24-TA-3243: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Informācijas sistēmu izvietošanas un datu centru drošības prasības" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Tiesību akts izstrādāts saskaņā ar Nacionālās kiberdrošības likuma (NKDL) 30. panta otro daļu.
NKDL 30. panta otrajā daļā Ministru kabinetam ir deleģēts uzdevums izstrādāt datu centru drošības prasības, noteikumus informācijas sistēmu uzturēšanai ārpus subjekta informāciju un komunikāciju tehnoloģiju (IKT) infrastruktūras un drošības operāciju centru (SOC) izveidošanu un darbību datu centros.
NKDL 30. panta otrajā daļā Ministru kabinetam ir deleģēts uzdevums izstrādāt datu centru drošības prasības, noteikumus informācijas sistēmu uzturēšanai ārpus subjekta informāciju un komunikāciju tehnoloģiju (IKT) infrastruktūras un drošības operāciju centru (SOC) izveidošanu un darbību datu centros.
1.2. Mērķis
Mērķa apraksts
Noteikumu mērķis ir noteikt kārtību informācijas sistēmas uzturēt atbilstošā un drošā infrastruktūrā, ja nolemts tās uzturēt datu centros, kā arī noteikt kārtību, kā tiek veikta un uzraudzīta datu centru drošības atbilstība, kā arī noteikt drošības operāciju centru (SOC) darbību datu centros, tai skaitā telemetrijas datu uzraudzību.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Nacionālā kiberdrošības likuma 3. pantā definēto subjektu (turpmāk subjekti) informācijas sistēmu drošība, tai skaitā datu centros, tiek ietekmēta saistībā ar nemitīgi pieeaugošajiem kiberdraudiem globālā mērogā. Pieaugošais kiberincidentu skaits Latvijā, tai skaitā starptautiski koordinēti uzbrukumi, bieži ietekmē subjektu informācijas sistēmas, kas tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai, valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai.
Subjekti pašlaik savas informācijas sistēmas uztur gan valsts, gan privātos datu centros, tai skaitā mākoņdatošanas vidē, kur atsevišķos gadījumos trūkst atbilstības starptautiskajiem drošības standartiem, piemēram, ISO/IEC 27001 un EN 50600. Lai gan sertificēšana ir pakalpojuma kvalitātes apliecinājums, bez motivācijas veikt sertifikāciju un nodrošināt tās aktualitāti, datu centru operatori to neveic, jo prasa ievērojamus finanšu resursus.
Pašreiz kompetentā kiberincidentu novēršanas institūcija nodrošina vairākus kibertelpas uzraudzības pakalpojumus un pasākumus piem. automatizēta perimetra skanēšana valsts institūciju publiskajam tīklam, agrīnās brīdināšanas sensoru izvietošana valsts institūciju informācijas un komunikāciju tehnoloģiju infrastruktūrā. Šie pakalpojumi nodrošina valsts institūciju iekšējās informācijas un komunikāciju tehnoloģiju infrastruktūras kibernotikumu uzraudzību un iespējamo ievainojamību pārbaudi publiski pieejamiem valsts institūciju resursiem. Šie pasākumi nenodrošina pilnvērtīgu uzraudzību gadījumos, kad informācijas sistēmas tiek uzturētas datu centros vai izmantojot mākoņpakalpojumus. Bieži vien datu centru operatori nodrošina datu centra drošības operācijas centra pakalpojumu, bet nenodrošina piekļuvi drošības telemetrijas (kiberapdraudējuma identificēšanai nepieciešamie dati, tai skaitā operētājsistēmu un lietotņu žurnālfaili, auditācijas pieraksti, dati un metadati par datu plūsmā identificētajiem drošības notikumiem) datu pirmavotam, šādi ierobežojot kompetento kiberincidentu novēršanas institūciju uzdevumu izpildi, tai skaitā reaģēšanu uz kiberincidentiem un to analīzi.
Subjekti pašlaik savas informācijas sistēmas uztur gan valsts, gan privātos datu centros, tai skaitā mākoņdatošanas vidē, kur atsevišķos gadījumos trūkst atbilstības starptautiskajiem drošības standartiem, piemēram, ISO/IEC 27001 un EN 50600. Lai gan sertificēšana ir pakalpojuma kvalitātes apliecinājums, bez motivācijas veikt sertifikāciju un nodrošināt tās aktualitāti, datu centru operatori to neveic, jo prasa ievērojamus finanšu resursus.
Pašreiz kompetentā kiberincidentu novēršanas institūcija nodrošina vairākus kibertelpas uzraudzības pakalpojumus un pasākumus piem. automatizēta perimetra skanēšana valsts institūciju publiskajam tīklam, agrīnās brīdināšanas sensoru izvietošana valsts institūciju informācijas un komunikāciju tehnoloģiju infrastruktūrā. Šie pakalpojumi nodrošina valsts institūciju iekšējās informācijas un komunikāciju tehnoloģiju infrastruktūras kibernotikumu uzraudzību un iespējamo ievainojamību pārbaudi publiski pieejamiem valsts institūciju resursiem. Šie pasākumi nenodrošina pilnvērtīgu uzraudzību gadījumos, kad informācijas sistēmas tiek uzturētas datu centros vai izmantojot mākoņpakalpojumus. Bieži vien datu centru operatori nodrošina datu centra drošības operācijas centra pakalpojumu, bet nenodrošina piekļuvi drošības telemetrijas (kiberapdraudējuma identificēšanai nepieciešamie dati, tai skaitā operētājsistēmu un lietotņu žurnālfaili, auditācijas pieraksti, dati un metadati par datu plūsmā identificētajiem drošības notikumiem) datu pirmavotam, šādi ierobežojot kompetento kiberincidentu novēršanas institūciju uzdevumu izpildi, tai skaitā reaģēšanu uz kiberincidentiem un to analīzi.
Problēmas un risinājumi
Problēmas apraksts
Izvērtējot pašreizējo situāciju un Nacionālā kiberdrošības likuma prasības attiecībā uz informācijas sistēmu drošību datu centros ir identificētas šādas galvenās problēmas:
P1. Vienotu drošības prasību trūkums datu centriem, kuros tiek uzturētas informācijas sistēmas, kas tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai, valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai.
P2. Datu centru operatoriem nav pienākuma veikt datu centru sertifikāciju.
P3. Subjektiem nav noteiktas prasības attiecībā uz pakalpojumu sniedzēju izvēli.
P4. Datu centru operatoriem nav motivācija dalīties ar telemetrijas datiem ar kompetento kiberincidentu novēršanas institūciju.
P1. Vienotu drošības prasību trūkums datu centriem, kuros tiek uzturētas informācijas sistēmas, kas tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai, valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai.
P2. Datu centru operatoriem nav pienākuma veikt datu centru sertifikāciju.
P3. Subjektiem nav noteiktas prasības attiecībā uz pakalpojumu sniedzēju izvēli.
P4. Datu centru operatoriem nav motivācija dalīties ar telemetrijas datiem ar kompetento kiberincidentu novēršanas institūciju.
Risinājuma apraksts
Identificētās problēmas tiek risinātas ar šiem noteikumiem nosakot:
1. Datu centru drošības prasības;
2. Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtību;
3. Informācijas sistēmu izvietošanas noteikumi datu centros;
4. Drošības operāciju centru (SOC) izveide un darbība.
1. Datu centru drošības prasības;
2. Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtību;
3. Informācijas sistēmu izvietošanas noteikumi datu centros;
4. Drošības operāciju centru (SOC) izveide un darbība.
Problēmas apraksts
P1. Vienotu drošības prasību trūkums datu centriem, kuros tiek uzturētas informācijas sistēmas, kas tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai, valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai.
Pašreiz Latvijā nav ieviesta vienota drošības prasību sistēma datu centriem, kuros tiek uzturētas nacionālā mērogā svarīgas informācijas sistēmas. Daudzas no pieminētajām sistēmām tiek uzturētas infrastruktūrās, kas neatbilst starptautiski atzītiem drošības standartiem. Šāda situācija rada nozīmīgus drošības riskus, jo šīs sistēmas var tikt kompromitētas, ietekmējot valsts mēroga uzdevumu un pakalpojumu nepārtrauktību.
Pašreiz Latvijā nav ieviesta vienota drošības prasību sistēma datu centriem, kuros tiek uzturētas nacionālā mērogā svarīgas informācijas sistēmas. Daudzas no pieminētajām sistēmām tiek uzturētas infrastruktūrās, kas neatbilst starptautiski atzītiem drošības standartiem. Šāda situācija rada nozīmīgus drošības riskus, jo šīs sistēmas var tikt kompromitētas, ietekmējot valsts mēroga uzdevumu un pakalpojumu nepārtrauktību.
Risinājuma apraksts
Vadoties pēc starptautiskiem datu centru standartiem, noteikumu sadaļā "II.Datu centru drošības" minētajā noteikumu 1. pielikumā "Datu centru drošības līmeņa prasības" noteiktas konkrētas drošības prasības datu centriem šādās jomās: Organizatoriskās prasības; Tehniskās prasības; Fiziskās drošības prasības; Pieejamības prasības; informācijas un komunikāciju tehnoloģiju pakalpojumu prasības.
Papildus pienākumi datu centru operatoriem noteikti noteikumu sadaļā "IV.Datu centra operatoru pienākumi".
Papildus pienākumi datu centru operatoriem noteikti noteikumu sadaļā "IV.Datu centra operatoru pienākumi".
Problēmas apraksts
P2. Datu centru operatoriem nav pienākuma veikt datu centru sertifikāciju.
Daļa valsts un pašvaldību institūciju informācijas sistēmas tiek uzturētas nesertificētos valsts institūciju datu centros. Ekonomiskie izaicinājumi un motivācijas trūkums attur datu centru operatorus veikt starptautisko sertifikāciju datu centriem, rezultātā paaugstinot drošības riskus tajos uzturētajām informācijas sistēmām.
Daļa valsts un pašvaldību institūciju informācijas sistēmas tiek uzturētas nesertificētos valsts institūciju datu centros. Ekonomiskie izaicinājumi un motivācijas trūkums attur datu centru operatorus veikt starptautisko sertifikāciju datu centriem, rezultātā paaugstinot drošības riskus tajos uzturētajām informācijas sistēmām.
Risinājuma apraksts
Lai risinātu ekonomiskos izaicinājumus ir izveidota datu centru atbilstības pārbaudes un uzraudzības kārtība noteikumu sadaļā "III.Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtība", kas datu centru operatoriem nodrošinās iespēju izmantot kvalificētu auditoru pakalpojumus atbilstības pārbaudēm un tikt reģistrētiem drošo datu centru reģistrā, tādējādi atbrīvojot tos no starptautiskās sertifikācijas finanšu sloga.
Lai motivētu arī privāto datu centru operatoriem uzturēt starptautiskos sertifikātus vai reģistrēties drošo datu centru reģistrā, noteikumu sadaļā "V.Informācijas sistēmu izvietošanas noteikumi datu centros" noteikti pienākumi subjektiem izvēlēties starptautiski sertificēta datu centra vai drošo datu centru reģistrā esoša datu centra pakalpojumus.
Kiberdrošības auditoru sarakstu apstiprina Digitālās drošības uzraudzības komiteja atbilstoši Ministru kabineta noteikumos Noteikumi par minimālajām kiberdrošības prasībām noteiktajām prasībām noteiktajai kārtībai, kurā ir iekļauti arī auditori, kuriem ir kompetence veikt datu centru atbilstības pārbaudes (kvalificētie auditori).
Līdz brīdim kamēr tiks apstiprināts kiberdrošības auditoru saraksts, datu centru atbilstības pārbaudes atļauts veikt datu centru auditoriem ar starptautiski atzīta datu centra auditora sertifikātu. Nacionālais kiberdrošibas centrs oficiālajā tīmekļa vietnē publicēs kvalificēta auditora kompetences prasības, tai skaitā rekomendēto starptautiski atzīto datu centra auditoru sertifikātu uzskaitījumu. Rekomendētās prasības kvalificētajiem auditoriem:
1. ir ieguvis un ir aktuāls sertificēta informācijas sistēmu auditora (Certified Information Systems Auditor - CISA) sertifikāts vai sertificēta datu centru auditora profesionāļa (Certified Data Centre Audit Professional - CDCAP) sertifikāts vai līdzvērtīgs;
2. ir ieguvis un ir aktuāls starptautiskās standartizācijas organizācijas (ISO) 27001 galvenā auditora sertifikāts vai līdzvērtīgs;
3. ir tiesības veikt datu centru auditus pēc starptautiskās standartizācijas organizācijas un starptautiskās elektrotehnikas komisijas (ISO/IEC) 22237:2021 standarta prasībām;
3. auditora personālam ir vismaz divu gadu profesionāla pieredze informācijas tehnoloģiju audita vai informācijas tehnoloģiju drošības audita jomā;
4. auditora personālam ir vismaz viena gada pieredze starptautiskās standartu organizācijas (ISO) 27001 auditā vai līdzvērtīga.
Lai motivētu arī privāto datu centru operatoriem uzturēt starptautiskos sertifikātus vai reģistrēties drošo datu centru reģistrā, noteikumu sadaļā "V.Informācijas sistēmu izvietošanas noteikumi datu centros" noteikti pienākumi subjektiem izvēlēties starptautiski sertificēta datu centra vai drošo datu centru reģistrā esoša datu centra pakalpojumus.
Kiberdrošības auditoru sarakstu apstiprina Digitālās drošības uzraudzības komiteja atbilstoši Ministru kabineta noteikumos Noteikumi par minimālajām kiberdrošības prasībām noteiktajām prasībām noteiktajai kārtībai, kurā ir iekļauti arī auditori, kuriem ir kompetence veikt datu centru atbilstības pārbaudes (kvalificētie auditori).
Līdz brīdim kamēr tiks apstiprināts kiberdrošības auditoru saraksts, datu centru atbilstības pārbaudes atļauts veikt datu centru auditoriem ar starptautiski atzīta datu centra auditora sertifikātu. Nacionālais kiberdrošibas centrs oficiālajā tīmekļa vietnē publicēs kvalificēta auditora kompetences prasības, tai skaitā rekomendēto starptautiski atzīto datu centra auditoru sertifikātu uzskaitījumu. Rekomendētās prasības kvalificētajiem auditoriem:
1. ir ieguvis un ir aktuāls sertificēta informācijas sistēmu auditora (Certified Information Systems Auditor - CISA) sertifikāts vai sertificēta datu centru auditora profesionāļa (Certified Data Centre Audit Professional - CDCAP) sertifikāts vai līdzvērtīgs;
2. ir ieguvis un ir aktuāls starptautiskās standartizācijas organizācijas (ISO) 27001 galvenā auditora sertifikāts vai līdzvērtīgs;
3. ir tiesības veikt datu centru auditus pēc starptautiskās standartizācijas organizācijas un starptautiskās elektrotehnikas komisijas (ISO/IEC) 22237:2021 standarta prasībām;
3. auditora personālam ir vismaz divu gadu profesionāla pieredze informācijas tehnoloģiju audita vai informācijas tehnoloģiju drošības audita jomā;
4. auditora personālam ir vismaz viena gada pieredze starptautiskās standartu organizācijas (ISO) 27001 auditā vai līdzvērtīga.
Problēmas apraksts
P3. Subjektiem nav noteiktas prasības attiecībā uz pakalpojumu sniedzēju izvēli.
Subjektiem nav noteiktas prasības attiecībā uz datu centru izvēli. Attiecīgi informācijas sistēmu izvietošanai tiek izvēlēti datu centri, kuru drošības procedūras ir nepilnīgas vai, kas atrodas agresorvalstu teritorijā. Šāda situācija apdraud informācijas sistēmu drošību, īpaši sistēmām, kuras ir pieejamas, izmantojot publisko interneta tīklu. Nacionālās drošības un valsts pakalpojumu pieejamības kontekstā, šāda situācijas iespējamība jānovērš tām informācijas sistēmām, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai.
Subjektiem nav noteiktas prasības attiecībā uz datu centru izvēli. Attiecīgi informācijas sistēmu izvietošanai tiek izvēlēti datu centri, kuru drošības procedūras ir nepilnīgas vai, kas atrodas agresorvalstu teritorijā. Šāda situācija apdraud informācijas sistēmu drošību, īpaši sistēmām, kuras ir pieejamas, izmantojot publisko interneta tīklu. Nacionālās drošības un valsts pakalpojumu pieejamības kontekstā, šāda situācijas iespējamība jānovērš tām informācijas sistēmām, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai.
Risinājuma apraksts
Noteikumu sadaļā "V.Informācijas sistēmu izvietošanas noteikumi datu centros" noteikts, ka:
1. informācijas sistēmas, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai, un kuras klasificētas kā A kategorijas (paaugstinātas drošības) vai B kategorijas (pamata drošības) sistēmas ar konfidencialitātes klasi B, uztur starptautiski sertificētos datu centros vai drošajā datu centru reģistrā iekļautajos datu centros.
2. bet pārējās subjektu informācijas sistēmas tiek uzturētas datu centros, kas datu apstrādi nodrošina Ziemeļatlantijas līguma organizācijas, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī.
1. informācijas sistēmas, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai, un kuras klasificētas kā A kategorijas (paaugstinātas drošības) vai B kategorijas (pamata drošības) sistēmas ar konfidencialitātes klasi B, uztur starptautiski sertificētos datu centros vai drošajā datu centru reģistrā iekļautajos datu centros.
2. bet pārējās subjektu informācijas sistēmas tiek uzturētas datu centros, kas datu apstrādi nodrošina Ziemeļatlantijas līguma organizācijas, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī.
Problēmas apraksts
P4. Datu centru operatoriem nav motivācija dalīties ar telemetrijas datiem ar kompetento kiberincidentu novēršanas institūciju.
Pašreiz ir nepilnīgs regulējums centralizētai uzraudzības un apdraudējumu monitoringa sistēmai - drošības operāciju centriem. Datu centru operatoriem nav pienākuma dalīties ar tā rīcībā esošajiem telemetrijas datiem vai nodrošināt iespēju kompetentajai kiberdrošības institūcijai izveidot savus drošības operāciju centrus datu centros. Telemetrijas datu pieejamība reāllaikā nodrošinātu efektīvāku apdraudējumu uzraudzību, identificēšanu un reaģēšanu uz kiberincidentiem.
Pašreiz ir nepilnīgs regulējums centralizētai uzraudzības un apdraudējumu monitoringa sistēmai - drošības operāciju centriem. Datu centru operatoriem nav pienākuma dalīties ar tā rīcībā esošajiem telemetrijas datiem vai nodrošināt iespēju kompetentajai kiberdrošības institūcijai izveidot savus drošības operāciju centrus datu centros. Telemetrijas datu pieejamība reāllaikā nodrošinātu efektīvāku apdraudējumu uzraudzību, identificēšanu un reaģēšanu uz kiberincidentiem.
Risinājuma apraksts
Notiekumu sadaļā "VI.Drošības operāciju centru izveides un darbības noteikumi datu centros" iekļautas šādas tiesības kompetentajai kiberincidentu novēršanas institūcijai:
1. izveidot drošības operācijas centrus datu centros;
2. saņemt datu centru operatoru rīcībā esošo telemetrijas datus reāllaikā;
3. saņemt subjekta rīcībā esošo tehnoloģisko resursu telemetrijas datus.
1. izveidot drošības operācijas centrus datu centros;
2. saņemt datu centru operatoru rīcībā esošo telemetrijas datus reāllaikā;
3. saņemt subjekta rīcībā esošo tehnoloģisko resursu telemetrijas datus.
Vai ir izvērtēti alternatīvie risinājumi?
Jā
Apraksts
Noteikumu izstrādes laikā tika izvērtēti trīs dažādi modeļi datu centru drošības līmeņu gradācijai:
1. Trīs līmeņu datu centru drošības prasības;
2. Divu līmeņu datu centru drošības prasības;
3. Viens drošības līmenis (izvēlētais modelis).
1. Trīs līmeņu datu centru drošības prasības
Šajā modelī tika paredzēts trīs drošības līmeņu iedalījums: minimālais, pamata un paaugstinātais drošības līmenis.
● Paaugstinātais drošības līmenis paredzēts paaugstinātas drošības kategorijas (A) informācijas sistēmām.
● Pamata drošības līmenis paredzēts pamata drošības kategorijas (B) informācijas sistēmām.
● Minimālais drošības līmenis paredzēts minimālās drošības kategorijas (C) informācijas sistēmām, kuras varētu tikt uzturētas arī publiskajos mākoņos.
Šī pieeja paredzēja, ka arī privāto - Subjektu iekšējo datu centru drošība būtu jāpārbauda neatkarīgiem auditoriem. Šis risinājums tika noraidīts, jo tā ieviešana būtu sarežģīta un radītu nesamērīgu administratīvo un finansiālo slogu mazāk nozīmīgām informācijas sistēmām.
2. Divu līmeņu datu centru drošības prasības
Šajā modelī tika paredzēts, ka datu centriem būtu divi drošības līmeņi: pamata un paaugstinātais.
● Paaugstinātais drošības līmenis paredzēts paaugstinātas drošības kategorijas (A) un pamata drošības kategorijas (B) informācijas sistēmām ar pamata konfidencialitātes klasi, kuras nodrošina kāda normatīvajos aktos regulēta pakalpojuma informācijas resursa apstrādi.
● Pamata drošības līmenis paredzēts pārējām pamata drošības kategorijas (B) informācijas sistēmām, kuras nodrošina kāda normatīvajos aktos regulēta pakalpojuma informācijas resursa apstrādi.
● Publiskajos mākoņos var izvietot visas pārējās informācijas sistēmas, kas nav jāizvieto Paaugstinātais drošības līmeņa datu centrā.
Iedziļinoties tika secināts, ka datu centru operatoriem šie noteikumi nerada motivāciju nodrošināt pamata drošības līmeņa datu centru atbilstības, pārbaudes, jo informācijas sistēmas, kuras tajos varētu izvietot ir atļauts uzturēt arī publiskajos mākoņos.
3. Viens drošības līmenis (izvēlētais modelis)
Tika nolemts ar šiem noteikumiem noteikt viena līmeņa datu centru drošības prasības. Šajos datu centros būtu jāuztur tikai paaugstinātas drošības kategorijas (A) un pamata drošības kategorijas (B) informācijas sistēmas ar pamata konfidencialitātes klasi, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai.
Pamatojums izvēlētajam risinājumam - izvēlētais modelis nodrošina viena drošības līmeņa datu centrus ar augstu drošības līmeni un fokusējas uz valsts mērogā svarīgām informācijas sistēmām, novēršot sarežģītu datu centru izvēles, atbilstības novērtēšanas un uzraudzības kārtību. Izvēlētais modelis ir atbilstošs un samērīgs ņemot vērā Latvijas datu centru tirgū esošo spēlētāju skaitu.
1. Trīs līmeņu datu centru drošības prasības;
2. Divu līmeņu datu centru drošības prasības;
3. Viens drošības līmenis (izvēlētais modelis).
1. Trīs līmeņu datu centru drošības prasības
Šajā modelī tika paredzēts trīs drošības līmeņu iedalījums: minimālais, pamata un paaugstinātais drošības līmenis.
● Paaugstinātais drošības līmenis paredzēts paaugstinātas drošības kategorijas (A) informācijas sistēmām.
● Pamata drošības līmenis paredzēts pamata drošības kategorijas (B) informācijas sistēmām.
● Minimālais drošības līmenis paredzēts minimālās drošības kategorijas (C) informācijas sistēmām, kuras varētu tikt uzturētas arī publiskajos mākoņos.
Šī pieeja paredzēja, ka arī privāto - Subjektu iekšējo datu centru drošība būtu jāpārbauda neatkarīgiem auditoriem. Šis risinājums tika noraidīts, jo tā ieviešana būtu sarežģīta un radītu nesamērīgu administratīvo un finansiālo slogu mazāk nozīmīgām informācijas sistēmām.
2. Divu līmeņu datu centru drošības prasības
Šajā modelī tika paredzēts, ka datu centriem būtu divi drošības līmeņi: pamata un paaugstinātais.
● Paaugstinātais drošības līmenis paredzēts paaugstinātas drošības kategorijas (A) un pamata drošības kategorijas (B) informācijas sistēmām ar pamata konfidencialitātes klasi, kuras nodrošina kāda normatīvajos aktos regulēta pakalpojuma informācijas resursa apstrādi.
● Pamata drošības līmenis paredzēts pārējām pamata drošības kategorijas (B) informācijas sistēmām, kuras nodrošina kāda normatīvajos aktos regulēta pakalpojuma informācijas resursa apstrādi.
● Publiskajos mākoņos var izvietot visas pārējās informācijas sistēmas, kas nav jāizvieto Paaugstinātais drošības līmeņa datu centrā.
Iedziļinoties tika secināts, ka datu centru operatoriem šie noteikumi nerada motivāciju nodrošināt pamata drošības līmeņa datu centru atbilstības, pārbaudes, jo informācijas sistēmas, kuras tajos varētu izvietot ir atļauts uzturēt arī publiskajos mākoņos.
3. Viens drošības līmenis (izvēlētais modelis)
Tika nolemts ar šiem noteikumiem noteikt viena līmeņa datu centru drošības prasības. Šajos datu centros būtu jāuztur tikai paaugstinātas drošības kategorijas (A) un pamata drošības kategorijas (B) informācijas sistēmas ar pamata konfidencialitātes klasi, kuras tiek izmantotas valsts pārvaldes pakalpojumu sniegšanai vai valsts uzdevumu īstenošanai.
Pamatojums izvēlētajam risinājumam - izvēlētais modelis nodrošina viena drošības līmeņa datu centrus ar augstu drošības līmeni un fokusējas uz valsts mērogā svarīgām informācijas sistēmām, novēršot sarežģītu datu centru izvēles, atbilstības novērtēšanas un uzraudzības kārtību. Izvēlētais modelis ir atbilstošs un samērīgs ņemot vērā Latvijas datu centru tirgū esošo spēlētāju skaitu.
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Jā
Skaidrojums
Noteikumu ietekmes izvērtējums tiks veikts trīs gadu laikā pēc to spēkā stāšanās. Tiks novērtēta:
1. datu centru atbilstība drošības prasībām, atbilstoši aktualizējot Drošo datu centru reģistru;
2. drošības operāciju centru efektivitāte, izmantojot statistiku par incidentiem un telemetrijas datiem no SOC.
1. datu centru atbilstība drošības prasībām, atbilstoši aktualizējot Drošo datu centru reģistru;
2. drošības operāciju centru efektivitāte, izmantojot statistiku par incidentiem un telemetrijas datiem no SOC.
Kas veiks ex-post novērtējumu?
Nacionālās kiberdrošības centrs
Ietekmes pēcpārbaudes veikšanas termiņš
01.01.2028.
Rezultāti/rādītāji, pēc kā tiek vērtēta tiesību akta (vai kādas tā daļas) mērķa sasniegšana
Rezultāts
Datu centru skaits Drošo datu centru reģistrā
Rādītājs
5
Rezultāts
Procentuālā attiecība - gandrīz notikušo kiberdrošības incidentu, kas identificēti un novērsti izmantojot SOC, skaits, pret kopējo incitentu skaitu (gan notikušie, gan gandrīz notikušie)
Rādītājs
99
1.6. Cita informācija
Datu centru operatoriem, kuru datu centros tiek uzturētas noteikumu 20. punkta kritērijiem atbilstošās informācijas sistēmas, tiks dots viena gada pārejas periods, lai veiktu atbilstības auditu vai veiktu atbilstošas starptautiskās sertifikācijas.
Pamatojums: Datu centru operatoriem nepieciešams laiks, lai veiktu infrastruktūras uzlabojumus, kas atbilst noteikumu prasībām. Pārejas periods nodrošinās iespēju pārskatīt esošo infrastruktūru un veikt nepieciešamos drošības uzlabojumus.
Informācijas sistēmu pārziņiem tiks dots viena gada pārejas periods, pēc Drošo datu centra reģistra publicēšanas, lai nodrošinātu noteikumu informācijas sistēmu izvietošanas prasības datu centros esošajām informācijas sistēmām.
Pamatojums: Informācijas sistēmu pārziņiem nepieciešams laiks, lai veiktu esošās infrastruktūras revīziju un pārbaudes vai izvēlētie datu centri un pakalpojumi ārpus viņa valdījumā esošās infrastruktūras atbilst noteikumu prasībām.
Pamatojums: Datu centru operatoriem nepieciešams laiks, lai veiktu infrastruktūras uzlabojumus, kas atbilst noteikumu prasībām. Pārejas periods nodrošinās iespēju pārskatīt esošo infrastruktūru un veikt nepieciešamos drošības uzlabojumus.
Informācijas sistēmu pārziņiem tiks dots viena gada pārejas periods, pēc Drošo datu centra reģistra publicēšanas, lai nodrošinātu noteikumu informācijas sistēmu izvietošanas prasības datu centros esošajām informācijas sistēmām.
Pamatojums: Informācijas sistēmu pārziņiem nepieciešams laiks, lai veiktu esošās infrastruktūras revīziju un pārbaudes vai izvēlētie datu centri un pakalpojumi ārpus viņa valdījumā esošās infrastruktūras atbilst noteikumu prasībām.
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
Nē
Juridiskās personas
- Valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņi
- Nacionālā kiberdrošības likuma subjekti kuru informācijas sistēmas atbilst noteikumu 20. punkta kritērijiem
Ietekmes apraksts
Jāveic datu centru atbilstības novērtējums atbilstoši noteikumu sadaļā "III.Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtība" noteiktajai kārtībai
Subjektiem jānodrošina informācijas sistēmu, kas atbilst noteikumu 20. punkta kritērijiem uzturēšana Drošo datu cetra reģistrā iekļautajos Datu centros.
Subjektiem jānodrošina informācijas sistēmu, kas atbilst noteikumu 20. punkta kritērijiem uzturēšana Drošo datu cetra reģistrā iekļautajos Datu centros.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Jā
2.2.1. uz makroekonomisko vidi:
-2.2.2. uz nozaru konkurētspēju:
-2.2.3. uz uzņēmējdarbības vidi:
-2.2.4. uz mazajiem un vidējiem uzņēmējiem:
-2.2.5. uz konkurenci:
-2.2.6. uz nodarbinātību:
-2.3. Administratīvo izmaksu novērtējums juridiskām personām
Vai projekts skar šo jomu?
Nē
2.4. Administratīvā sloga novērtējums fiziskām personām
Vai projekts skar šo jomu?
Nē
2.5. Atbilstības izmaksu novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
Uzņēmumiem, kuri būs nolēmuši pildīt jaunās drošības prasības attiecībā uz drošības atbilstības pārbaudēm vai starptautisko sertifikāciju, būs jāparedz papildu finanšu līdzekļi.
Attiecībā uz drošības operāciju centru izveidi un uzturēšanu finansējums jau ir paredzēts Aizsardzības ministrijas budžeta ietavors, pamatojoties uz Nacionālā kiberdrošības likumā noteiktajiem uzdevumiem.
Attiecībā uz drošības operāciju centru izveidi un uzturēšanu finansējums jau ir paredzēts Aizsardzības ministrijas budžeta ietavors, pamatojoties uz Nacionālā kiberdrošības likumā noteiktajiem uzdevumiem.
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Nē
5.3. Cita informācija
Apraksts
Tiesību akts izstrādāts izmantojot starptautiski atzītus datu centru drošības un kiberdrošības standartus ISO/IEC 27001, EN 50600 un Uptime Institute Tier III/IV. Šajos standartos noteiktie kritēriji, procedūras un drošības pasākumi nodrošina sistemātisku un uzticamu pieeju, kas veido tiesisku un tehnisku pamatu datu centru drošības, pieejamības un uzticamības garantēšanai.
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Aizsardzības ministrija, VAS "Latvijas Valsts radio un televīzijas centrs", Viedās administrācijas un reģionālās attīstības ministrija, Satversmes aizsardzības birojs, SIA "Tet", Kompetentā kiberincidentu novēršanas institūcija CERT.LVNevalstiskās organizācijas
NēCits
Nē6.2. Sabiedrības līdzdalības organizēšanas veidi
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Nē
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
Noteikumos ietvertas tiesību normas, kas stiprina informācijas un komunikācijas tehnoloģiju kiberdrošību - konfidencialitātes, integritātes un pieejamības raksturlielumus, attiecībā uz publiskajā internet tīklā nodrošināto valsts pārvaldes pakalpojumu, valsts uzdevumu vai citu valsts mērķu un pasākumu pakalpojumu informācijas sistēmām.
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
Noteikumi nosaka pasākumus un pienākumus arī valsts un pašvaldību informācijas un komunikācijas tehnoloģiju jomā ar mērķi stiprināt informācijas sistēmu kiberdrošību un kibernoturību.
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
-
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
-
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
-
8.1.6. uz vidi
Vai projekts skar šo jomu?
-
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
-
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
-
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
-
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
-
8.1.11. uz veselību
Vai projekts skar šo jomu?
-
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
-
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
-
8.1.14. uz diasporu
Vai projekts skar šo jomu?
-
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
-
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
-
8.2. Cita informācija
-
Pielikumi