām (vienībām);
4.3.2. pakalpojuma sniedzējiem, kas tieši saistīti ar ievainojamā IKT resursa, tai skaitā Informācijas sistēmu - uzturēšanu vai pakalpojumu sniegšanu uzturēšanas pakalpojumu nodrošināšanā, un/vai nodrošina jebkura veida programmatūras vai tehnisko komponenšu radīšanu/piegādi/ieviešanu/uzturēšanu.
4.3.3. nepieciešamības gadījumā Eiropas Savienības Tīklu un informācijas drošības aģentūrai;
4.3.4. ja informāciju rakstiski pieprasa pilnvarotas valsts iestādes Latvijas Republikas normatīvajos aktos noteiktajos gadījumos un kārtībā.
5. Piekļuve saviem personas datiem un datu pārnesamība
5.1. Dalībnieks var piekļūt saviem datiem, kā arī tos atjaunot, pieslēdzoties platformai.
5.2. Dalībniekam ir tiesības saņemt CERT.LV rīcībā esošos datus par sevi mašīnlasāmā formā.
6. Datu labošana, dzēšana vai apstrādes ierobežošana
6.1. Datu izmaiņu gadījumā dalībniekam ir pienākums atjaunot datus platformā vai ziņot CERT.LV par nepieciešamajām izmaiņām.
6.2. Ja dalībnieks vēlas dzēst savus datus, ir jānosūta pieprasījums no platformā norādītās e-pasta adreses uz e-pasta adresi cvd@cert.lv. Pirms izmaiņu veikšanas CERT.LV pārliecinās par pieprasījuma autentiskumu.
6.3. Ja dalībnieks nav pieslēdzies platformai ilgāk par vienu gadu, dalībnieka piekļuve platformai tiek automātiski bloķēta.
6.4. CERT.LV glabā dalībnieka personas datus ne ilgāk kā 5 gadus pēc lietotāja konta darbības apturēšanas platformā.
6.5. CERT.LV glabā ievainojamību ziņošanas platformā reģistrēto ievainojamību datus 5 gadus pēc ievainojamības ziņojuma atrisināšanas.
7. Sūdzības iesniegšana
7.1. Dalībniekam ir tiesības iesniegt sūdzību Datu valsts inspekcijā par iespējamo personas datu aizsardzības pārkāpumu.
Ievainojamību ziņošanas platformā (cvd.cert.lv) tiek apstrādātas funkcionālās sīkdatnes.
