11.1.2017   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 6/40

(1)

Komisijas komunikācijas un informācijas sistēmas ir Komisijas funkcionēšanas sastāvdaļa, un IT drošības incidenti var nopietni ietekmēt Komisijas darbību, kā arī trešās personas, ieskaitot privātpersonas, uzņēmumus un dalībvalstis.

(2)

Komisijas komunikācijas un informācijas sistēmu konfidencialitātei, veselumam un pieejamībai un tajās apstrādātajai informācijai draud visdažādākās briesmas. Starp tām minami negadījumi, kļūdas, tīši uzbrukumi un dabas parādības, un tas viss uzskatāms par risku darbībai.

(3)

Komunikācijas un informācijas sistēmām jāsaņem tādas pakāpes aizsardzība, kādu prasa draudošā riska iespējamība, ietekme un raksturs.

(4)

IT drošībai Komisijā jānodrošina, lai Komisijas KIS aizsargā tajās apstrādāto informāciju un leģitīmo lietotāju kontrolē vajadzības gadījumā darbojas, kā pienākas.

(5)

Komisijas IT drošības politika būtu jāīsteno saskanīgi ar Komisijas politiku drošības jomā.

(6)

Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorāts vispārīgi atbild par drošību Komisijā, ko pārzina un par ko atbild par drošību atbildīgais Komisijas loceklis.

(7)

Komisijas pieejā būtu jāņem vērā ES politiskās iniciatīvas un tiesību normas par tīklu un informācijas drošību, rūpniecības standartiem un labāko praksi, lai ievērotu visus attiecīgos tiesību aktus un dotu vietu sadarbspējai un saderībai.

(8)

Komisijas struktūrvienībām, kas atbild par komunikācijas un informācijas sistēmām, būtu jāizstrādā un jāīsteno piemēroti pasākumi, un visā Komisijā būtu koordinējami IT drošības pasākumi, kas aizsargā komunikācijas un informācijas sistēmas.

(9)

Informācijas piekļuves noteikumiem un procedūrām IT drošības sakarā, ieskaitot rīcību IT drošības incidentos, būtu jābūt proporcionāliem Komisijai un tās personālam draudošajām briesmām un jāatbilst Eiropas Parlamenta un Padomes Regulas (EK) Nr. 45/2001 (1) principiem, kas attiecas uz privātpersonu aizsardzību Savienības iestādēs un struktūrās notiekošās personas datu apstrādes aspektā un šādu datu brīvu apriti, un jārēķinās ar LESD 339. pantā noteikto dienesta noslēpuma glabāšanas principu.

(10)

Politikai un normām, kas attiecas uz komunikāciju un informācijas sistēmām, kuras apstrādā ES klasificētu informāciju, sensitīvu neklasificētu informāciju un neklasificētu informāciju, ir pilnīgi jāsaskan ar Komisijas Lēmumiem (ES, Euratom) 2015/443 (2) un (ES, Euratom) 2015/444 (3).

(11)

Ir vajadzīgs, lai Komisija pārskata un atjaunina noteikumus par Komisijas lietoto komunikāciju un informācijas sistēmu drošību.

(12)

Tāpēc Komisijas Lēmums C(2006) 3602 būtu jāatceļ,

1)

“saucams pie atbildības” nozīmē būt atbildīgam par darbībām, lēmumiem un rezultātiem;

2)

“CERT-EU” ir ES iestāžu un aģentūru datorapdraudējumu reaģēšanas vienība. Tās uzdevums ir atbalstīt Eiropas iestādes aizsargāties pret tīšiem un ļaunprātīgiem uzbrukumiem, kuri var iedragāt IT aktīvu veselumu un kaitēt ES interesēm. CERT-EU darbībās ietilpst profilakse, atklāšana, reaģēšana un atkope;

3)

“Komisijas struktūrvienība” ir Komisijas ģenerāldirektorāts vai dienests vai Komisijas locekļa kabinets;

4)

“Komisijas drošības iestāde” norāda uz Lēmumā (ES, Euratom) 2015/444 noteikto lomu;

5)

“Komunikācijas un informācijas sistēma” jeb “KIS” ir katra sistēma, kas ļauj rīkoties ar informāciju elektroniskā formā, ieskaitot visus aktīvus, kas vajadzīgi tās darbībai, kā arī infrastruktūras, organizācijas, personāla un informācijas resursus. Šis jēdziens aptver darba lietotnes, kopīgotus IT pakalpojumus, ārpakalpojumā nodotās sistēmas un galalietotāju ierīces;

6)

“iestādes valde” (IV) veic pārraudzību iestādes vadības pašā augstākajā līmenī saistībā ar Komisijas darbības un administratīvajiem jautājumiem;

7)

“datu īpašnieks” ir privātpersona, kas atbild par KIS apstrādātu specifisku datu kopumu aizsardzības un lietošanas nodrošināšanu;

8)

“datu kopa” ir informācijas kopums, kas kalpo noteiktam Komisijas darba procesam vai darbībai;

9)

“ārkārtas procedūra” ir iepriekš noteiktu metožu un pienākumu kopums reaģēšanai ārkārtas situācijās ar nolūku novērst lielāku ietekmi uz Komisiju;

10)

“informācijas drošības politika” ir informācijas drošības mērķu kopums, kuri tiek noteikti, īstenoti un pārbaudīti vai kuriem tas ir jādara. Tā aptver Lēmumus (ES, Euratom) 2015/444 un (ES, Euratom) 2015/443, bet ne tikai tos;

11)

“Informācijas drošības koordinācijas padome” (IDKP) ir pārvaldības struktūra, kas atbalsta iestādes valdi ar IT drošību saistītajos uzdevumos;

12)

“iekšējs IT pakalpojumu sniedzējs” ir Komisijas struktūrvienība, kas sniedz koplietojamus IT pakalpojumus;

13)

“IT drošība” jeb “KIS drošība” ir KIS un to apstrādājamo datu kopu konfidencialitātes, veseluma un pieejamības saglabāšana;

14)

“IT drošības vadlīnijas” ir ieteicamie, bet brīvprātīgi veicamie pasākumi, kas palīdz atbalstīt IT drošības standartus vai kalpo par atsauci, kad trūkst piemērojama standarta;

15)

“IT drošības incidents” ir atgadījums, kas varētu negatīvi ietekmēt KIS konfidencialitāti, veselumu vai pieejamību;

16)

“IT drošības pasākums” ir tehnisks vai organizatorisks pasākums, kas domāts IT drošības riska mazināšanai;

17)

“IT drošības vajadzības” ir precīzi, nepārprotami definētas konfidencialitātes, veselumu un pieejamības pakāpes, ko saista ar informāciju vai IT sistēmu ar mērķi noteikt vajadzīgās aizsardzības pakāpi;

18)

“IT drošības mērķis” ir deklarēts nodoms pretoties noteiktiem apdraudējumiem un/vai apmierināt noteiktas organizatoriskas drošības prasības vai pieņēmumus;

19)

“IT drošības plāns” ir kādas KIS IT drošības vajadzību apmierināšanai vajadzīgie IT drošības pasākumu dokumenti;

20)

“IT drošības politika” ir informācijas drošības mērķu kopums, kuri tiek noteikti, īstenoti un pārbaudīti vai ar kuriem tas ir jādara. Tā aptver šo lēmumu un tā īstenošanas noteikumus;

21)

“IT drošības prasības” ir iepriekšēji noteiktā procesā formalizētas IT drošības vajadzības;

22)

“IT drošības risks” nozīmē ietekmi uz KIS, ko neaizsargātības dēļ varētu atstāt apdraudējums IT drošībai. Pašu IT drošības risku raksturo divi elementi: 1) nenoteiktība, t. i., varbūtība, ka IT drošības apdraudējums izraisīs nevēlamu atgadījumu, 2) ietekme, t. i., sekas, ko tāds nevēlams atgadījums var atstāt KIS;

23)

“IT drošības normas” ir īpaši obligāti IT drošības pasākumi, kas palīdz panākt IT drošības politikas izpildi un to atbalsta;

24)

“IT drošības stratēģija” ir Komisijas mērķu sasniegšanai plānoto nosakāmo, īstenojamo un pārbaudāmo projektu un darbību kopums;

25)

“apdraudējums IT drošībai” ir faktors, kas spēj izraisīt nevēlamu atgadījumu, kurš var beigties ar nodarījumu KIS. Apdraudējumi var būt netīši vai tīši, un tiem ir raksturīgi dažādi apdraudējuma elementi, iespējamie mērķi un uzbrukuma metodes;

26)

“vietējais informātikas drošības speciālists” jeb LISO ir ierēdnis, kura pienākumos ir Komisijas struktūrvienības saziņa sakarā ar IT drošību;

27)

“personas dati”, “personas datu apstrāde”, “datu pārzinis” un “personas datu kartotēka” nozīmē to pašu, ko Regulā (EK) Nr. 45/2001, sevišķi tās 2. pantā;

28)

“informācijas apstrāde” ir visas KIS funkcijas, kas attiecas uz datu kopām, ieskaitot informācijas radīšanu, pārveidošanu, parādīšanu, glabāšanu, pārraidīšanu, dzēšanu un arhivēšanu. Informācijas apstrādi KIS var sniegt kā funkciju kopu lietotājiem un kā IT pakalpojumus citām KIS;

29)

“dienesta noslēpums” ir tādu darba datu informācijas aizsardzība, uz kuriem attiecas pienākums glabāt dienesta noslēpumu, it īpaši informācija par uzņēmumiem, to darījumsakariem vai izmaksu komponentēm, kā noteikts LESD 339. pantā;

30)

“atbildīgs” ir tāds, kam ir pienākums rīkoties un pieņemt lēmumus vajadzīgā iznākuma sasniegšanai;

31)

“drošība Komisijā” ir cilvēku, aktīvu un informācijas drošība Komisijā, it īpaši cilvēku un aktīvu fiziskais veselums, informācijas un komunikācijas un informācijas sistēmu veselums, konfidencialitāte un pieejamība, kā arī Komisijas darbību netraucēta norise;

32)

“kopīgots IT pakalpojums” ir pakalpojums, ko informācijas apstrādē KIS sniedz citām KIS;

33)

“sistēmas īpašnieks” ir fiziska persona, kas atbild par kopējo KIS iepirkumu, izstrādi, integrēšanu, pārveidošanu, darbināšanu, uzturēšanu un norakstīšanu;

34)

“lietotājs” ir fiziska persona, kas izmanto KIS sniegtās funkcijas Komisijā vai ārpus tās.

a)

autentiskums – garantija, ka informācija ir īsta un saņemta no labticīgiem avotiem;

b)

pieejamība – tai var piekļūt un to var izmantot pēc pilnvarotas iestādes pieprasījuma;

c)

konfidencialitāte – informāciju neatklāj nesankcionētām personām, iestādēm vai procesiem;

d)

veselums – spēja nosargāt informācijas un aktīvu precizitāti un pilnīgumu;

e)

neapstrīdamība – spēja pierādīt, ka darbība vai atgadījums ir noticis, lai vēlāk nevarētu notikumu noliegt;

f)

personas datu aizsardzība – piemērotu aizsardzības pasākumu nodrošināšana personas datiem pilnīgā atbilstībā Regulai (EK) Nr. 45/2001;

g)

dienesta noslēpums – tādu darba datu informācijas aizsardzība, uz kuriem attiecas pienākums glabāt dienesta noslēpumu, it īpaši informācija par uzņēmumiem, to darījumsakariem vai izmaksu komponentēm, kā noteikts LESD 339. pantā.

1)

salāgo IT drošības politiku ar Komisijas informācijas drošības politiku;

2)

iedibina kārtību šifrēšanas tehnoloģiju izmantošanas atļaušanai KIS informācijas glabāšanā un sniegšanā;

3)

informē Informātikas ģenerāldirektorātu par īpašu apdraudējumu, kas var ievērojami iespaidot KIS un to apstrādājamo datu kopu drošību;

4)

inspicē IT drošību, lai varētu novērtēt, kā Komisijas KIS ievēro drošības politiku, un par rezultātiem ziņo IDKP;

5)

iedibina kārtību un attiecīgus pienācīgus drošības noteikumus par atļaujām piekļūt Komisijas KIS no ārējiem tīkliem un ciešā sadarbībā ar Informātikas ģenerāldirektorātu izstrādā attiecīgās IT drošības normas un vadlīnijas;

6)

KIS nodošanai ārpakalpojumos ierosina principus un noteikumus, lai informācijas drošību paturētu pienācīgā kontrolē;

7)

ciešā sadarbībā ar Informātikas ģenerāldirektorātu izstrādā saistītās IT drošības normas un vadlīnijas sakarā ar 6. pantu.

1)

izstrādā IT drošības normas un vadlīnijas, izņemot 6. pantā noteiktās, ciešā sadarbībā ar Cilvēkresursu un drošības ģenerāldirektorātu, lai nodrošinātu IT drošības politikas un Komisijas informācijas drošības politikas konsekventu saskanību, un iesniedz to priekšlikumu IDKP;

2)

novērtē visu Komisijas struktūrvienību IT drošības risku pārzināšanas metodes, procesus un rezultātus un par to regulāri ziņo IDKP;

3)

aktuālo IT drošības stratēģiju iesniedz IDKP pārskatīt un apstiprināt un pēc tam iestādes valdei apstiprināt un liek priekšā programmu, kurā iekļauj IT drošības stratēģijas īstenošanas projektu un darbību plānošanu;

4)

pārrauga Komisijas IT drošības stratēģijas izpildi un par to regulāri ziņo IDKP;

5)

pārrauga IT drošības riskus un KIS īstenotos IT drošības pasākumus un par to regulāri ziņo IDKP;

6)

regulāri ziņo IDKP par vispārējo īstenošanu un atbilstību šim lēmumam;

7)

apspriedies ar Cilvēkresursu un drošības ģenerāldirektorātu, pieprasa sistēmu īpašniekiem veikt īpašus IT drošības pasākumus, lai mazinātu Komisijas KIS IT drošības riskus;

8)

nodrošina, lai sistēmas īpašniekiem un datu īpašniekiem būtu pieejami adekvāti Informātikas ģenerāldirektorāta IT drošības pakalpojumi, lai tie varētu izpildīt savus pienākumus IT drošības jomā un panākt atbilstību IT drošības politikai un normām;

9)

piegādā sistēmu un datu īpašniekiem adekvātu dokumentāciju un ar tiem pienācīgi apspriežas par to IT pakalpojumiem piemērojamajiem IT drošības pasākumiem, lai atvieglinātu atbilstību IT drošības politikai un atbalstītu sistēmu īpašniekus IT riska pārzināšanā;

10)

rīko regulāras sanāksmes ar LISO tīklu un atbalstu LISO viņu pienākumu izpildē;

11)

sadarbībā ar Komisijas struktūrvienībām nosaka apmācības vajadzības un koordinē apmācības programmas IT drošības jautājumos un ciešā sadarbībā ar Cilvēkresursu ģenerāldirektorātu izstrādā, īsteno un koordinē izpratnes veicināšanas kampaņas IT drošības jautājumos;

12)

nodrošina, ka sistēmas īpašniekiem, datu īpašnieku un citu IT drošības pienākumu pildītājiem Komisijas struktūrvienībās tiek darīts zināms par IT drošības politiku;

13)

informē Cilvēkresursu un drošības ģenerāldirektorātu par konkrētiem apdraudējumiem IT drošībai, incidentiem un sistēmas īpašnieku paziņotiem izņēmumiem Komisijas IT drošības politikā, kuriem varētu būt ievērojama ietekme uz drošību Komisijā;

14)

savā iekšēja IT pakalpojumu sniedzēja funkcijā piegādā Komisijai katalogu, kurā ir koplietotie IT pakalpojumi, kas nodrošina noteiktas pakāpes drošību. To dara, sistemātiski novērtējot, pārvaldot un pārraugot IT drošības riskus, lai varētu īstenot drošības pasākumus ar nolūku panākt noteiktu drošuma pakāpi.

1)

oficiāli katrai KIS ieceļ sistēmas īpašnieku no ierēdņiem vai pagaidu darbiniekiem, kurš atbild par minētās KIS IT drošību, un katrai KIS apstrādājamajai datu kopai oficiāli ieceļ datu īpašnieku, kurš pieder pie tās pašas administratīvās vienības, kura ir datu kopu datu pārzinis atbilstoši Regulai (EK) Nr. 45/2001;

2)

oficiāli ieceļ vietējo informātikas drošības speciālistu (LISO), kurš spēj veikt pienākumus neatkarīgi no sistēmas īpašniekiem un datu īpašniekiem. Vienu LISO var iecelt vienai vai vairākām Komisijas struktūrvienībām;

3)

nodrošina pienācīga IT drošības riska novērtējumu un IT drošības plānu sastādīšanu un īstenošanu;

4)

gādā, lai Informātikas ģenerāldirektorātam regulāri tiktu iesniegts IT drošības risku un pasākumu kopsavilkums;

5)

ar Informātikas ģenerāldirektorāta atbalstu nodrošina, ka ir ieviesti piemēroti procesi, procedūras un risinājumi, kas nodrošina ar viņa KIS saistītu IT drošības incidentu efektīvu atklāšanu, izziņošanu un atrisināšanu;

6)

IT drošības ārkārtas situācijā sāk ārkārtas gadījuma procedūru;

7)

ir pilnīgi atbildīgs par IT drošību, ieskaitot sistēmas īpašnieka un datu īpašnieka pienākumus;

8)

atbild par risku, kas saistīts ar viņa KIS un datu kopām;

9)

atrisina ikkatras domstarpības starp datu īpašniekiem un sistēmu īpašniekiem un ieilgušu domstarpību gadījumā nodod lieti izskatīšanai IDKP;

10)

nodrošina IT drošības plānu un IT drošības pasākumu īstenošanu un risku adekvātu aptvērumu.

a)

gādā par KIS atbilstību IT drošības politikai;

b)

gādā par KIS precīzu ierakstīšanu attiecīgajā reģistrā;

c)

sadarbībā ar datu īpašniekiem, apspriežoties ar Informātikas ģenerāldirektorātu, novērtē katras KIS IT drošības risku un nosaka IT drošības vajadzības;

d)

sastāda drošības plānu, attiecīgā gadījumā tajā iekļaujot ziņas par novērtēto risku un citiem vajadzīgiem drošības pasākumiem;

e)

īsteno piemērotus IT drošības pasākumus, kas ir proporcionāli noskaidrotajam IT drošības riskam, un ievēro IDKP atbalstītos ieteikumus;

f)

noskaidro atkarību no citām KIS vai koplietotiem IT pakalpojumiem un īsteno pienācīgus drošības pasākumus, balstoties uz minēto KIS vai koplietoto IT pakalpojumu ierosinātajām drošības pakāpēm;

g)

pārzina un pārrauga IT drošības riskus;

h)

regulāri ziņo Komisijas struktūrvienības vadītājam par savas KIS IT drošības riska profilu un Informātikas ģenerāldirektorātam par attiecīgo risku, riska pārzināšanas darbībām un veiktajiem drošības pasākumiem;

i)

konsultējas ar attiecīgo Komisijas struktūrvienību LISO par IT drošības aspektiem;

j)

dod norādījumus lietotājiem par KIS un ar to saistīto datu lietošanu, kā arī par lietotāju pienākumiem KIS sakarā;

k)

pieprasa Cilvēkresursu un drošības ģenerāldirektorātam, kas darbojas kā šifrēšanas iestāde, atļauju katrai KIS, kura izmanto šifrēšanas tehnoloģiju;

l)

laikus konsultējas ar Komisijas Drošības iestādi par katru sistēmu, kura apstrādā ES klasificētu informāciju;

m)

nodrošina visu šifra atslēgu dublējuma glabāšanos uzticējumglabāšanas kontā. Šifrētu datu atguvi izdara tikai tad, ja tas atļauts Cilvēkresursu un drošības ģenerāldirektorāta noteiktā kārtībā;

n)

ievēro attiecīgo datu pārziņu norādījumus par personas datu aizsardzību un datu aizsardzības noteikumu par apstrādes drošību piemērošanu;

o)

paziņo Informātikas ģenerāldirektorātam par izņēmumiem no Komisijas IT drošības politikas, pievienojot attiecīgu attaisnojumu;

p)

ziņo Komisijas struktūrvienības vadītājam par visām neatrisinātām domstarpībām starp datu īpašnieku un sistēmas īpašnieku, IT drošības incidentus laicīgi dara zināmus attiecīgajām ieinteresētajām personām atbilstīgi to nopietnumam, kā noteikts 15. pantā;

q)

ārpakalpojumā nodotām sistēmām nodrošina piemērotu IT drošības noteikumu iekļaušanu ārpakalpojuma līgumā un paziņošanu par ārpakalpojumā nodotās KIS IT drošības incidentiem saskaņā ar 15. pantu;

r)

nodrošina KIS, kuras sniedz koplietojamus IT pakalpojumus, noteiktas drošības pakāpes nodrošinājumu, skaidru dokumentēšanu un drošības pasākumu īstenošanu minētajai KIS, lai panāktu noteikto drošības pakāpi.

a)

gādā, lai visas viņā atbildībā esošās datu kopas tiktu pienācīgi klasificētas saskaņā ar Lēmumiem (ES, Euratom) 2015/443 un (ES, Euratom) 2015/444;

b)

nosaka informācijas drošības vajadzības un par tām informē attiecīgos sistēmas īpašniekus;

c)

piedalās KIS riska novērtēšanā;

d)

ziņo Komisijas struktūrvienības vadītājam par visām neatrisināmām domstarpībām starp datu īpašnieku un sistēmas īpašnieku;

e)

dara zināmus IT drošības incidentus, kā noteikts 15. pantā.

a)

proaktīvi nosaka IT drošības politiku un par to informē sistēmas īpašniekus, datu īpašniekus un citu IT drošības pienākumu pildītājus Komisijas struktūrvienībās;

b)

uztur saziņu Komisijas struktūrvienībās IT drošības jautājumos ar Informātikas ģenerāldirektorātu LISO tīkla ietvaros;

c)

piedalās regulārajās LISO sanāksmēs;

d)

uztur pārskatu par informācijas drošības riska pārzināšanas procesu un informācijas sistēmas drošības plānu sastādīšanu un īstenošanu;

e)

konsultē datu īpašniekus, sistēmu īpašniekus un Komisijas struktūrvienību vadītājus ar IT drošību saistītos jautājumos;

f)

sadarbojas ar Informātikas ģenerāldirektorātu labas IT drošības prakses izplatīšanā un ierosina konkrētas izpratnes veicināšanas un apmācības programmas;

g)

ziņo Komisijas struktūrvienību vadītājiem par IT drošību, konstatētiem trūkumiem un uzlabojumiem.

a)

ievēro IT drošības politiku un sistēmas īpašnieka dotos norādījumus par katras KIS lietošanu;

b)

dara zināmus IT drošības incidentus, kā noteikts 15. pantā.

a)

ir tiesīgs piekļūt visu incidentu reģistru informatīviem kopsavilkumiem un pēc pieprasījuma arī reģistru pilnajai informācijai;

b)

līdzdarbojas IT drošības incidentu krīzes pārvarēšanas grupās un ar IT drošību saistītajās ārkārtas procedūrās;

c)

ir atbildīgs par attiecībām ar tiesībaizsardzības un izlūkošanas iestādēm;

d)

veic kriminālistisko kiberdrošības ekspertīzi atbilstoši Lēmuma (ES, Euratom) 2015/443 11. pantam;

e)

lemj par nepieciešamību uzsākt oficiālu izmeklēšanu;

f)

informē Informātikas ģenerāldirektorātu par IT drošības incidentiem, kas var radīt risku citām KIS.

a)

nekavējoties informē Komisijas struktūrvienību vadītājus, Informātikas ģenerāldirektorātu, Cilvēkresursu un drošības ģenerāldirektorātu, LISO un attiecīgā gadījumā datu īpašniekus par nozīmīgiem IT drošības incidentiem, jo īpaši par tādiem incidentiem, kas ir saistīti ar datu konfidencialitātes pārkāpumu;

b)

sadarbojas un ievēro attiecīgo Komisijas iestāžu norādījumus par saziņas, reakcijas un koriģēšanas pasākumiem saistībā ar incidentu.