17. pants

Tirgus dalībnieks izstrādā, īsteno, uzrauga un regulāri pārskata procedūras loģiskās un fiziskās piekļuves kontrolei. Minētās procedūras ietver šādus loģiskās un fiziskās piekļuves kontroles elementus:

17.1. tiesības attiecībā uz piekļuvi informācijas aktīviem, IKT aktīviem un to atbalstītajām funkcijām, kas tiek pārvaldītas saskaņā ar principiem "vajadzība zināt" un "vajadzība izmantot" un mazāko tiesību principu, arī attiecībā uz attālinātu un ārkārtas piekļuvi;

17.2. lietotāju un sistēmu darbību reģistrēšana, kas nodrošina, ka lietotājus attiecībā uz IKT sistēmās veiktajām darbībām var identificēt. Tirgus dalībnieks nosaka atbilstošu sistēmas žurnālu glabāšanas termiņu, lai tas spētu identificēt, reģistrēt un ziņot par incidentiem, kas saistīti ar IKT, kā arī uzturēt nepieciešamos pierakstus izmeklēšanas un uzraudzības vajadzībām;

17.3. lietotāju kontu pārvaldības procedūras, lai piešķirtu, mainītu vai atsauktu piekļuves tiesības lietotāju un vispārējiem kontiem, tai skaitā vispārējiem administratoru kontiem;

17.4. autentifikācijas metodes, kas ir samērīgas ar šo noteikumu 10. punktā minēto klasifikāciju un IKT aktīvu vispārējo riska profilu un atbilst labākajai praksei;

17.5. piekļuves tiesības tiek periodiski, bet ne retāk kā reizi gadā pārskatītas un atsauktas nekavējoties, kad tās vairs nav vajadzīgas. Tirgus dalībnieks piekļuves tiesības attiecībā uz IKT resursiem un to izmaiņas dokumentē un uztur atbilstošā reģistrā;

17.6. šo noteikumu 17.4. apakšpunkta nolūkos tirgus dalībnieks izmanto stingrās divu vai vairāku faktoru uz labāko praksi balstītas autentifikācijas metodes attiecībā uz attālinātu piekļuvi tirgus dalībnieka datortīklam, privileģētu piekļuvi un piekļuvi IKT aktīviem, kas atbalsta kritiski svarīgas funkcijas, kuras ir publiski pieejamas.

18