Projekta ID/ Uzdevuma numurs
Tiesību akta/ diskusiju dokumenta nosaukums
Informācijas sistēmu izvietošanas un datu centru drošības prasības
Līdzdalības veids
Publiskā apspriešana
Sākotnēji identificētās problēmas apraksts
Svarīgo un būtisko pakalpojumu sniedzēji, tai skaitā valsts institūcijas savas informācijas sistēmas ārpus savas informāciju un komunikāciju tehnoloģiju infrastruktūras uztur gan valsts, gan privātos datu centros, tai skaitā mākoņdatošanas vidē, kur atsevišķos gadījumos trūkst atbilstības starptautiskajiem drošības standartiem. Rezultātā pastāv nevienmērīga prakse attiecībā uz informācijas sistēmu uzturēšanu dažādu drošības kategoriju datu centru infrastruktūrās, kas rada riskus tajās apstrādāto datu drošībai.
Mērķa apraksts
Noteikumu mērķis ir noteikt pienākumu subjektiem informācijas sistēmas uzturēt atbilstošā un drošā infrastruktūrā, ja nolemts tās uzturēt datu centros, kā arī noteikt kārtību, kā tiek veikta un uzraudzīta datu centru drošības atbilstība, kā arī noteikt drošības operāciju centru darbību datu centros, tai skaitā telemetrijas datu uzraudzību.
Politikas jomas
Digitālā drošība un uzticamība
Teritorija
Latvija
Norises laiks
27.12.2024. - 26.01.2025.
Informācija
janis.martuzs@mod.gov.lv, 67335056
Fiziskās personas
Nē
Juridiskās personas
- visi uzņēmumi
- Datu centru operatori
- Valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņi
- Nacionālā kiberdrošības likuma subjekti kuru informācijas sistēmas atbilst noteikumu 20. punkta kritērijiem
Skaidrojums un ietekme
Datu centru operatoriem, tai skaitā valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņiem būs jāveic datu centru atbilstības novērtējums atbilstoši noteikumu sadaļā "III.Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtība" noteiktajai kārtībai. Savukārt subjektiem būs jānodrošina informācijas sistēmu, kas atbilst noteikumu 20. punkta kritērijiem uzturēšana Drošo datu cetra reģistrā iekļautajos Datu centros.
Nozare
Visas nozares
Nozaru ietekmes apraksts
-
Sagatavoja
Jānis Mārtužs (AM)
Atbildīgā persona
Svetlana Araslanova (AM)
Izsludināšanas datums
27.12.2024. 10:25
Iesniegtie viedokļi
Iesniedzējs
Viedokļa būtība
Iesniegts
Fiziska persona
Pret
14.01.2025. 10:53
Biedrība "Latvijas Informācijas un komunikācijas tehnoloģijas asociācija"
Esam iepazinušies ar Ministru kabineta noteikumu projektu “Informācijas sistēmu izvietošanas un datu centru drošības prasības” (24-TA-3243) (turpmāk – Noteikumu projekts) un izsakām sekojošus iebildumus un priekšlikumus.
1. Iebilstam pret Noteikumu projekta sadaļu “Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtība”.
Pamatojums:
1. Noteikumu projektā nav izvirzītas nekādas prasības pret pašu datu centru operatoru, piemēram, ka operators nevar būt sankcionēts, ar nodokļu parādiem u.tml.
2. Ja A un B kategorijas valsts kritiskās informācijas sistēma izvietota datu centrā, kas atrodas ārpus LR teritorijas, tad LR teritorijā obligāti jāatrodas datu centrā izvietoto sistēmu un datu rezerves kopijai. Savukārt, ja A un B kategorijas valsts kritiskās informācijas sistēma izvietota datu centrā, kas atrodas LR teritorijā, tad datu centrā izvietoto sistēmu un datu rezerves kopijai jāatrodas obligāti arī ārpus LR teritorijas.
Priekšlikums:
1. Papildināt sadaļu ar prasībām datu centra operatoram.
2. Papildināt sadaļu ar prasību datu centram / datu un sistēmas rezerves kopijai atrasties LR teritorijā / ārpus LR teritorijas.
2. Iebilstam pret Noteikumu projekta 5.2.apakšpunktu.
Pamatojums:
Noteikumu projekta 5.2.apakšpunkts nosaka, ka datu centra operators darbības plānā iekļauj šādu sadaļu: nepārtrauktas darbības stratēģijas (datu dublēšana un atjaunošana, avārijas atkopšanās vietas).
Datu dublēšana un atjaunošana ir prasība, kas piemērojama IKT sistēmām, nevis datu centriem un tā būtu attiecināma IKT operatoriem, nevis datu centru operatoriem.
Priekšlikums:
Svītrot Noteikumu projekta 5.2.apakšpunktu
3. Iebilstam pret Noteikumu projekta 8.punktu.
Pamatojums:
Noteikumu projekta 8.punkts nosaka, ka kvalificēts auditors, kuram ir tiesības sniegt šajos noteikumos minētos atzinumus par atbilstību prasībām, atbilst Ministru kabineta noteikumos Noteikumi par minimālajām kiberdrošības prasībām noteiktajām prasībām un ir iekļauts kiberdrošības auditoru sarakstā ar atzīmi par kompetenci veikt datu centru atbilstības pārbaudes.
Datu centru infrastruktūras auditoram ir jāspēj pierādīt praksē zināšanas un pieredze darbā ar datu centru infrastruktūru un saistītajiem risinājumiem.
Priekšlikums:
8.punktā ir minēts, ka datu centru auditu var veikt sertificēts kiberdrošības auditors, bet šāda prasība nav pietiekoša, jo kiberdrošības auditors ir sertificēts veikt IKT sistēmu drošības novērtēšanu, nevis datu centru infrastruktūras novērtēšanu. Iespējams, nepieciešams papildināt vai skaidrot, ka ar punktā minēto ‘atzīme par kompetenci veikt datu centru atbilstības pārbaudes.’ Var pārliecināties, ka auditu veic atbilstoši kompetents auditors.
4. Iebilstam pret Noteikumu projekta 13.1. apakšpunktu.
Pamatojums:
Noteikumu projekta 13.1. apakšpunkts nosaka, ka Nacionālās kiberdrošības centrs ir tiesīgs pieprasīt datu centru operatoram veikt ārkārtas pārbaudi šādos gadījumos: pēc notikuša nozīmīga kiberincidenta, kas ir skāris A kategorijas paaugstinātas drošības informācijas sistēmu un tā cēlonis ir saistīts ar datu centriem.
Nepieciešams precizēt dīkstāves procesa raksturojumu.
Priekšlikums:
Izteikt Noteikumu projekta 13.1. apakšpunktu sekojošā redakcijā:
“13.1. pēc notikuša nozīmīga kiberincidenta vai datu centra infrastruktūras dīkstāves, kas ir skāris datu centrā izvietotās paaugstinātas informācijas sistēmas un tā cēlonis ir saistīts ar datu centriem centra infrastruktūras pieejamību vai piekļuvi tai, vai datu centra operatora nodrošināto IKT pakalpojumu pieejamību vai piekļuvi tām”
5. Iebilstam pret Noteikumu projekta 16.punktu.
Pamatojums:
Noteikumu projekta 16.punkts nosaka, ja datu centru operators ir informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tad uzraudzību šim datu centram nodrošina Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likumā noteiktajam.
Noteikumos kļūdaini dublējas frāze “kritiskās infrastruktūras”.
Lūdzam Noteikumu projekta 16.punktā precizēt normatīvo bāzi, kā datu centra operators uzzina, ka ir kļuvis “kritiskās infrastruktūras īpašnieks vai tiesiskais vadītājs”.
Priekšlikums:
Precizēt Noteikumu projekta 16.punktu.
6. Iebilstam pret Noteikumu projekta 19.punktu.
Pamatojums:
Noteikumu projekta 19.punkts nosaka, ka datu centra operatori nodrošina drošības telemetrijas datu pieejamību reāllaikā (ar datu pieejamību ne vēlāk kā minūti pēc notikuma) kompetentās kiberincidentu novēršanas institūcijai.
Prasības tvērumu ir nepieciešams aprakstīt detalizētāk. Esošajā redakcijā nav precizēti dati, kuriem ir jānodrošina piekļuve.
Priekšlikums:
Papildināt Noteikumu projekta 19.punktu.
7. Iebilstam pret Noteikumu projekta V. sadaļu “Informācijas sistēmu izvietošanas noteikumi datu centros”
Pamatojums:
Noteikumu projekta V. sadaļas 20. punktā minētajām IKT sistēmām ir izvirzīta prasība atrasties drošos datu centros un uzskatām, ka ir jādefinē termiņi, kuros, gadījumā, ja datu centrs ir zaudējis droša datu centra statusu, tajā izvietotās IKT sistēmas ir jāpārceļ uz datu centru, kas ir ar droša datu centra statusu.
Priekšlikums:
V. Sadaļu ir nepieciešams papildināt ar prasību IKT sistēmu pārvaldniekam pārcelt IKT uz drošu datu centru 12 mēnešu laikā, ja esošais ir zaudējis statusu atbilstoši prasību 15. punktam.
8. Iebilstam pret Noteikumu projekta 1.pielikuma 2.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 2.punkts nosaka organizatoriskās prasības personāla apmācībai: Ne retāk kā reizi sešos mēnešos drošības apmācības, kas ietver krīžu vadību un datu aizsardzību. Apmācībās tiek ietverti arī praktiskie treniņi, kuros simulēti sarežģīti incidenti, piemēram, sarežģīti pastāvīgie draudi (APT) vai datu noplūdes. Treniņos iegūtie rezultāti tiek rūpīgi dokumentēti un analizēti, lai identificētu iespējamās vājās vietas drošības procedūrās. Pamatojoties uz šiem rezultātiem, tiek izstrādāti korekcijas pasākumi un organizētas papildu apmācības, ja nepieciešams.
Nepieciešams precizēt Noteikumu projekta 1.pielikumā:
1) Kas tieši tiek saprasts ar terminu “krīžu vadība” datu centra infrastruktūras gadījumā?
2) Kādu tieši “datu” aizsardzība datu centra infrastruktūrā ir jāparedz?
Priekšlikums:
Nepieciešams precizēt Noteikumu projektu.
9. Iebilstam pret Noteikumu projekta 1.pielikuma 3.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 3.punkts nosaka organizatoriskās prasības fiziskajai piekļuves kontrolei: Fiziskā piekļuve nodrošināta, izmantojot daudzfaktoru autentifikāciju (biometriskā autentifikācija apvienojumā ar radiofrekvences identifikācijas (RFID) karti vai personisko identifikācijas numuru (PIN kodu)). Autentifikācijas dati tiek droši šifrēti un glabāti atbilstoši spēkā esošajiem datu aizsardzības normatīvajiem aktiem. Visi piekļuves mēģinājumi tiek reģistrēti, dokumentēti un pastāvīgi uzraudzīti. Papildus tiek nodrošināta pastāvīga fiziskā apsardze un uzraudzība, kas veic regulāru apgaitu un reaģē uz aizdomīgiem piekļuves mēģinājumiem vai incidentiem. Pieejas reģistri tiek glabāti vismaz piecus gadus.
Noteikumu projekta 1.pielikuma 3.punkts satur atsevišķas neskaidrības:
- Kāpēc ir jānodrošina tieši biometriskā autentifikācija, jo datu centra standarti (piem., EN50600) fiziskās piekļuves prasībās definē ar citiem drošības terminiem – vienfaktoru, divfaktoru vai trīsfaktoru autentifikācija, atkarība no datu centra telpu zonējuma klasifikācijas (jo augstāk drošības zona, jo lielāks faktoru skaits tiek izmantots piekļuves kontroles nodrošināšanai).
- Nav norādīta būtiska prasība, kur šie autentifikācijas dati drīkst uzglabāties – šajā datu centrā vai arī kāda citā lokācijas vietā (piem., citā ēkā, citā datu centrā).
- Pieminētā apsardzes metodika ar apgaitām visā datu centra teritorijā nav atbilstoša mūsdienu drošības un tehnoloģiskajiem standartiem, jo visbiežāk netiek paredzētas tiesības apsardzes personālam iekļūt atsevišķās datu centra telpās, it īpaši gadījumos, ja šo funkciju veic ārpakalpojuma nodrošinātājs. Bieži vien apsardzes funkciju nodrošina tikai viens apsargs un viņam dežūras laikā ir kategoriski aizliegts atstāt apsardzes telpas, kontroli veicot TIKAI ar pareizi izveidotiem tehniskiem līdzekļiem un risinājumiem.
-- Šis prasību 3.punkts ir pretrunā ar 1. pielikuma IV. sadaļas 16.punktu, kurā noteikts, ka apsardze var arī nebūt pastāvīga, bet “…tiek nodrošināts, ka reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes, kurā apsardzes personāls ierodas objektā”
- Kā jāsaprot termins “Pieejas reģistri”. Šāds termins nozares standartos netiek izmantots. Varbūt tomēr tā ir domāta “Piekļuves kontroles sistēma” un tās žurnālfaili vai kādi cita informācija?
3. punktā nav norādītas prasības arī transportlīdzekļu fiziskās kontroles nodrošināšanai, jo datu centra ārējā perimetra robežai ir jāsākas no ārējās teritorijas norobežojuma (tajā skaitā personāla un transporta vārtiem, paredzot arī transportlīdzekļu numurzīmju atpazīšanu).
-- “Fiziskā piekļuve nodrošināta, izmantojot daudzfaktoru autentifikāciju” – nav norādīts kam tieši. Vai serveru telpai?
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 3.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
10. Iebilstam pret Noteikumu projekta 1.pielikuma 4.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 4.punkts nosaka organizatoriskās prasības drošības pārbaudēm: Regulāras, bet ne retāk kā reizi gadā, drošības pārbaudes, detalizēts drošības audits un risku analīze. Drošības pārbaudes veic neatkarīga ārējā trešā puse (sertificēts drošības auditors). Kiberdrošības pārvaldnieks var veikt starpposma pārbaudes un uzraudzību laika posmos starp ārējiem auditiem.
Noteikumu projekta 1.pielikuma 4.punkts satur daudz neskaidrību:
- Kā jāsaprot termins “Drošības pārbaudes”?
- Kādas datu centra infrastruktūras disciplīnas tās iekļauj – fizisko drošību, loģisko drošību, telekomunikāciju drošību, datu centrā uzglabātās informācijas drošību, kiberdrošību?
- Atbilstoši kādam drošības standartam šīs drošības (pārbaudes) auditu veic sertificēts drošības auditors?
- Kādas tieši drošības sertifikācijas (datu centru, kiberdrošības, CISM, fiziskās drošības utt.) auditors nodrošina? Nozares prakse paredz, ka datu centra auditu veic auditori, ar noteiktu specifisko zināšanu kopumu tieši datu centru jomā, vai arī auditori no uzņēmuma ar ISO audita veikšanas tiesībām un kvalifikāciju, ja audits tiek veikts atbilstoši ISO standarta prasībām.
- Atbilstoši tikai šajā Noteikumu projektā iekļautajām prasībām to nevarēs veikt, jo šo prasību apjoms neatspoguļo vismaz to minimālo drošības prasību kopumu, ko paredz nozares standarti, piem., EN50600, atbilstoši to drošības jeb aizsardzības klasei (“Protection Class 1-4”).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 4.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
11. Iebilstam pret Noteikumu projekta 1.pielikuma 6.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 6.punkts nosaka organizatoriskās prasības dokumentācijas pārvaldībai: Ir izstrādāta detalizēta dokumentācijas pārvaldības sistēma, kas ietver visu drošības procedūru, apmācību un incidentu pārvaldības dokumentāciju, kas tiek pārskatīta un atjaunināta vismaz reizi sešos mēnešos.
Prasība veikt dokumentācijas atjaunošanu reizi 6 mēnešos ir nesamērīga un dokumentācijas atjaunošana ir jāveic tikai nepieciešamības gadījumā. Pārskatīšana reizi 12 mēnešos ir līdzvērtīga starptautiskiem sertifikātiem, piemēram PCI-DSS.
Priekšlikums:
Izteikt Noteikumu projekta 1.pielikuma 6.punktu šādā redakcijā:
“Dokumentācijas pārvaldība: Ir izstrādāta detalizēta dokumentācijas pārvaldības sistēma, kas ietver visu drošības procedūru, apmācību un incidentu pārvaldības dokumentāciju, kas tiek pārskatīta un vajadzības gadījumā atjaunināta vismaz reizi divpadsmit mēnešos”.
12. Iebilstam pret Noteikumu projekta 1.pielikuma 7.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 7.punkts nosaka organizatoriskās prasības darbinieku drošības pārbaudēm: Tiek veiktas regulāras darbinieku drošības pārbaudes vismaz reizi gadā, ietverot gan tehniskās, gan fiziskās drošības aspektus. Tehniskās drošības pārbaudes aptver kiberdrošības, datu aizsardzības un IKT sistēmu aizsardzības aspektus, savukārt fiziskās drošības pārbaudes fokusējas uz drošības procedūrām un piekļuves kontroles prasmēm. Pārbaudes tiek veiktas pirms darbinieku pieņemšanas darbā un regulāri pēc tam, vismaz reizi divos gados, un to rezultāti tiek dokumentēti un analizēti.
Noteikumu projekta 1.pielikuma 7.punkts satur daudz neskaidrību:
- Drošības sfērā ar terminu “Darbinieku drošības pārbaudes” saprot ko citu – tās ir veicamais topošā personāla skrīnings jeb dzīvesgājuma pārbaude, nedzēsto sodāmību pārbaude kompetentās iestādēs, izziņu no ārstniecības iestādēm par kaitīgo atkarību vai psihisko slimību neesamību, uzņēmuma definētu drošības prasību atbilstība utt.
- Kā punktā pieminētais termins “Darbinieku drošības pārbaudes” korelējas ar tekstā zemāk minēto “Tehniskās drošības pārbaudes”, kas ir aprakstītas kā infrastruktūras daļu drošības pārbaudes?
- Nepieciešams skaidrojums par to, kas domāts ar regulējumu par fiziskās drošības pārbaudēm “…piekļuves kontroles prasmēm”. Fiziskās piekļuves tiesību pārvaldība jebkurā datu centrā tiek organizēta tādā veidā, ka darbinieki ar izsniegtajiem identifikācijas līdzekļiem piekļūst tikai tām zonām, kurām tas ir atļauts, un citām nepiekļūst. Līdz ar to nav saprotams šī “prasmju” kritērija pielietošana pārbaužu veikšanā.
- Uz kuriem darbiniekiem attiecās šīs drošības pārbaudes? Vai visiem, kas strādā organizācijā vai tikai tiem, kas tiešā veidā nodrošina datu centru darbību?
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 7.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
13. Iebilstam pret Noteikumu projekta 1.pielikuma 8.1.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 8.1.apakšpunkts nosaka tehniskās prasības temperatūras uzturēšanai: Tiek nodrošināta pastāvīga iekšējā temperatūra, kas nepārsniedz 18-27°C, lai aizsargātu iekārtas no pārkaršanas vai citiem tehniskiem bojājumiem, kas saistīti ar temperatūras svārstībām.
Noteikumu projekta 1.pielikuma 8.1. punkts satur daudz neskaidrību:
- Atbilstoši nozares standartiem, norādītās prasības par temperatūras diapazonu attiecas TIKAI uz serveru telpu, un tikai uz tās “aukstā koridora” zonu, pārējā serveru telpas zonā (“karstajā”) temperatūra netiek limitēta un var pārsniegt norādītās vērtības.
- Citās datu centra telpās standarti definē citas prasības, kas saistīts ar tajās uzstādīto iekārtu prasībām. Piem., UPS bateriju telpā jānodrošina temperatūru tuvu 20 grādiem (atkarībā no ražotāja noteikumiem), kas ir maksimāli labvēlīga bateriju ilgmūžības nodrošināšanai.
- Papildus tam, standartos pieminētā optimālais diapazons (no +18C līdz +27C) nenozīmē, ka telpas gaisa temperatūra nevar būt zemāka par +18C, jo zemāka temperatūra norāda tikai par NEEFEKTĪVU dzesēšanas resursu izmantošanu. Kritiski ir ievērot tikai norādīto augšējo robežu (līdz +27C “aukstajā zonā”), jo tas var apdraudēt iekārtu ražotāju noteikto minimālo tehnisko prasību parametru nodrošināšanu (iestājās iekārtu pārkaršanas riski).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 8.1.apakšpunktu atbilstoši norādītajiem neskaidrajiem jautājumiem
14. Iebilstam pret Noteikumu projekta 1.pielikuma 9.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 9.punkts nosaka tehniskās prasības enerģijas pārvaldībai: Vairākas nepārtrauktas barošanas sistēmas (UPS) un rezerves ģeneratori, lai nodrošinātu darbību vismaz 12 stundas bez elektrības piegādes, garantējot 99,9% pieejamību kalendārā gada ietvaros.
Noteikumu projekta 1.pielikuma 9.punkts satur vairākas neskaidrības:
Dokumentā neprecīzi tiek lietoti termini:
- “Vairākas nepārtrauktas barošanas sistēmas (UPS)” – UPS sistēma ir vienota, bet var būt lietotas vairākas UPS iekārtas un bateriju bloki.
- Lietojot ģeneratoru avārijas atslēgšanas gadījumos, kļūdaini ir pieminēts pieejamības rādītājs – ģeneratora darbības minimālās laiks tiek noteikts autonomā darbības laikā “bez degvielas uzpildes” (nevis – bez elektrības piegādes). Datu centra standartos ir noteikts, ka šādu ģeneratoru minimālā autonomija bez degvielas uzpildes ir jānodrošina vismaz 24 stundas. Datu standartos ir noteikts, ka šādu ģeneratoru minimālā autonomija bez degvielas uzpildes ir jānodrošina vismaz 24 stundas. Datu centra standartos arī nosaka, ka datu centra operatoram ir jābūt noslēgtam līgumam par degvielas piegādi noteiktā laikā.
Šāda ģeneratora izmantošana nekādi nedrīkst ietekmēt datu centra kopējo pieejamības rādītāju, kas ir nodefinēts 1. pielikuma V. sadaļas 18.punktā – 99,982% gadā. Līdz ar to nav saprotama un reizē ir maldinoša norāde “lai nodrošinātu darbību … garantējot 99,9% pieejamību kalendārā gada ietvaros”.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 9.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
15. Iebilstam pret Noteikumu projekta 1.pielikuma 10.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 10.punkts nosaka tehniskās prasības dzesēšanas sistēmām: Dzesēšanas sistēmas, kas nodrošinātas ar 2N rezervēšanu, garantējot nepārtrauktu darbību vienas sistēmas atteices gadījumā.
Noteikumu projekta 1.pielikuma 10.punkts satur daudz neskaidrību:
10.punktā kļūdaini tiek lietots termins “2N”, definējot dzesēšanas sistēmas rezervēšanas modeli. Atbilstoši nozares standartu prasībām, tajos tiek detalizēti aprakstīti principi, kādus jānodrošina dzesēšanas sistēmas rezervēšanai atbilstoši Tier III vai Tier IV (vai standartos – Rating Level vai Availability Class) kategoriju prasībām.
- 10.punktā minētais “2N” iekārtu un pieslēgumu rezervēšanas modelis attiecināms tikai uz Tier IV (vai standartos – Rating Level 4 vai Availability Class 4) rezervēšanas modeli, kaut gan šī dokumenta V. sadaļas 18.punktā noteikts, ka minimālais pieejamības līmenis tiek definēts atbilstoši Tier III prasībām.
- Dzesēšanas risinājumi mūsdienu datu centrā tiek veidoti kā daudzu iekārtu kompleksi risinājumi, vienā serveru telpā var būt pat vairāki desmiti iekārtu, tāpēc katrai izmantotajai tehnoloģijai tiek piemēroti savi noteikumi, lai demonstrētu šo atbilstību standartā definētajai kategorijai. Piemēram, starprindu dzesētāju izmantošanas gadījumā definē, cik šiem iekšējiem blokiem jābūt rezervētiem viena slēgtā aparatūras skapju koridora ietvaros.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 10.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
16. Iebilstam pret Noteikumu projekta 1.pielikuma 11.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 11.punkts nosaka tehniskās prasības tīkla infrastruktūrai: Latentums starp datu centra iekārtām un klienta sistēmām nepārsniedz 10 milisekundes. Īpaši augsta rezervēšana (2N konfigurācija tīkla komponentēm, kas nodrošina, ka tīkla infrastruktūra turpina darboties vairāku tīkla komponenšu atteices gadījumā) un drošības pasākumi tīklošanā, tostarp šifrēta datu pārraide izmantojot vismaz AES-256 šifrēšanas standartu.
Noteikumu projekta 1.pielikuma 11.punkts satur daudz neskaidrību:
Nevienā no nozares standartiem nedefinē šādas precīzas vērtības (10 milisekundes) telekomunikāciju risinājumiem, jo šis parametrs norādīts starp divām sistēmām, tas padara šādas prasības bezjēdzīgas, jo nav iespējams pierādīt, ka infrastruktūra ar nedaudz sliktāku parametru, piem., 11 milisekundes, nenodrošina standartos noteiktās kopīgās arhitektūras un drošības prasības. Nozares standartos ir iestrādātas vispārīgās konceptuālās un arhitektūras līmeņa prasības telekomunikāciju risinājumu realizācijai datu centros, ar saprotamu rezervēšanas līmeņu pieaugumu virzienā uz augstāko drošības klasi.
- Dokumentā izmantotais formulējums “īpaši augsta rezervēšana” ar skaidrojumu par 2N rezervēšanu VISĀM tīkla komponentēm nesakrīt ar nozares standartu kritērijiem, kas definētajai minimālajai pieejamības klasei Rating Level 3 vai Availability Class 3 to pamatā definē N+1 līmenī, un arī tikai risinājuma pamatelementu līmenī. Minētais līmenis 2N ir spēkā Rating Level 4 vai Availability Class 4 sistēmām, bet arī ne visām datu pārraides tīkla iekārtām.
- Kopumā normatīvajā aktā būtu jāizvairās lietot šādas “punktveida” prasības bez kopējām konceptuālajām prasībām, kas šajā dokumentā nemaz nav iekļautas, vēl jo vairāk, ka tīkla aiztures jeb latentums tiešā veidā nav vērtējams kā datu centru infrastruktūras drošības kategorija, bet pakalpojumu līmeņa vai pielietojuma sfēras limitēts parametrs.
- Datu šifrēšana kā kritērijs nekādi nav saistāms ar datu pārraides tīkla iekārtu pielietojamo rezervēšanas modeli, bet ar pašu IS un to datu drošības definēto līmeni un izmantoto datu pārraides kanālu drošību.
- Prasība par datu šifrēšanu būtu piemērojama IKT sistēmām, nevis datu centriem.
- Prasības tīkla infrastruktūrai būtu papildināmas ar prasību, kas apraksta datu centra tīkla infrastruktūras savienojumus ar tīkliem, ārpus datu centra. “Saziņai ar telekomunikāciju operatoru tīkliem un publisko internetu, Datu centrā tiek nodrošināti vismaz divi, neatkarīgi datu pārraides kanāli, kas izbūvēti, izmantojot neatkarīgus optiskās šķiedras ievadus Datu Centra ēku kompleksā.”
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 11.punktu atbilstoši norādītajām neprecizitātēm.
17. Iebilstam pret Noteikumu projekta 1.pielikuma 13.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 13.punkts nosaka fiziskās drošības prasības videonovērošanai: ir uzstādīta videonovērošanas sistēma, kas nodrošina reāllaika uzraudzību un ierakstīšanu visās kritiskajās zonās. Videoieraksti tiek šifrēti un glabāti drošās, piekļuvei ierobežotās sistēmās vismaz 90 dienas, nodrošinot to integritāti un konfidencialitāti. Ierakstu piekļuve tiek reģistrēta un analizēta.
13.punktā norādītais videoierakstu uzglabāšanas termiņš 90 dienas ir būtiski augstāks, nekā nozares standartos norādīts (parasti – 30 dienas).
13. punktā nav norādīti citi būtiski aspekti – vai videonovērošanas dati var glabāties tajā pašā datu centrā, vai videonovērošanas risinājumiem jāievēro GDPR prasības, datu šifrēšanas minimālās drošības prasības utt.
Ir nepieciešams precizēt, kas tiek saprasts ar terminu ‘kritiskās zonas’.
Priekšlikums:
- Precizēt Noteikumu projekta 1.pielikuma 13.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
- Precizēt terminu “kritiskās zonas”
- Videoierakstu glabāšanas termiņu noteikt 30 dienas.
18. Iebilstam pret Noteikumu projekta 1.pielikuma 14.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 14.punkts nosaka fiziskās drošības prasības pretplūdu risinājumiem: Datu centrā ir pretplūdu risinājumi, tai skaitā mitruma sensori, un citas sistēmas, kas nodrošina datu centra aizsardzību pret iespējamiem plūdiem vai citiem mitruma radītiem bojājumiem.
14. punktā ir kļūdaini lietots termins “pretplūdu risinājumi” datu centrā, “mitruma sensori” un “mitruma radītie bojājumi”.
- Nozares standartos ar “pretplūdu risinājumu” saprot visu, kas saistīts ar datu centra ēkas un āras infrastruktūras aizsardzību pret plūdiem no tuvumā esošās ūdens tilpnes ūdens (piem., plūdu vai cunami veidā) vai lietus radītiem ūdens ieplūšanas riskiem ēkā no ārpuses, bet ne ēkas iekšpusē notiekošajiem tehnoloģiskajiem procesiem.
- Noteikumu projektā minētais “mitrums” (anglu val. “Humidity”) tiek jaukts ar terminu “škidrums” (angļu val. “Liquid”)
- Noteikumu projektā faktiski aprakstītais risks datu centru standartos tiek definēts kā tieši “škidrumu” ietekmē notikušie datu centra telpās izvietoto iekārtu un aparatūras bojājumi. Šie šķidrumi var būt - dzesēšanas sistēmas ūdens vai modificēti šķidrumi, dzesēšanas iekārtu kondensāts, mitrināšanas iekārtu ūdens, ūdens no citas telpas. Šo risku identificēšanai izmanto “šķidruma” konstatēšanas sensorus.
- Noteikumu projektā minētais “mitruma” sensors standartos tiek definēts kā “gaisa relatīvā mitruma” sensors un tas ir paredzēts tikai gaisa parametra kontroli, taču šī punkta ietvaros tas nav attiecināms uz aprakstīto risku.
- Noteikumu projektā kļūdaini ir minēts, ka sensori un citas sistēmas “nodrošina datu centra aizsardzību pret iespējamiem plūdiem vai citiem mitruma radītiem bojājumiem”. Sensori un sistēmas var nodrošināt tikai proaktīvu vai reaktīvu informācijas saņemšanu par riska iestāšanos, taču tie nekādā veidā nenodrošina aizsardzību pret šādu risku.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 14.punktu atbilstoši norādītajām neprecizitātēm.
19. Iebilstam pret Noteikumu projekta 1.pielikuma 15.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 15.punkts nosaka fiziskās drošības prasības ģeogrāfiskajam izvietojumam: Īpaši izvēlētas lokācijas ar minimālu dabas un cilvēku radītu risku.
Noteikumu projektā nav lietderīgi izmantot jebkuras prasības, kas nav formulētas nomērāmās vai salīdzināmās kategorijās. Prasībās iekļautais formulējums “īpaši izvēlētas” ir bezmērķīgs, jo novērtējuma laikā to nav iespējams verificēt, ja nav definēti konkrēti kritēriji.
Nozares standartos izmanto vairāku un konkrētu kritēriju kopumu, kādam jāatbilst izvēlētajai datu centru vietai, piem., vēsturiskie dati no valsts institūciju datu bāzēm par plūdiem šajās teritorijās pēdējo N gados, attālums no dzelzceļa, lidostas u.c.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 15.punktu
20. Iebilstam pret Noteikumu projekta 1.pielikuma 16.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 16.punkts nosaka fiziskās drošības prasības apsardzes personālam: Nodrošināts, ka apsardzes personāls ir augsti kvalificēts un regulāri apmācīts, veicot apmācības vismaz reizi sešos mēnešos. Apsardzes personāls atrodas objektā 24/7 vai tiek nodrošināts, ka reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes, kurā apsardzes personāls ierodas objektā.
Noteikumu projekta 1.pielikuma 16.punktā mūsu ieskatā nav lietderīgi iekļaut jebkuras prasības, kas nav formulētas nomērāmās vai salīdzināmās kategorijās. Prasībās iekļautais formulējums “augsti kvalificēts” ir bezmērķīgs, jo novērtējuma laikā to nav iespējams verificēt, ja nav definēti konkrēti kritēriji.
- Visbiežāk apsardzi datu centra objektos nodrošina ārpakalpojuma sniedzējs (vai arī Valsts policija), nevis datu centra uzņēmuma darbinieks, tāpēc šajos noteikumos definēt apmācības biežumu, ja netiek definēts apmācību virziens, mērķis un pārbaudāmie rezultāti, ir bezmērķīgs. To regulē pušu līgumsaistības un citi drošības kritēriji.
- Apsardzes sfēra ir sertificēta nozare, kurai ir savi nozares kritēriji – gan iestādei, gan tās darbiniekiem, līdz ar to prasībām būtu jābūt saistītām ar Apsardzes nozares prasībām.
- Noteikumos minētā prasība “reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes” bez skaidrojuma par to, kas šos incidentus atklāj un kādā veidā, ir bezmērķīga, jo konkrēto minūšu reakcijas laika atbilstība vai neatbilstība neraksturo apsardzes dienesta funkciju pareizu izpildi.
- Nozares standarti apraksta principus, kādā veidā jāveic apsardzes funkcijas un kādas tehnoloģiskās sistēmas ir jāizmanto, kas ļauj veikt šo prasību izpildes verifikāciju pārbaudes (audita) gadījumā.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 16.punktu atbilstoši norādītajām neprecizitātēm.
21. Iebilstam pret Noteikumu projekta 1.pielikuma 17.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 17.punkts nosaka fiziskās drošības prasības ugunsdrošības sistēmai to pārbaudēm un uzraudzībai: Datu centrs atbilst spēkā esošajiem ugunsdrošības normatīvajiem aktiem. Datu centrā ir papildus drošības risinājumi, piemēram, ugunsdrošības sistēmas ar dūmu detektoriem un automātisko ugunsdzēšanu, kas piemērota datu centru telpām. Tiek veiktas ugunsdrošības sistēmas pārbaudes un testi vismaz reizi sešos mēnešos, bet ne retāk kā noteikts ražotāja dokumentācijā, un tiek nodrošināta nepārtraukta reāllaika ugunsdrošības sistēmu uzraudzība drošības uzraudzības centrā.
Noteikumu projekta 1.pielikuma 17.punktā iekļautā prasība par ugunsdrošības sistēmas pārbaudes veikšanu konkrētā laika posmā (6 mēneši) nav lietderīga, jo datu centra dažādajiem ugunsdrošības sistēmas (piem., sensoriem, aspirācijas sistēmai, skābekļa reducēšanas sistēmai, gāzes automātiskās dzēšanas sistēmai) elementiem ir dažādas apkopes un pārbaudes procedūras, to nosaka gan Latvijas normatīvie akti, gan arī ražotāju noteiktās ekspluatācijas normas.
Noteikumu projekta 1.pielikuma 17.punktā minētais termins “drošības uzraudzības centrs” bez šī termina skaidrojuma ir bezmērķīgs, jo audita veikšanas laikā nebūs iespējams noteikt, kas tieši atbilst šāda “drošības uzraudzības centrs” kritērijiem.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 17.punktu.
22. Iebilstam pret Noteikumu projekta 1.pielikuma 20.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 20.punkts nosaka pieejamības prasības plānotajiem pārtraukumiem: Ieplānotie uzturēšanas darbi tiek veikti saskaņā ar iepriekš noteiktajiem grafikiem, tiek klientiem iepriekš paziņoti, un nepārsniedz 2 stundas.
Nozares standarti neparedz konkrēto ierobežojumu (stundās) saskaņoto darbu ilgumam, tie netiek iekļauti kopējā datu centra pieejamības aprēķina metodikā.
Esošajā redakcijā prasība konfliktē ar Noteikumu projekta 1.pielikuma 19. punktu, kas nosaka, ka apkopes tiek veiktas bez darbības pārtraukuma.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 20.punktu.
23. Iebilstam pret Noteikumu projekta 1.pielikuma 21.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 21.punkts nosaka pieejamības prasības neparedzētiem pārtraukumiem: Reakcijas laiks, lai identificētu un sākotnēji novērstu problēmu, nepārsniedz 15 minūtes.
Kļūdaini lietots termins “Reakcijas laiks”, ja ar to saprot arī problēmu novēršanu. Nozares standartos lieto dažādus terminus:
“Reakcijas laiks” – laiks, kurā servisa organizācijas atbild uz pieteikto bojājumu un uzsāk novēršanas procesu (nekādu problēmu novēršanu tas neparedz);
“Novēršanas laiks” - laiks, kurā servisa organizācija ir novērsusi pieteikto bojājumu un servisa pieteikums ir slēgts.
Nav lietderīgi MK noteikumos limitēt šādu reakcijas laiku, jo to nosaka pakalpojuma sniegšanas līgumā, izvērtējot palīdzības dienesta procedūras un piesaistītos resursus.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 21.punktu.
24. Iebilstam pret Noteikumu projekta 1.pielikuma 23.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 23.punkts nosaka pieejamības prasības darbības atjaunošanai.
“23.1. Atjaunošanas laika mērķis (RTO - Maksimālais pieļaujamais laiks, kura laikā datu centra pakalpojuma darbība ir atjaunojama pēc pārtraukuma) nepārsniedz 1 stundu.
23.2. Atjaunošanas punkta mērķis (RPO - maksimālais pieļaujamais datu zuduma apjoms, kas izteikts laikā) nepārsniedz 15 minūtes;
23.3. Maksimālais pieļaujamais pārtraukuma laiks (MTO - maksimālais laiks, kuru uzņēmums vai sistēma var atļauties būt nepieejama pirms tam, kad pārtraukums sāk radīt nopietnas un neatgriezeniskas sekas uzņēmējdarbībai) nepārsniedz 2 stundas”.
Noteikumu projekta 1.pielikuma 23.punktā un tā apakšpunktos iekļautie darbības atjaunošanas parametri attiecas uz IKT sistēmām, nevis datu centru infrastruktūru.
Priekšlikums:
Pārcelt prasības, kas mērāmas RPO, RTO un MTO uz Noteikumu projekta 1.pielikuma VI sadaļu par pakalpojumu prasībām IKT sistēmām.
25. Iebilstam pret Noteikumu projekta 1.pielikuma 23.3.apakšpunktu.
Pamatojums:
Kļūdaini lietots termins “neatgriezeniskas sekas uzņēmējdarbībai”, jo datu centru klienti būs arī valsts un pašvaldību iestādes, kuras lielākoties neveic uzņēmējdarbību, bet nodrošina noteiktu pakalpojumu sniegšanu. Vai šīs prasības nav spēkā, ja klients ir valsts un pašvaldību iestādes?
Priekšlikums:
Precizēt 1.pielikuma 23.3.apakšpunktu
26. Iebilstam pret Noteikumu projekta 1.pielikuma 25.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 25.punkts nosaka IKT pakalpojumu prasības. “25. Nodrošina standarta informācijas un komunikācijas un tehnoloģiju pakalpojumu līgumus ar prasībām attiecībā uz pieejamību, reakcijas laiku, problēmu risināšanas laiku, uzraudzību un ziņošanu parametriem (SLA), kas nav zemāki kā šajā noteikumu pielikuma sadaļās V Pieejamības prasības un VI IKT pakalpojumu prasības noteiktie”.
Nepieciešamas detalizēts izklāsts par IKT sistēmām, lai vienīgā prasībā nav par līgumā noteikto SLA, bet būtu atrunāts arī tehniskais nodrošinājums. Ja ir nepieciešams nodrošināt 99.982% pieejamību IKT sistēmām, tad jāapraksta mehānismi, kas IKT sistēmai ir ieviesti, lai nodrošinātu, ka IKT sistēma darbosies ar vismaz 99.982% pieejamību.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 25.punktu
27. Iebilstam pret Noteikumu projekta 1.pielikuma 26.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 26.punkts nosaka IKT pakalpojumu prasības “26. Pārvaldības un uzraudzības rīki: Izmantot automatizētus rīkus sistēmu stāvokļa uzraudzībai reāllaikā, lai nodrošinātu nepārtrauktu sistēmu un pakalpojumu pieejamību”.
Noteikumu projekta 1.pielikuma 26.punktā ietvertā prasība dublē iepriekšējās prasības par uzraudzības rīkiem. Nepieciešams skaidrojums kam šī prasība ir jāizpilda: operatoram vai subjektam.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 26.punktu.
28. Iebilstam pret Noteikumu projekta 1.pielikuma 27.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 27.punkts nosaka IKT pakalpojumu prasības “27. Incidentu žurnāls: Uzturēts detalizēts incidentu žurnāls, kas satur visu drošības incidentu aprakstus, novēršanas pasākumus, izmeklēšanas rezultātus, pieņemtos lēmumus, un veikta tā pārskatīšana vismaz reizi nedēļā”.
Nav skaidrs Noteikumu projekta 1.pielikuma 27.punktā ietvertais prasības tvērums – kam jāuztur incidentu žurnāls: operatoram vai subjektam.
Priekšlikums:
Nepieciešams precizēt prasības tvērumu.
29. Iebilstam pret Noteikumu projekta 1.pielikuma 30.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.punkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem “30. Datu centrs var nepiesaistīt Kvalificētu auditoru atbilstības audita veikšanai, ja Datu centram ir aktuāls kāds no šādiem starptautiski atzītajiem sertifikātiem, un tas tiek regulāri atjaunots un pārbaudīts:
30.1.Uptime Institute Tier III vai Tier IV standarta atbilstības sertifikāts uzticamībai un pieejamībai”.
Noteikumu projekta 1.pielikuma 30.punktā nav skaidrs kāda veida sertifikācijas veida atbilstība tiek uzskatīta par atbilstošu:
- Projekta līmeņa jeb “Design” – tikai paša Būvprojekta sertifikācija;
- Vai izbūvētas datu centra infrastruktūras jeb “Build” sertifikācija.
Daudzi klienti veic šādu sākotnējā projekta sertifikāciju, bet pēc datu centra izbūves var arī neveikt tā tālāko sertifikāciju.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.punktu, ka tikai ‘Build’, ‘Facility’, ‘Construction’ tipa sertifikāti tiek pieņemti par atbilstošiem, jo tikai šie sertifikāti, kuru iegūšana pieprasa arī fizisku infrastruktūras pārbaudi datu centra teritorijā, var garantēt to, ka datu centrs ir būvēts, atbilstoši izvirzītajām prasībām.
30. Iebilstam pret Noteikumu projekta 1. pielikuma 30.punktu.
Pamatojums:
1.pielikuma 30.punktā ir norādīti standarti un sertifikācijas, kurām datu centram ir jāatbilst, tomēr ņemot vērā, ka starptautiski tiek lietotas arī citas ekvivalentas sertifikācijas vai to kombinācijas, šis saraksts nav pilnīgs, nenodrošinot vienādas iespējas visiem datu centru pakalpojumu piegādātājiem.
Priekšlikums:
Papildināt 1.pielikuma 30.punktu ar citām ekvivalentām pasaulē atzītām sertifikācijām / to kombinācijām. No LIKTA puses apkoposim un iesniegsim informāciju Noteikumu projekta turpmākajā saskaņošanas procesā. Vienlaicīgi aicinām arī ministriju apzināt citas starptautiski atzītas ekvivalentas sertifikācijas un to kombinācijas, attiecīgi papildinot minēto punktu.
31. Iebilstam pret Noteikumu projekta 1.pielikuma 30.2.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.2.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.2. TIA-942 Sertifikāts ar īpaši augstas rezervēšanas un drošības prasībām”.
Noteikumu projekta 1.pielikuma 30.2.apakšpunktā nekorekti tiek lietots termins “īpaši augstas … prasības”, jo standartam ir 4 reitinga klases (“Rating”, no 1 līdz 4).
Ja šī Noteikumu projekta ietvaros kā minimālās pieejamības prasība ir noteikta, balstoties uz Uptime Institute Tier III klasi, tad, visticamāk, arī standarta ANSI/TIA-942-B/C atbilstība ir pierādāma ar 3. līmeni “Rated-3” (bet ne augstāko – 4. līmeni (“Rated-4”), jo tas paredz visas infrastruktūras rezervēšanu 2N līmenī).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.2.apakšpunktu.
32. Iebilstam pret Noteikumu projekta 1.pielikuma 30.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.3.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.3. EN 50600-1, EN 50600-2-1, EN 50600-2-2, EN 50600-2-3, EN 50600-2-5, EN 50600-3-1 - datu centru infrastruktūras un paaugstinātas drošības pārvaldības prasībām”.
Dokumentā nekorekti tiek lietots termins “datu centru infrastruktūras un paaugstinātas drošības pārvaldības prasībām”, jo standartā ir norādītas 4 pieejamības klases (“Availability Class”, no 1 līdz 4), un 4 drošības klases (“Protection Class”, no 1 līdz 4).
Rekomendējam Noteikumu projektā norādīt konkrēto standarta EN50600 atbilstības drošības klasi.
Nepieciešams papildināt Noteikumu projekta 1.pielikuma 30.3.apakšpunktu ar telekomunikāciju kabeļu infrastruktūras standartu EN 50600-2-4
Priekšlikums:
Precizēt un papildināt Noteikumu projekta 1.pielikuma 30.3.apakšpunktu.
33. Iebilstam pret Noteikumu projekta 1.pielikuma 30.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.4.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.4. ISO/IEC TS 22237 (paaugstinātas drošības līmenis) atbilstības sertifikāts ar paaugstinātas drošības prasībām”.
Dokumentā nekorekti tiek lietots termins “paaugstinātām drošības prasībām”, jo šajā standartā ir noteiktas 4 pieejamības klases (“Availability Class”, no 1 līdz 4), un 4 drošības klases (“Protection Class”, no 1 līdz 4).
Rekomendējam dokumentā norādīt konkrēto standarta ISO 22237 atbilstības drošības klasi.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.4.apakšpunktu.
1. Iebilstam pret Noteikumu projekta sadaļu “Datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības kārtība”.
Pamatojums:
1. Noteikumu projektā nav izvirzītas nekādas prasības pret pašu datu centru operatoru, piemēram, ka operators nevar būt sankcionēts, ar nodokļu parādiem u.tml.
2. Ja A un B kategorijas valsts kritiskās informācijas sistēma izvietota datu centrā, kas atrodas ārpus LR teritorijas, tad LR teritorijā obligāti jāatrodas datu centrā izvietoto sistēmu un datu rezerves kopijai. Savukārt, ja A un B kategorijas valsts kritiskās informācijas sistēma izvietota datu centrā, kas atrodas LR teritorijā, tad datu centrā izvietoto sistēmu un datu rezerves kopijai jāatrodas obligāti arī ārpus LR teritorijas.
Priekšlikums:
1. Papildināt sadaļu ar prasībām datu centra operatoram.
2. Papildināt sadaļu ar prasību datu centram / datu un sistēmas rezerves kopijai atrasties LR teritorijā / ārpus LR teritorijas.
2. Iebilstam pret Noteikumu projekta 5.2.apakšpunktu.
Pamatojums:
Noteikumu projekta 5.2.apakšpunkts nosaka, ka datu centra operators darbības plānā iekļauj šādu sadaļu: nepārtrauktas darbības stratēģijas (datu dublēšana un atjaunošana, avārijas atkopšanās vietas).
Datu dublēšana un atjaunošana ir prasība, kas piemērojama IKT sistēmām, nevis datu centriem un tā būtu attiecināma IKT operatoriem, nevis datu centru operatoriem.
Priekšlikums:
Svītrot Noteikumu projekta 5.2.apakšpunktu
3. Iebilstam pret Noteikumu projekta 8.punktu.
Pamatojums:
Noteikumu projekta 8.punkts nosaka, ka kvalificēts auditors, kuram ir tiesības sniegt šajos noteikumos minētos atzinumus par atbilstību prasībām, atbilst Ministru kabineta noteikumos Noteikumi par minimālajām kiberdrošības prasībām noteiktajām prasībām un ir iekļauts kiberdrošības auditoru sarakstā ar atzīmi par kompetenci veikt datu centru atbilstības pārbaudes.
Datu centru infrastruktūras auditoram ir jāspēj pierādīt praksē zināšanas un pieredze darbā ar datu centru infrastruktūru un saistītajiem risinājumiem.
Priekšlikums:
8.punktā ir minēts, ka datu centru auditu var veikt sertificēts kiberdrošības auditors, bet šāda prasība nav pietiekoša, jo kiberdrošības auditors ir sertificēts veikt IKT sistēmu drošības novērtēšanu, nevis datu centru infrastruktūras novērtēšanu. Iespējams, nepieciešams papildināt vai skaidrot, ka ar punktā minēto ‘atzīme par kompetenci veikt datu centru atbilstības pārbaudes.’ Var pārliecināties, ka auditu veic atbilstoši kompetents auditors.
4. Iebilstam pret Noteikumu projekta 13.1. apakšpunktu.
Pamatojums:
Noteikumu projekta 13.1. apakšpunkts nosaka, ka Nacionālās kiberdrošības centrs ir tiesīgs pieprasīt datu centru operatoram veikt ārkārtas pārbaudi šādos gadījumos: pēc notikuša nozīmīga kiberincidenta, kas ir skāris A kategorijas paaugstinātas drošības informācijas sistēmu un tā cēlonis ir saistīts ar datu centriem.
Nepieciešams precizēt dīkstāves procesa raksturojumu.
Priekšlikums:
Izteikt Noteikumu projekta 13.1. apakšpunktu sekojošā redakcijā:
“13.1. pēc notikuša nozīmīga kiberincidenta vai datu centra infrastruktūras dīkstāves, kas ir skāris datu centrā izvietotās paaugstinātas informācijas sistēmas un tā cēlonis ir saistīts ar datu centriem centra infrastruktūras pieejamību vai piekļuvi tai, vai datu centra operatora nodrošināto IKT pakalpojumu pieejamību vai piekļuvi tām”
5. Iebilstam pret Noteikumu projekta 16.punktu.
Pamatojums:
Noteikumu projekta 16.punkts nosaka, ja datu centru operators ir informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tad uzraudzību šim datu centram nodrošina Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likumā noteiktajam.
Noteikumos kļūdaini dublējas frāze “kritiskās infrastruktūras”.
Lūdzam Noteikumu projekta 16.punktā precizēt normatīvo bāzi, kā datu centra operators uzzina, ka ir kļuvis “kritiskās infrastruktūras īpašnieks vai tiesiskais vadītājs”.
Priekšlikums:
Precizēt Noteikumu projekta 16.punktu.
6. Iebilstam pret Noteikumu projekta 19.punktu.
Pamatojums:
Noteikumu projekta 19.punkts nosaka, ka datu centra operatori nodrošina drošības telemetrijas datu pieejamību reāllaikā (ar datu pieejamību ne vēlāk kā minūti pēc notikuma) kompetentās kiberincidentu novēršanas institūcijai.
Prasības tvērumu ir nepieciešams aprakstīt detalizētāk. Esošajā redakcijā nav precizēti dati, kuriem ir jānodrošina piekļuve.
Priekšlikums:
Papildināt Noteikumu projekta 19.punktu.
7. Iebilstam pret Noteikumu projekta V. sadaļu “Informācijas sistēmu izvietošanas noteikumi datu centros”
Pamatojums:
Noteikumu projekta V. sadaļas 20. punktā minētajām IKT sistēmām ir izvirzīta prasība atrasties drošos datu centros un uzskatām, ka ir jādefinē termiņi, kuros, gadījumā, ja datu centrs ir zaudējis droša datu centra statusu, tajā izvietotās IKT sistēmas ir jāpārceļ uz datu centru, kas ir ar droša datu centra statusu.
Priekšlikums:
V. Sadaļu ir nepieciešams papildināt ar prasību IKT sistēmu pārvaldniekam pārcelt IKT uz drošu datu centru 12 mēnešu laikā, ja esošais ir zaudējis statusu atbilstoši prasību 15. punktam.
8. Iebilstam pret Noteikumu projekta 1.pielikuma 2.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 2.punkts nosaka organizatoriskās prasības personāla apmācībai: Ne retāk kā reizi sešos mēnešos drošības apmācības, kas ietver krīžu vadību un datu aizsardzību. Apmācībās tiek ietverti arī praktiskie treniņi, kuros simulēti sarežģīti incidenti, piemēram, sarežģīti pastāvīgie draudi (APT) vai datu noplūdes. Treniņos iegūtie rezultāti tiek rūpīgi dokumentēti un analizēti, lai identificētu iespējamās vājās vietas drošības procedūrās. Pamatojoties uz šiem rezultātiem, tiek izstrādāti korekcijas pasākumi un organizētas papildu apmācības, ja nepieciešams.
Nepieciešams precizēt Noteikumu projekta 1.pielikumā:
1) Kas tieši tiek saprasts ar terminu “krīžu vadība” datu centra infrastruktūras gadījumā?
2) Kādu tieši “datu” aizsardzība datu centra infrastruktūrā ir jāparedz?
Priekšlikums:
Nepieciešams precizēt Noteikumu projektu.
9. Iebilstam pret Noteikumu projekta 1.pielikuma 3.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 3.punkts nosaka organizatoriskās prasības fiziskajai piekļuves kontrolei: Fiziskā piekļuve nodrošināta, izmantojot daudzfaktoru autentifikāciju (biometriskā autentifikācija apvienojumā ar radiofrekvences identifikācijas (RFID) karti vai personisko identifikācijas numuru (PIN kodu)). Autentifikācijas dati tiek droši šifrēti un glabāti atbilstoši spēkā esošajiem datu aizsardzības normatīvajiem aktiem. Visi piekļuves mēģinājumi tiek reģistrēti, dokumentēti un pastāvīgi uzraudzīti. Papildus tiek nodrošināta pastāvīga fiziskā apsardze un uzraudzība, kas veic regulāru apgaitu un reaģē uz aizdomīgiem piekļuves mēģinājumiem vai incidentiem. Pieejas reģistri tiek glabāti vismaz piecus gadus.
Noteikumu projekta 1.pielikuma 3.punkts satur atsevišķas neskaidrības:
- Kāpēc ir jānodrošina tieši biometriskā autentifikācija, jo datu centra standarti (piem., EN50600) fiziskās piekļuves prasībās definē ar citiem drošības terminiem – vienfaktoru, divfaktoru vai trīsfaktoru autentifikācija, atkarība no datu centra telpu zonējuma klasifikācijas (jo augstāk drošības zona, jo lielāks faktoru skaits tiek izmantots piekļuves kontroles nodrošināšanai).
- Nav norādīta būtiska prasība, kur šie autentifikācijas dati drīkst uzglabāties – šajā datu centrā vai arī kāda citā lokācijas vietā (piem., citā ēkā, citā datu centrā).
- Pieminētā apsardzes metodika ar apgaitām visā datu centra teritorijā nav atbilstoša mūsdienu drošības un tehnoloģiskajiem standartiem, jo visbiežāk netiek paredzētas tiesības apsardzes personālam iekļūt atsevišķās datu centra telpās, it īpaši gadījumos, ja šo funkciju veic ārpakalpojuma nodrošinātājs. Bieži vien apsardzes funkciju nodrošina tikai viens apsargs un viņam dežūras laikā ir kategoriski aizliegts atstāt apsardzes telpas, kontroli veicot TIKAI ar pareizi izveidotiem tehniskiem līdzekļiem un risinājumiem.
-- Šis prasību 3.punkts ir pretrunā ar 1. pielikuma IV. sadaļas 16.punktu, kurā noteikts, ka apsardze var arī nebūt pastāvīga, bet “…tiek nodrošināts, ka reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes, kurā apsardzes personāls ierodas objektā”
- Kā jāsaprot termins “Pieejas reģistri”. Šāds termins nozares standartos netiek izmantots. Varbūt tomēr tā ir domāta “Piekļuves kontroles sistēma” un tās žurnālfaili vai kādi cita informācija?
3. punktā nav norādītas prasības arī transportlīdzekļu fiziskās kontroles nodrošināšanai, jo datu centra ārējā perimetra robežai ir jāsākas no ārējās teritorijas norobežojuma (tajā skaitā personāla un transporta vārtiem, paredzot arī transportlīdzekļu numurzīmju atpazīšanu).
-- “Fiziskā piekļuve nodrošināta, izmantojot daudzfaktoru autentifikāciju” – nav norādīts kam tieši. Vai serveru telpai?
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 3.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
10. Iebilstam pret Noteikumu projekta 1.pielikuma 4.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 4.punkts nosaka organizatoriskās prasības drošības pārbaudēm: Regulāras, bet ne retāk kā reizi gadā, drošības pārbaudes, detalizēts drošības audits un risku analīze. Drošības pārbaudes veic neatkarīga ārējā trešā puse (sertificēts drošības auditors). Kiberdrošības pārvaldnieks var veikt starpposma pārbaudes un uzraudzību laika posmos starp ārējiem auditiem.
Noteikumu projekta 1.pielikuma 4.punkts satur daudz neskaidrību:
- Kā jāsaprot termins “Drošības pārbaudes”?
- Kādas datu centra infrastruktūras disciplīnas tās iekļauj – fizisko drošību, loģisko drošību, telekomunikāciju drošību, datu centrā uzglabātās informācijas drošību, kiberdrošību?
- Atbilstoši kādam drošības standartam šīs drošības (pārbaudes) auditu veic sertificēts drošības auditors?
- Kādas tieši drošības sertifikācijas (datu centru, kiberdrošības, CISM, fiziskās drošības utt.) auditors nodrošina? Nozares prakse paredz, ka datu centra auditu veic auditori, ar noteiktu specifisko zināšanu kopumu tieši datu centru jomā, vai arī auditori no uzņēmuma ar ISO audita veikšanas tiesībām un kvalifikāciju, ja audits tiek veikts atbilstoši ISO standarta prasībām.
- Atbilstoši tikai šajā Noteikumu projektā iekļautajām prasībām to nevarēs veikt, jo šo prasību apjoms neatspoguļo vismaz to minimālo drošības prasību kopumu, ko paredz nozares standarti, piem., EN50600, atbilstoši to drošības jeb aizsardzības klasei (“Protection Class 1-4”).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 4.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
11. Iebilstam pret Noteikumu projekta 1.pielikuma 6.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 6.punkts nosaka organizatoriskās prasības dokumentācijas pārvaldībai: Ir izstrādāta detalizēta dokumentācijas pārvaldības sistēma, kas ietver visu drošības procedūru, apmācību un incidentu pārvaldības dokumentāciju, kas tiek pārskatīta un atjaunināta vismaz reizi sešos mēnešos.
Prasība veikt dokumentācijas atjaunošanu reizi 6 mēnešos ir nesamērīga un dokumentācijas atjaunošana ir jāveic tikai nepieciešamības gadījumā. Pārskatīšana reizi 12 mēnešos ir līdzvērtīga starptautiskiem sertifikātiem, piemēram PCI-DSS.
Priekšlikums:
Izteikt Noteikumu projekta 1.pielikuma 6.punktu šādā redakcijā:
“Dokumentācijas pārvaldība: Ir izstrādāta detalizēta dokumentācijas pārvaldības sistēma, kas ietver visu drošības procedūru, apmācību un incidentu pārvaldības dokumentāciju, kas tiek pārskatīta un vajadzības gadījumā atjaunināta vismaz reizi divpadsmit mēnešos”.
12. Iebilstam pret Noteikumu projekta 1.pielikuma 7.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 7.punkts nosaka organizatoriskās prasības darbinieku drošības pārbaudēm: Tiek veiktas regulāras darbinieku drošības pārbaudes vismaz reizi gadā, ietverot gan tehniskās, gan fiziskās drošības aspektus. Tehniskās drošības pārbaudes aptver kiberdrošības, datu aizsardzības un IKT sistēmu aizsardzības aspektus, savukārt fiziskās drošības pārbaudes fokusējas uz drošības procedūrām un piekļuves kontroles prasmēm. Pārbaudes tiek veiktas pirms darbinieku pieņemšanas darbā un regulāri pēc tam, vismaz reizi divos gados, un to rezultāti tiek dokumentēti un analizēti.
Noteikumu projekta 1.pielikuma 7.punkts satur daudz neskaidrību:
- Drošības sfērā ar terminu “Darbinieku drošības pārbaudes” saprot ko citu – tās ir veicamais topošā personāla skrīnings jeb dzīvesgājuma pārbaude, nedzēsto sodāmību pārbaude kompetentās iestādēs, izziņu no ārstniecības iestādēm par kaitīgo atkarību vai psihisko slimību neesamību, uzņēmuma definētu drošības prasību atbilstība utt.
- Kā punktā pieminētais termins “Darbinieku drošības pārbaudes” korelējas ar tekstā zemāk minēto “Tehniskās drošības pārbaudes”, kas ir aprakstītas kā infrastruktūras daļu drošības pārbaudes?
- Nepieciešams skaidrojums par to, kas domāts ar regulējumu par fiziskās drošības pārbaudēm “…piekļuves kontroles prasmēm”. Fiziskās piekļuves tiesību pārvaldība jebkurā datu centrā tiek organizēta tādā veidā, ka darbinieki ar izsniegtajiem identifikācijas līdzekļiem piekļūst tikai tām zonām, kurām tas ir atļauts, un citām nepiekļūst. Līdz ar to nav saprotams šī “prasmju” kritērija pielietošana pārbaužu veikšanā.
- Uz kuriem darbiniekiem attiecās šīs drošības pārbaudes? Vai visiem, kas strādā organizācijā vai tikai tiem, kas tiešā veidā nodrošina datu centru darbību?
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 7.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
13. Iebilstam pret Noteikumu projekta 1.pielikuma 8.1.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 8.1.apakšpunkts nosaka tehniskās prasības temperatūras uzturēšanai: Tiek nodrošināta pastāvīga iekšējā temperatūra, kas nepārsniedz 18-27°C, lai aizsargātu iekārtas no pārkaršanas vai citiem tehniskiem bojājumiem, kas saistīti ar temperatūras svārstībām.
Noteikumu projekta 1.pielikuma 8.1. punkts satur daudz neskaidrību:
- Atbilstoši nozares standartiem, norādītās prasības par temperatūras diapazonu attiecas TIKAI uz serveru telpu, un tikai uz tās “aukstā koridora” zonu, pārējā serveru telpas zonā (“karstajā”) temperatūra netiek limitēta un var pārsniegt norādītās vērtības.
- Citās datu centra telpās standarti definē citas prasības, kas saistīts ar tajās uzstādīto iekārtu prasībām. Piem., UPS bateriju telpā jānodrošina temperatūru tuvu 20 grādiem (atkarībā no ražotāja noteikumiem), kas ir maksimāli labvēlīga bateriju ilgmūžības nodrošināšanai.
- Papildus tam, standartos pieminētā optimālais diapazons (no +18C līdz +27C) nenozīmē, ka telpas gaisa temperatūra nevar būt zemāka par +18C, jo zemāka temperatūra norāda tikai par NEEFEKTĪVU dzesēšanas resursu izmantošanu. Kritiski ir ievērot tikai norādīto augšējo robežu (līdz +27C “aukstajā zonā”), jo tas var apdraudēt iekārtu ražotāju noteikto minimālo tehnisko prasību parametru nodrošināšanu (iestājās iekārtu pārkaršanas riski).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 8.1.apakšpunktu atbilstoši norādītajiem neskaidrajiem jautājumiem
14. Iebilstam pret Noteikumu projekta 1.pielikuma 9.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 9.punkts nosaka tehniskās prasības enerģijas pārvaldībai: Vairākas nepārtrauktas barošanas sistēmas (UPS) un rezerves ģeneratori, lai nodrošinātu darbību vismaz 12 stundas bez elektrības piegādes, garantējot 99,9% pieejamību kalendārā gada ietvaros.
Noteikumu projekta 1.pielikuma 9.punkts satur vairākas neskaidrības:
Dokumentā neprecīzi tiek lietoti termini:
- “Vairākas nepārtrauktas barošanas sistēmas (UPS)” – UPS sistēma ir vienota, bet var būt lietotas vairākas UPS iekārtas un bateriju bloki.
- Lietojot ģeneratoru avārijas atslēgšanas gadījumos, kļūdaini ir pieminēts pieejamības rādītājs – ģeneratora darbības minimālās laiks tiek noteikts autonomā darbības laikā “bez degvielas uzpildes” (nevis – bez elektrības piegādes). Datu centra standartos ir noteikts, ka šādu ģeneratoru minimālā autonomija bez degvielas uzpildes ir jānodrošina vismaz 24 stundas. Datu standartos ir noteikts, ka šādu ģeneratoru minimālā autonomija bez degvielas uzpildes ir jānodrošina vismaz 24 stundas. Datu centra standartos arī nosaka, ka datu centra operatoram ir jābūt noslēgtam līgumam par degvielas piegādi noteiktā laikā.
Šāda ģeneratora izmantošana nekādi nedrīkst ietekmēt datu centra kopējo pieejamības rādītāju, kas ir nodefinēts 1. pielikuma V. sadaļas 18.punktā – 99,982% gadā. Līdz ar to nav saprotama un reizē ir maldinoša norāde “lai nodrošinātu darbību … garantējot 99,9% pieejamību kalendārā gada ietvaros”.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 9.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
15. Iebilstam pret Noteikumu projekta 1.pielikuma 10.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 10.punkts nosaka tehniskās prasības dzesēšanas sistēmām: Dzesēšanas sistēmas, kas nodrošinātas ar 2N rezervēšanu, garantējot nepārtrauktu darbību vienas sistēmas atteices gadījumā.
Noteikumu projekta 1.pielikuma 10.punkts satur daudz neskaidrību:
10.punktā kļūdaini tiek lietots termins “2N”, definējot dzesēšanas sistēmas rezervēšanas modeli. Atbilstoši nozares standartu prasībām, tajos tiek detalizēti aprakstīti principi, kādus jānodrošina dzesēšanas sistēmas rezervēšanai atbilstoši Tier III vai Tier IV (vai standartos – Rating Level vai Availability Class) kategoriju prasībām.
- 10.punktā minētais “2N” iekārtu un pieslēgumu rezervēšanas modelis attiecināms tikai uz Tier IV (vai standartos – Rating Level 4 vai Availability Class 4) rezervēšanas modeli, kaut gan šī dokumenta V. sadaļas 18.punktā noteikts, ka minimālais pieejamības līmenis tiek definēts atbilstoši Tier III prasībām.
- Dzesēšanas risinājumi mūsdienu datu centrā tiek veidoti kā daudzu iekārtu kompleksi risinājumi, vienā serveru telpā var būt pat vairāki desmiti iekārtu, tāpēc katrai izmantotajai tehnoloģijai tiek piemēroti savi noteikumi, lai demonstrētu šo atbilstību standartā definētajai kategorijai. Piemēram, starprindu dzesētāju izmantošanas gadījumā definē, cik šiem iekšējiem blokiem jābūt rezervētiem viena slēgtā aparatūras skapju koridora ietvaros.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 10.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
16. Iebilstam pret Noteikumu projekta 1.pielikuma 11.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 11.punkts nosaka tehniskās prasības tīkla infrastruktūrai: Latentums starp datu centra iekārtām un klienta sistēmām nepārsniedz 10 milisekundes. Īpaši augsta rezervēšana (2N konfigurācija tīkla komponentēm, kas nodrošina, ka tīkla infrastruktūra turpina darboties vairāku tīkla komponenšu atteices gadījumā) un drošības pasākumi tīklošanā, tostarp šifrēta datu pārraide izmantojot vismaz AES-256 šifrēšanas standartu.
Noteikumu projekta 1.pielikuma 11.punkts satur daudz neskaidrību:
Nevienā no nozares standartiem nedefinē šādas precīzas vērtības (10 milisekundes) telekomunikāciju risinājumiem, jo šis parametrs norādīts starp divām sistēmām, tas padara šādas prasības bezjēdzīgas, jo nav iespējams pierādīt, ka infrastruktūra ar nedaudz sliktāku parametru, piem., 11 milisekundes, nenodrošina standartos noteiktās kopīgās arhitektūras un drošības prasības. Nozares standartos ir iestrādātas vispārīgās konceptuālās un arhitektūras līmeņa prasības telekomunikāciju risinājumu realizācijai datu centros, ar saprotamu rezervēšanas līmeņu pieaugumu virzienā uz augstāko drošības klasi.
- Dokumentā izmantotais formulējums “īpaši augsta rezervēšana” ar skaidrojumu par 2N rezervēšanu VISĀM tīkla komponentēm nesakrīt ar nozares standartu kritērijiem, kas definētajai minimālajai pieejamības klasei Rating Level 3 vai Availability Class 3 to pamatā definē N+1 līmenī, un arī tikai risinājuma pamatelementu līmenī. Minētais līmenis 2N ir spēkā Rating Level 4 vai Availability Class 4 sistēmām, bet arī ne visām datu pārraides tīkla iekārtām.
- Kopumā normatīvajā aktā būtu jāizvairās lietot šādas “punktveida” prasības bez kopējām konceptuālajām prasībām, kas šajā dokumentā nemaz nav iekļautas, vēl jo vairāk, ka tīkla aiztures jeb latentums tiešā veidā nav vērtējams kā datu centru infrastruktūras drošības kategorija, bet pakalpojumu līmeņa vai pielietojuma sfēras limitēts parametrs.
- Datu šifrēšana kā kritērijs nekādi nav saistāms ar datu pārraides tīkla iekārtu pielietojamo rezervēšanas modeli, bet ar pašu IS un to datu drošības definēto līmeni un izmantoto datu pārraides kanālu drošību.
- Prasība par datu šifrēšanu būtu piemērojama IKT sistēmām, nevis datu centriem.
- Prasības tīkla infrastruktūrai būtu papildināmas ar prasību, kas apraksta datu centra tīkla infrastruktūras savienojumus ar tīkliem, ārpus datu centra. “Saziņai ar telekomunikāciju operatoru tīkliem un publisko internetu, Datu centrā tiek nodrošināti vismaz divi, neatkarīgi datu pārraides kanāli, kas izbūvēti, izmantojot neatkarīgus optiskās šķiedras ievadus Datu Centra ēku kompleksā.”
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 11.punktu atbilstoši norādītajām neprecizitātēm.
17. Iebilstam pret Noteikumu projekta 1.pielikuma 13.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 13.punkts nosaka fiziskās drošības prasības videonovērošanai: ir uzstādīta videonovērošanas sistēma, kas nodrošina reāllaika uzraudzību un ierakstīšanu visās kritiskajās zonās. Videoieraksti tiek šifrēti un glabāti drošās, piekļuvei ierobežotās sistēmās vismaz 90 dienas, nodrošinot to integritāti un konfidencialitāti. Ierakstu piekļuve tiek reģistrēta un analizēta.
13.punktā norādītais videoierakstu uzglabāšanas termiņš 90 dienas ir būtiski augstāks, nekā nozares standartos norādīts (parasti – 30 dienas).
13. punktā nav norādīti citi būtiski aspekti – vai videonovērošanas dati var glabāties tajā pašā datu centrā, vai videonovērošanas risinājumiem jāievēro GDPR prasības, datu šifrēšanas minimālās drošības prasības utt.
Ir nepieciešams precizēt, kas tiek saprasts ar terminu ‘kritiskās zonas’.
Priekšlikums:
- Precizēt Noteikumu projekta 1.pielikuma 13.punktu atbilstoši norādītajiem neskaidrajiem jautājumiem.
- Precizēt terminu “kritiskās zonas”
- Videoierakstu glabāšanas termiņu noteikt 30 dienas.
18. Iebilstam pret Noteikumu projekta 1.pielikuma 14.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 14.punkts nosaka fiziskās drošības prasības pretplūdu risinājumiem: Datu centrā ir pretplūdu risinājumi, tai skaitā mitruma sensori, un citas sistēmas, kas nodrošina datu centra aizsardzību pret iespējamiem plūdiem vai citiem mitruma radītiem bojājumiem.
14. punktā ir kļūdaini lietots termins “pretplūdu risinājumi” datu centrā, “mitruma sensori” un “mitruma radītie bojājumi”.
- Nozares standartos ar “pretplūdu risinājumu” saprot visu, kas saistīts ar datu centra ēkas un āras infrastruktūras aizsardzību pret plūdiem no tuvumā esošās ūdens tilpnes ūdens (piem., plūdu vai cunami veidā) vai lietus radītiem ūdens ieplūšanas riskiem ēkā no ārpuses, bet ne ēkas iekšpusē notiekošajiem tehnoloģiskajiem procesiem.
- Noteikumu projektā minētais “mitrums” (anglu val. “Humidity”) tiek jaukts ar terminu “škidrums” (angļu val. “Liquid”)
- Noteikumu projektā faktiski aprakstītais risks datu centru standartos tiek definēts kā tieši “škidrumu” ietekmē notikušie datu centra telpās izvietoto iekārtu un aparatūras bojājumi. Šie šķidrumi var būt - dzesēšanas sistēmas ūdens vai modificēti šķidrumi, dzesēšanas iekārtu kondensāts, mitrināšanas iekārtu ūdens, ūdens no citas telpas. Šo risku identificēšanai izmanto “šķidruma” konstatēšanas sensorus.
- Noteikumu projektā minētais “mitruma” sensors standartos tiek definēts kā “gaisa relatīvā mitruma” sensors un tas ir paredzēts tikai gaisa parametra kontroli, taču šī punkta ietvaros tas nav attiecināms uz aprakstīto risku.
- Noteikumu projektā kļūdaini ir minēts, ka sensori un citas sistēmas “nodrošina datu centra aizsardzību pret iespējamiem plūdiem vai citiem mitruma radītiem bojājumiem”. Sensori un sistēmas var nodrošināt tikai proaktīvu vai reaktīvu informācijas saņemšanu par riska iestāšanos, taču tie nekādā veidā nenodrošina aizsardzību pret šādu risku.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 14.punktu atbilstoši norādītajām neprecizitātēm.
19. Iebilstam pret Noteikumu projekta 1.pielikuma 15.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 15.punkts nosaka fiziskās drošības prasības ģeogrāfiskajam izvietojumam: Īpaši izvēlētas lokācijas ar minimālu dabas un cilvēku radītu risku.
Noteikumu projektā nav lietderīgi izmantot jebkuras prasības, kas nav formulētas nomērāmās vai salīdzināmās kategorijās. Prasībās iekļautais formulējums “īpaši izvēlētas” ir bezmērķīgs, jo novērtējuma laikā to nav iespējams verificēt, ja nav definēti konkrēti kritēriji.
Nozares standartos izmanto vairāku un konkrētu kritēriju kopumu, kādam jāatbilst izvēlētajai datu centru vietai, piem., vēsturiskie dati no valsts institūciju datu bāzēm par plūdiem šajās teritorijās pēdējo N gados, attālums no dzelzceļa, lidostas u.c.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 15.punktu
20. Iebilstam pret Noteikumu projekta 1.pielikuma 16.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 16.punkts nosaka fiziskās drošības prasības apsardzes personālam: Nodrošināts, ka apsardzes personāls ir augsti kvalificēts un regulāri apmācīts, veicot apmācības vismaz reizi sešos mēnešos. Apsardzes personāls atrodas objektā 24/7 vai tiek nodrošināts, ka reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes, kurā apsardzes personāls ierodas objektā.
Noteikumu projekta 1.pielikuma 16.punktā mūsu ieskatā nav lietderīgi iekļaut jebkuras prasības, kas nav formulētas nomērāmās vai salīdzināmās kategorijās. Prasībās iekļautais formulējums “augsti kvalificēts” ir bezmērķīgs, jo novērtējuma laikā to nav iespējams verificēt, ja nav definēti konkrēti kritēriji.
- Visbiežāk apsardzi datu centra objektos nodrošina ārpakalpojuma sniedzējs (vai arī Valsts policija), nevis datu centra uzņēmuma darbinieks, tāpēc šajos noteikumos definēt apmācības biežumu, ja netiek definēts apmācību virziens, mērķis un pārbaudāmie rezultāti, ir bezmērķīgs. To regulē pušu līgumsaistības un citi drošības kritēriji.
- Apsardzes sfēra ir sertificēta nozare, kurai ir savi nozares kritēriji – gan iestādei, gan tās darbiniekiem, līdz ar to prasībām būtu jābūt saistītām ar Apsardzes nozares prasībām.
- Noteikumos minētā prasība “reakcijas laiks pēc incidenta atklāšanas nepārsniedz 15 minūtes” bez skaidrojuma par to, kas šos incidentus atklāj un kādā veidā, ir bezmērķīga, jo konkrēto minūšu reakcijas laika atbilstība vai neatbilstība neraksturo apsardzes dienesta funkciju pareizu izpildi.
- Nozares standarti apraksta principus, kādā veidā jāveic apsardzes funkcijas un kādas tehnoloģiskās sistēmas ir jāizmanto, kas ļauj veikt šo prasību izpildes verifikāciju pārbaudes (audita) gadījumā.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 16.punktu atbilstoši norādītajām neprecizitātēm.
21. Iebilstam pret Noteikumu projekta 1.pielikuma 17.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 17.punkts nosaka fiziskās drošības prasības ugunsdrošības sistēmai to pārbaudēm un uzraudzībai: Datu centrs atbilst spēkā esošajiem ugunsdrošības normatīvajiem aktiem. Datu centrā ir papildus drošības risinājumi, piemēram, ugunsdrošības sistēmas ar dūmu detektoriem un automātisko ugunsdzēšanu, kas piemērota datu centru telpām. Tiek veiktas ugunsdrošības sistēmas pārbaudes un testi vismaz reizi sešos mēnešos, bet ne retāk kā noteikts ražotāja dokumentācijā, un tiek nodrošināta nepārtraukta reāllaika ugunsdrošības sistēmu uzraudzība drošības uzraudzības centrā.
Noteikumu projekta 1.pielikuma 17.punktā iekļautā prasība par ugunsdrošības sistēmas pārbaudes veikšanu konkrētā laika posmā (6 mēneši) nav lietderīga, jo datu centra dažādajiem ugunsdrošības sistēmas (piem., sensoriem, aspirācijas sistēmai, skābekļa reducēšanas sistēmai, gāzes automātiskās dzēšanas sistēmai) elementiem ir dažādas apkopes un pārbaudes procedūras, to nosaka gan Latvijas normatīvie akti, gan arī ražotāju noteiktās ekspluatācijas normas.
Noteikumu projekta 1.pielikuma 17.punktā minētais termins “drošības uzraudzības centrs” bez šī termina skaidrojuma ir bezmērķīgs, jo audita veikšanas laikā nebūs iespējams noteikt, kas tieši atbilst šāda “drošības uzraudzības centrs” kritērijiem.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 17.punktu.
22. Iebilstam pret Noteikumu projekta 1.pielikuma 20.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 20.punkts nosaka pieejamības prasības plānotajiem pārtraukumiem: Ieplānotie uzturēšanas darbi tiek veikti saskaņā ar iepriekš noteiktajiem grafikiem, tiek klientiem iepriekš paziņoti, un nepārsniedz 2 stundas.
Nozares standarti neparedz konkrēto ierobežojumu (stundās) saskaņoto darbu ilgumam, tie netiek iekļauti kopējā datu centra pieejamības aprēķina metodikā.
Esošajā redakcijā prasība konfliktē ar Noteikumu projekta 1.pielikuma 19. punktu, kas nosaka, ka apkopes tiek veiktas bez darbības pārtraukuma.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 20.punktu.
23. Iebilstam pret Noteikumu projekta 1.pielikuma 21.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 21.punkts nosaka pieejamības prasības neparedzētiem pārtraukumiem: Reakcijas laiks, lai identificētu un sākotnēji novērstu problēmu, nepārsniedz 15 minūtes.
Kļūdaini lietots termins “Reakcijas laiks”, ja ar to saprot arī problēmu novēršanu. Nozares standartos lieto dažādus terminus:
“Reakcijas laiks” – laiks, kurā servisa organizācijas atbild uz pieteikto bojājumu un uzsāk novēršanas procesu (nekādu problēmu novēršanu tas neparedz);
“Novēršanas laiks” - laiks, kurā servisa organizācija ir novērsusi pieteikto bojājumu un servisa pieteikums ir slēgts.
Nav lietderīgi MK noteikumos limitēt šādu reakcijas laiku, jo to nosaka pakalpojuma sniegšanas līgumā, izvērtējot palīdzības dienesta procedūras un piesaistītos resursus.
Priekšlikums:
Svītrot Noteikumu projekta 1.pielikuma 21.punktu.
24. Iebilstam pret Noteikumu projekta 1.pielikuma 23.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 23.punkts nosaka pieejamības prasības darbības atjaunošanai.
“23.1. Atjaunošanas laika mērķis (RTO - Maksimālais pieļaujamais laiks, kura laikā datu centra pakalpojuma darbība ir atjaunojama pēc pārtraukuma) nepārsniedz 1 stundu.
23.2. Atjaunošanas punkta mērķis (RPO - maksimālais pieļaujamais datu zuduma apjoms, kas izteikts laikā) nepārsniedz 15 minūtes;
23.3. Maksimālais pieļaujamais pārtraukuma laiks (MTO - maksimālais laiks, kuru uzņēmums vai sistēma var atļauties būt nepieejama pirms tam, kad pārtraukums sāk radīt nopietnas un neatgriezeniskas sekas uzņēmējdarbībai) nepārsniedz 2 stundas”.
Noteikumu projekta 1.pielikuma 23.punktā un tā apakšpunktos iekļautie darbības atjaunošanas parametri attiecas uz IKT sistēmām, nevis datu centru infrastruktūru.
Priekšlikums:
Pārcelt prasības, kas mērāmas RPO, RTO un MTO uz Noteikumu projekta 1.pielikuma VI sadaļu par pakalpojumu prasībām IKT sistēmām.
25. Iebilstam pret Noteikumu projekta 1.pielikuma 23.3.apakšpunktu.
Pamatojums:
Kļūdaini lietots termins “neatgriezeniskas sekas uzņēmējdarbībai”, jo datu centru klienti būs arī valsts un pašvaldību iestādes, kuras lielākoties neveic uzņēmējdarbību, bet nodrošina noteiktu pakalpojumu sniegšanu. Vai šīs prasības nav spēkā, ja klients ir valsts un pašvaldību iestādes?
Priekšlikums:
Precizēt 1.pielikuma 23.3.apakšpunktu
26. Iebilstam pret Noteikumu projekta 1.pielikuma 25.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 25.punkts nosaka IKT pakalpojumu prasības. “25. Nodrošina standarta informācijas un komunikācijas un tehnoloģiju pakalpojumu līgumus ar prasībām attiecībā uz pieejamību, reakcijas laiku, problēmu risināšanas laiku, uzraudzību un ziņošanu parametriem (SLA), kas nav zemāki kā šajā noteikumu pielikuma sadaļās V Pieejamības prasības un VI IKT pakalpojumu prasības noteiktie”.
Nepieciešamas detalizēts izklāsts par IKT sistēmām, lai vienīgā prasībā nav par līgumā noteikto SLA, bet būtu atrunāts arī tehniskais nodrošinājums. Ja ir nepieciešams nodrošināt 99.982% pieejamību IKT sistēmām, tad jāapraksta mehānismi, kas IKT sistēmai ir ieviesti, lai nodrošinātu, ka IKT sistēma darbosies ar vismaz 99.982% pieejamību.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 25.punktu
27. Iebilstam pret Noteikumu projekta 1.pielikuma 26.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 26.punkts nosaka IKT pakalpojumu prasības “26. Pārvaldības un uzraudzības rīki: Izmantot automatizētus rīkus sistēmu stāvokļa uzraudzībai reāllaikā, lai nodrošinātu nepārtrauktu sistēmu un pakalpojumu pieejamību”.
Noteikumu projekta 1.pielikuma 26.punktā ietvertā prasība dublē iepriekšējās prasības par uzraudzības rīkiem. Nepieciešams skaidrojums kam šī prasība ir jāizpilda: operatoram vai subjektam.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 26.punktu.
28. Iebilstam pret Noteikumu projekta 1.pielikuma 27.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 27.punkts nosaka IKT pakalpojumu prasības “27. Incidentu žurnāls: Uzturēts detalizēts incidentu žurnāls, kas satur visu drošības incidentu aprakstus, novēršanas pasākumus, izmeklēšanas rezultātus, pieņemtos lēmumus, un veikta tā pārskatīšana vismaz reizi nedēļā”.
Nav skaidrs Noteikumu projekta 1.pielikuma 27.punktā ietvertais prasības tvērums – kam jāuztur incidentu žurnāls: operatoram vai subjektam.
Priekšlikums:
Nepieciešams precizēt prasības tvērumu.
29. Iebilstam pret Noteikumu projekta 1.pielikuma 30.punktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.punkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem “30. Datu centrs var nepiesaistīt Kvalificētu auditoru atbilstības audita veikšanai, ja Datu centram ir aktuāls kāds no šādiem starptautiski atzītajiem sertifikātiem, un tas tiek regulāri atjaunots un pārbaudīts:
30.1.Uptime Institute Tier III vai Tier IV standarta atbilstības sertifikāts uzticamībai un pieejamībai”.
Noteikumu projekta 1.pielikuma 30.punktā nav skaidrs kāda veida sertifikācijas veida atbilstība tiek uzskatīta par atbilstošu:
- Projekta līmeņa jeb “Design” – tikai paša Būvprojekta sertifikācija;
- Vai izbūvētas datu centra infrastruktūras jeb “Build” sertifikācija.
Daudzi klienti veic šādu sākotnējā projekta sertifikāciju, bet pēc datu centra izbūves var arī neveikt tā tālāko sertifikāciju.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.punktu, ka tikai ‘Build’, ‘Facility’, ‘Construction’ tipa sertifikāti tiek pieņemti par atbilstošiem, jo tikai šie sertifikāti, kuru iegūšana pieprasa arī fizisku infrastruktūras pārbaudi datu centra teritorijā, var garantēt to, ka datu centrs ir būvēts, atbilstoši izvirzītajām prasībām.
30. Iebilstam pret Noteikumu projekta 1. pielikuma 30.punktu.
Pamatojums:
1.pielikuma 30.punktā ir norādīti standarti un sertifikācijas, kurām datu centram ir jāatbilst, tomēr ņemot vērā, ka starptautiski tiek lietotas arī citas ekvivalentas sertifikācijas vai to kombinācijas, šis saraksts nav pilnīgs, nenodrošinot vienādas iespējas visiem datu centru pakalpojumu piegādātājiem.
Priekšlikums:
Papildināt 1.pielikuma 30.punktu ar citām ekvivalentām pasaulē atzītām sertifikācijām / to kombinācijām. No LIKTA puses apkoposim un iesniegsim informāciju Noteikumu projekta turpmākajā saskaņošanas procesā. Vienlaicīgi aicinām arī ministriju apzināt citas starptautiski atzītas ekvivalentas sertifikācijas un to kombinācijas, attiecīgi papildinot minēto punktu.
31. Iebilstam pret Noteikumu projekta 1.pielikuma 30.2.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.2.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.2. TIA-942 Sertifikāts ar īpaši augstas rezervēšanas un drošības prasībām”.
Noteikumu projekta 1.pielikuma 30.2.apakšpunktā nekorekti tiek lietots termins “īpaši augstas … prasības”, jo standartam ir 4 reitinga klases (“Rating”, no 1 līdz 4).
Ja šī Noteikumu projekta ietvaros kā minimālās pieejamības prasība ir noteikta, balstoties uz Uptime Institute Tier III klasi, tad, visticamāk, arī standarta ANSI/TIA-942-B/C atbilstība ir pierādāma ar 3. līmeni “Rated-3” (bet ne augstāko – 4. līmeni (“Rated-4”), jo tas paredz visas infrastruktūras rezervēšanu 2N līmenī).
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.2.apakšpunktu.
32. Iebilstam pret Noteikumu projekta 1.pielikuma 30.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.3.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.3. EN 50600-1, EN 50600-2-1, EN 50600-2-2, EN 50600-2-3, EN 50600-2-5, EN 50600-3-1 - datu centru infrastruktūras un paaugstinātas drošības pārvaldības prasībām”.
Dokumentā nekorekti tiek lietots termins “datu centru infrastruktūras un paaugstinātas drošības pārvaldības prasībām”, jo standartā ir norādītas 4 pieejamības klases (“Availability Class”, no 1 līdz 4), un 4 drošības klases (“Protection Class”, no 1 līdz 4).
Rekomendējam Noteikumu projektā norādīt konkrēto standarta EN50600 atbilstības drošības klasi.
Nepieciešams papildināt Noteikumu projekta 1.pielikuma 30.3.apakšpunktu ar telekomunikāciju kabeļu infrastruktūras standartu EN 50600-2-4
Priekšlikums:
Precizēt un papildināt Noteikumu projekta 1.pielikuma 30.3.apakšpunktu.
33. Iebilstam pret Noteikumu projekta 1.pielikuma 30.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 1.pielikuma 30.4.apakšpunkts nosaka kā veicama starptautiski atzīto sertifikātu pielīdzināšana šo noteikumu datu centru drošības līmeņiem. “30.4. ISO/IEC TS 22237 (paaugstinātas drošības līmenis) atbilstības sertifikāts ar paaugstinātas drošības prasībām”.
Dokumentā nekorekti tiek lietots termins “paaugstinātām drošības prasībām”, jo šajā standartā ir noteiktas 4 pieejamības klases (“Availability Class”, no 1 līdz 4), un 4 drošības klases (“Protection Class”, no 1 līdz 4).
Rekomendējam dokumentā norādīt konkrēto standarta ISO 22237 atbilstības drošības klasi.
Priekšlikums:
Precizēt Noteikumu projekta 1.pielikuma 30.4.apakšpunktu.
24.01.2025. 17:53
Atlasīti 2 ieraksti.
Ierakstu skaits lapā25