1. Vispārīga informācija
1.1. Ar informatīvo ziņojumu “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē ” ir uzsākta koordinētas ievainojamību atklāšanas procesa ieviešana valsts pārvaldē, paredzot iespēju Latvijas valsts un pašvaldību iestādēm brīvprātīgi iesaistīties koordinētas ievainojamību atklāšanas procesā.
1.2. Ievainojamību ziņošanas platformu (turpmāk - platforma) uztur CERT.LV, pildot koordinētas ievainojamību atklāšanas procesa koordinētāja un vidutāja, platformas izstrādātāja, uzturētāja un pārziņa lomu.
1.3. Personas datu apstrāde platformā tiek veikta atbilstoši CERT.LV personas datu apstrādes kārtībai ievainojamību ziņošanas platformā.
1.4. Platformā tiek izmantotas sīkdatnes. Sīkdatņu izmantošana tiek veikta saskaņā ar CERT.LV sīkdatņu politiku.
2. Termini
2.1. Noteikumos ir lietoti šādi termini:
2.1.1. CERT.LV atbildīgais darbinieks: CERT.LV darbinieks, kurš veic platformas uzraudzību un administrēšanu.
2.1.2. Dalībnieks: platformas lietotājs - drošības pētnieks, CERT.LV atbildīgais darbinieks un iestādes pārstāvis.
2.1.3. Drošības pētnieks: fiziska vai juridiska persona, kas ir atklājusi ievainojamību un iesaistās koordinētas ievainojamību atklāšanas procesā (piemēram, tā sniedz iestādei IKT atbalsta vai sistēmu uzturēšanas pakalpojumus un/vai nodrošina jebkura veida programmatūras vai tehnisko komponenšu radīšanu, piegādi, ieviešanu vai uzturēšanu).
2.1.4. Iestāde: Latvijas Republikas valsts vai pašvaldību iestāde, kura ir iesaistījusies koordinētas ievainojamību atklāšanas procesā un kura ir platformā iekļautā resursa pārzinis.
2.1.5. Iestādes pārstāvis: persona, kuru iestāde ir noteikusi kā galveno atbildīgo par koordinētas ievainojamību atklāšanas procesu (piemēram, par informācijas tehnoloģiju drošības pārvaldību atbildīgā persona) vai programmas papildu pārvaldītāju.
2.1.6. Programma: informācija par iestādes pieteiktajiem IKT resursiem platformā, kā arī specifiskas norādes, prasības un ierobežojumi attiecībā uz veicamajiem testiem.
2.1.7. Resurss: iestādes IKT resurss, kas iekļauts testēšanas apgabalā un pieejams ievainojamību testēšanai koordinētas ievainojamību atklāšanas procesa ietvaros.
2.1.8. Resursa pārzinis: IKT resursa īpašnieks, turētājs, valdītājs vai persona, kuras pārziņā ir testējamais resurss.
2.1.9. Sadarbības partneris: Eiropas Savienības un Latvijas institūcija, CERT tīkla dalībnieks, programmatūras un tehnoloģisko iekārtu ražotājs un citi koordinētas ievainojamību atklāšanas procesā iesaistītie, ar kuriem iestāde un/vai CERT.LV sadarbojas.
3. Reģistrācija Ievainojamību ziņošanas platformā
3.1. Lai piedalītos koordinētas ievainojamību atklāšanas procesā un iesniegtu ziņojumu par ievainojamības atklāšanu, dalībnieks reģistrējas platformā.
3.2. Dalībnieks aizpilda reģistrācijas formu, kurā norāda: vārdu, uzvārdu, lietotājvārdu, elektroniskā pasta adresi, paroli un lomu platformā.
3.3. Iestādes pārstāvis, reģistrējoties platformā, norāda pilnu un patiesu informāciju un iestādes piešķirto e-pasta adresi. Informācija tiek izmantota pārbaudes veikšanai, lai nodrošinātu, ka iestādi platformā pārstāv iestādes pilnvarota persona.
3.4. Drošības pētnieka anonimitātes nodrošināšanai ir pieļaujams reģistrējoties norādīt brīvi izvēlētas rakstzīmes vārda un uzvārda laukos, kā arī lietotājvārdu un e-pasta adresi, kas neļauj identificēt drošības pētnieku.
3.5. Aizpildot reģistrācijas formu, dalībnieks apstiprina, ka ir iepazinies ar Ievainojamību ziņošanas platformas lietošanas noteikumiem un CERT.LV personas datu apstrādes kārtīb u ievainojamību ziņošanas platformā.
3.6. CERT.LV nodrošina dalībnieku verifikāciju. Dalībnieks uz norādīto e-pasta adresi saņem reģistrācijas apstiprinājuma pieprasījumu un var pabeigt reģistrēšanos platformā.
3.7. CERT.LV atbildīgais darbinieks veic dalībnieka reģistrācijas formas pārbaudi, tai skaitā iestādes pārstāvja saistību ar pieteikto iestādi. Ja pārbaude bijusi veiksmīga, iestādes pārstāvis uz norādīto e-pasta adresi saņem reģistrēšanās apstiprinājuma pieprasījumu un var pabeigt reģistrācijas procesu platformā.
3.8. Dalībnieks ir atbildīgs par ievadīto datu precizitāti un aktualitāti, kā arī apņemas neizmantot citas personas identitāti.
4. Ievainojamību ziņošanas platforma
4.1. Platforma ir paredzēta Latvijas valsts un pašvaldību iestāžu IKT resursu ievainojamību ziņojumu reģistrēšanai un apstrādei.
4.2. Platforma ir pieejama tiešsaistē 24/7, un tā atbalsta efektīvu, pārskatāmu ievainojamību ziņojumu reģistrēšanu, apstrādi un iesaistīto pušu sadarbību.
4.3. Platformā ir atrodama informācija par koordinētas ievainojamību atklāšanas procesā iesaistīto iestāžu pieteiktajiem testējamajiem resursiem (sadaļa “Programmas”), kā arī specifiskas norādes, prasības un ierobežojumi attiecībā uz veicamajiem testiem.
4.4. Platformas publiski pieejamajās sadaļās “Ziņas” un “BUJ” ir publicēta detalizēta informācija un atbildes uz biežāk uzdotajiem jautājumiem.
5. Ievainojamību ziņošanas un atklāšanas pamatprincipi
5.1. Iestādes pārstāvis platformā reģistrē iestādes resursus, kas pieejami testēšanai koordinētas ievainojamību atklāšanas procesa ietvaros, un nodrošina pieteikto ievainojamības ziņojumu apstrādi, nepieciešamības gadījumā piesaistot programmas papildu pārvaldītājus un CERT.LV.
5.2. Plānojot veikt kāda resursa drošības pētīšanu, drošības pētnieks platformā izvēlas atbilstošo programmu un iepazīstas ar programmas dalības noteikumiem.
5.3. Atklātu ievainojamību drošības pētnieks reģistrē platformā, izvēloties atbilstošo iestādi un programmu.
5.4. Gadījumos, kad drošības pētniekam platformā neizdodas atrast identificētajai ievainojamībai atbilstošu programmu un nav iespējams citā veidā informēt iestādes pārstāvi par ievainojamību, vai arī saziņa ar iestādes pārstāvi ir bijusi neveiksmīga, drošības pētniekam ir iespēja reģistrēt ievainojamību platformā programmā CERT.LV Klientūras ievainojamības.
5.5. Drošības pētnieks, iesniedzot ievainojamības ziņojumu, norāda pēc iespējas vairāk informācijas, kas varētu būt noderīga ievainojamības fakta apstiprināšanai un detalizētas izpētes veikšanai.
5.6. Platformā ir iespēja saglabāt ievainojamības apraksta melnrakstu un iesniegt ievainojamības ziņojumu vēlāk.
5.7. Iestādes pārstāvis izvērtē ievainojamības ziņojumu pēc tā saņemšanas. Iestādes pārstāvis, ja nepieciešams, precizē iesniegto informāciju, nosūtot jautājumus drošības pētniekam.
5.8. Iestādes pārstāvis vai drošības pētnieks ziņojuma apstrādē var iesaistīt CERT.LV, pievienojot pie ievainojamības ziņojuma kā dalībnieku.
5.9. Ievainojamības novēršanas ieteicamais termiņš ir 45-90 dienas, ņemot vērā ievainojamības sarežģītību un ietekmes kritiskumu.
5.10. Koordinētas ievainojamību atklāšanas procesā iesaistītās puses vienojas par publiskojamās informācijas apjomu saistībā ar identificēto ievainojamību, ņemot vērā sabiedrības tiesības uz informāciju un iestādes interešu aizsardzību līdzsvaru, lai neradītu iestādei papildu apdraudējumu un zaudējumus, kā arī lai efektīvi reaģētu un novērstu apdraudējumu.
5.11. Pirms informācijas par identificētās ievainojamības publiskošanas CERT.LV izvērtē informācijas saturu (piemēram, ievainojamību nedrīkst izpaust publiski, par ievainojamību jāziņo pēc iespējas ātrāk pēc tās atklāšanas u.c.).
5.12. Ja ievainojamības ziņojums ir saņemts CERT.LV Klientūras ievainojamības programmā, CERT.LV izvērtē iesūtīto ziņojumu. Ja informācija atbilst ievainojamības kritērijiem, CERT.LV uzsāk ievainojamības apstrādes procesu un identificē attiecīgā resursa pārzini. Ja iesūtītā informācija nav identificēta kā ievainojamība, CERT.LV ziņojumu noraida.
5.13. Ievainojamības ziņojumu apstrādā tikai iesaistītie dalībnieki. Informācija nav publiskojama līdz ziņojuma atrisināšanai.
5.14. Saņemot informāciju par ievainojamību, kura jau ir reģistrēta platformā, CERT.LV informē Drošības pētnieku, ka minētā ievainojamība jau ir reģistrēta.
5.15. CERT.LV publicētā informācija par ievainojamību ietver arī atzinību drošības pētniekam, ja vien drošības pētnieks nav norādījis pretējo. Ievainojamībai ir jābūt iepriekš neidentificētai un pietiekami nopietnai, lai par tās atklāšanu CERT.LV piešķirtu atzinību.
5.16. Nopietnas ievainojamības gadījumā CERT.LV var palīdzēt drošības pētniekam reģistrēt ievainojamību kopējās ievainojamību un eksponētību (CVE) sistēmas reģistrā.
6. Drošības pētnieka tiesības un pienākumi
6.1. Drošības pētnieks ievēro programmas noteikumus, nosacījumus un ierobežojumus.
6.2. Drošības pētnieks ievainojamību ziņojumu reģistrē atbilstošajā programmā.
6.3. Ja drošības pētnieks testē resursus, pirms katras testēšanas iterācijas drošības pētnieks atver iestādes programmu un pārliecinās, vai nav veiktas izmaiņas attiecībā uz atļautajām testēšanas darbībām (piemēram, liegta testēšana vai mainītas prasības). Papildprasības, kuras jāievēro drošības pētniekam, iestāde nosaka programmas aprakstā.
6.4. Pēc ziņojuma iesniegšanas saziņa ar drošības pētnieku notiek platformā, ziņojuma komentāros pievienojot informāciju, kas pēc komentāra saglabāšanas tiek nosūtīta uz drošības pētnieka norādīto e-pasta adresi.
6.5. Drošības pētnieks savlaicīgi reaģē uz jautājumiem par iesniegto ievainojamības ziņojumu.
6.6. Drošības pētnieks nav tiesīgs veikt darbības, kas kaitētu iestādei, izmantojot atklāto ievainojamību.
7. Iestādes pārstāvja tiesības un pienākumi
7.1. Iestādi platformā var pārstāvēt:
7.1.1. atbildīgais par informācijas tehnoloģiju drošības pārvaldību;
7.1.2. iestādes vadītāja vai atbildīgā par informācijas tehnoloģiju drošības pārvaldību noteikta atbildīgā persona.
7.2. Iestādēm ir pienākums sadarboties ar CERT.LV ievainojamību atklāšanas un novēršanas procesā un iestādes pārstāvis:
7.2.1. aktualizē iestādes un iestādes pārstāvja informāciju;
7.2.2. pārskata un aktualizē programmas;
7.2.3. nosaka programmas testēšanas nosacījumus;
7.2.4. savlaicīgi reaģē uz platformā saņemtajiem ievainojamību ziņojumiem, jautājumiem un komentāriem;
7.2.5. lemj par CERT.LV vai citu personu iesaisti ievainojamības ziņojuma apstrādē, kā arī precizē nepieciešamo palīdzības apjomu un veidu;
7.2.6. piedalās ar ievainojamības novēršanu saistīto jautājumu risināšanā un sadarbojas ar citām iesaistītajām pusēm, tai skaitā klientu u.c. ietekmēto personu apziņošanu;
7.2.7. informē CERT.LV un drošības pētnieku par ievainojamības novēršanas gaitu;
7.2.8. informē CERT.LV par novērotajām problēmām platformas darbībā;
7.2.9. informē CERT.LV, ja iestāde nolēmusi pārtraukt dalību koordinētas ievainojamību atklāšanas procesā.
7.3. Iestādes vadītājam ir tiesības mainīt jebkuru iestādes pārstāvi platformā, nosūtot pieprasījumu uz e-pasta adresi cvd@cert.lv.
7.4. Iestāde savā tīmekļa vietnē ievieto informāciju par iesaisti koordinētas ievainojamību atklāšanas procesā saskaņā ar informatīvā ziņojuma “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē” 3. nodaļā iekļauto aprakstu.
8. CERT.LV atbildīgo darbinieku tiesības un pienākumi
8.1. CERT.LV atbildīgie darbinieki sniedz atbalstu dalībniekiem.
8.2. CERT.LV saziņai par koordinētas ievainojamību atklāšanas procesa ieviešanu, platformas izmantošanu, iespējamiem uzlabojumiem un informatīvajiem paziņojumiem izmanto e-pasta adresi cvd@cert.lv.
8.3. CERT.LV atbildīgais darbinieks pirms iestādes programmas publicēšanas pārskata iestādes pārstāvja sagatavoto programmas aprakstu ar informāciju par testējamajiem resursiem un citām specifiskām prasībām. CERT.LV ir tiesības uzdot jautājumus un lūgt precizēt programmas aprakstu.
9. Koordinētas ievainojamību atklāšanas procesa pārtraukšana
9.1. Iestāde vai drošības pētnieks informē CERT.LV par dalības pārtraukšanu koordinētas ievainojamību atklāšanas procesā, nosūtot iesniegumu CERT.LV.
9.2. Pēc iesnieguma saņemšanas CERT.LV pārtrauc iestādes vai drošības pētnieka dalību koordinētas ievainojamību atklāšanas procesā un aptur lietotāja konta darbību platformā.
10. Strīdu risināšanas kārtība
10.1. Ja koordinētas ievainojamību atklāšanas procesa iesaistīto pušu starpā izveidojas domstarpības vai strīdi, puses tās cenšas atrisināt pārrunu ceļā, ievērojot Latvijas Republikas tiesību aktos noteikto kārtību.
