Projekta ID/ Uzdevuma numurs
Tiesību akta/ diskusiju dokumenta nosaukums
Noteikumi par minimālajām kiberdrošības prasībām
Līdzdalības veids
Publiskā apspriešana
Sākotnēji identificētās problēmas apraksts
Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (turpmāk – NIS direktīva) bija liels solis kiberdrošības veicināšanā Eiropas līmenī. NIS direktīva noteica pirmos Eiropas Savienības mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. Tā noteica vitāli svarīgo nozaru uzņēmumiem veikt attiecīgus drošības pasākumus un par nopietniem kiberincidentiem ziņot attiecīgajai kiberincidentu novēršanas institūcijai. NIS2 direktīvas priekšlikumā tika novērsti vairāki NIS direktīvā konstatētie trūkumi, tostarp, Eiropas Savienībā pastāvošo uzņēmumu zemais kibernoturības līmenis, nekonsekventa kiberdrošība dažādās dalībvalstīs un nozarēs, zems kopējais situācijas izpratnes līmenis un kopīga krīžu reaģēšanas mehānisma trūkums.
Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdod pakārtotus noteikumus, kas precizē un papildina Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteika minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdod pakārtotus noteikumus, kas precizē un papildina Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteika minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Mērķa apraksts
Noteikumu projekta mērķis ir uzlabot kiberdrošību Latvijā, sekmējot būtisko pakalpojumu sniedzēju, svarīgo pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, kā arī ieviest NIS2 direktīvā noteiktos pasākumus kiberdrošības jomā.
Politikas jomas
Elektronisko sakaru politika; Valsts aizsardzības politika
Teritorija
-
Norises laiks
03.07.2024. - 17.07.2024.
Informācija
-
Fiziskās personas
JāSkaidrojums un ietekme
Noteikumu projekts ietekmēs fiziskas personas, kuras Nacionālās kiberdrošības likuma izpratnē ir subjekti – būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji vai IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji. Tāpat Noteikumu projekts ietekmēs fiziskās personas – subjekta vadītāju, subjekta kiberdrošības pārvaldnieku, subjekta nodarbinātos, kiberdrošības auditorus, ielaušanās testu veicējus un ārpakalpojuma sniedzējus.
Juridiskās personas
- mazie uzņēmumi
- vidējie uzņēmumi
- lielie uzņēmumi
Skaidrojums un ietekme
-
Nozare
Ieguves rūpniecība un karjeru izstrāde, Apstrādes rūpniecība, Elektroenerģija, gāzes apgāde, siltumapgāde un gaisa kondicionēšana, Ūdens apgāde; notekūdeņu, atkritumu apsaimniekošana un sanācija, Vairumtirdzniecība un mazumtirdzniecība; automobiļu un motociklu remonts, Transports un uzglabāšana, Informācijas un komunikācijas pakalpojumi, Finanšu un apdrošināšanas darbības, Profesionālie, zinātniskie un tehniskie pakalpojumi, Administratīvo un apkalpojošo dienestu darbība, Valsts pārvalde un aizsardzība; obligātā sociālā apdrošināšana, Izglītība, Veselība un sociālā aprūpe, Citi pakalpojumi
Nozaru ietekmes apraksts
Noteikumu projekts attieksies uz subjektiem nozarēs, kuras ir noteiktas Nacionālās kiberdrošības likuma 20. un 21. pantā.
Sagatavoja
Mihails Potapovs (AM)
Atbildīgā persona
Svetlana Araslanova (AM)
Izsludināšanas datums
03.07.2024. 10:31
Iesniegtie iebildumi / priekšlikumi
Iebilduma / priekšlikuma iesniedzējs
Iebilduma / priekšlikuma būtība
Iesniegts
Ivars Šūba
Sveiki,
Pirmie iespaidi par p 4.1
Domāju to vajag sadalīt 2 daļās : datu aizsardzība kustībā - 'in transit' un datu aizsardzība krātuvēs – 'at rest' 59.3 OpenPGP minēšana lieka: . A un B konfidencialitātātes klases informācijas resursu pārsūtīšana (piemēra izmantojot E2EE risinājumu). Ko darīt ar C konfidencialitātes klases informāciju, kur daudz svarīgāka par datu konfidencialitāti ir satura kontrole pirms datu centriem, mākoņiem, hostiem lietojot : Load balanserus, DLP, IDS/IPS, malware detektēšanu, PCAP, HTTP DoS mīkstināšanu ar WAF u.c.
60. Nav skaidrs kāpēc ir minētās tieši šis tehnoloģijas, jo ir taču citas ne mazāk svarīgas un labas tehnoloģijas QUIC, DANE, DNSSEC, CT monitorēšana utt.
61. Tas par aizsardzību ‘at rest’, to varētu smalkāk izvērst , kam kādas pieejas atslēgām , kur tās glabājas, double encryption utt.
16.07.2024. 17:50
AS "Conexus Baltic Grid"
Akciju sabiedrība “Conexus Baltic Grid” (turpmāk – Sabiedrība) ir iepazinusies ar noteikumu projektu un ierosina veikt sekojošu labojumus/ precizējumus:
1. Noteikumu projekta 15. punkts šobrīd noteic, ka “subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku”, savukārt 16. punktā ir sniegts uzskaitījums kiberdrošības politikā iekļaujamai informācijai.
Sabiedrība vērš uzmanību, ka politika pēc būtības ir stratēģiska līmeņa jumta dokuments, kas nosaka galvenos pārvaldības vai darbības īstenošanas un konkrētu sistēmu veidošanas principus. Tādējādi tās pārskatīšana katru gadu būtu nelietderīga pēc būtības gan no administratīvā resursu izlietojuma viedokļa, gan arī tādēļ, ka, tik bieži pārskatot politiku nebūs iespējams izvērtēt izmaiņu ietekmi. Sabiedrība lūdz tā vietā noteikt, ka kiberdrošības politika pārskatāma ne retāk kā reizi trīs gados.
Turklāt, kā minēts iepriekš, politika noteic galvenos principus un tajā nebūtu iekļaujami pārskati par veiktajiem auditiem, tajos konstatētajām ievainojamībām vai informācija par Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotajiem lēmumiem un to izpildi (noteikumu projekta 16.7. un 16.8. punkts). Tā vietā Sabiedrība ierosina minētās atsauces iekļaut 15. punktā, nosakot, ka minētie atzinumi un lēmumi ņemami vērā, veicot kiberdrošības politikas pārskatīšanu.
Ievērojot minēto, Sabiedrība ierosina no noteikumu projekta izslēgt 16.7. un 16.8. apakšpunktus, vienlaikus izsakot 15. punktu šādā redakcijā:
“15. Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trīs gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku, ņemot vērā veiktos kiberrisku pārvaldības auditus, veiktos kiberdrošības auditus, pārbaudes un ielaušanās testus, tajos konstatētās neatbilstības, ievainojamības un kiberapdraudējumus un to novēršanas gaitu, kā arī Nacionālā kiberdrošības un Satversmes aizsardzības biroja izdotos lēmumus, pieprasījumus un uzliktos tiesiskos pienākumus attiecībā uz subjektu un to izpildi.”
2. Sabiedrības ieskatā noteikumi attiecībā uz apmācību organizēšanu par informācijas sistēmu lietošanas noteikumiem ir pārāk detalizēti un formalizēti, katrai iestādei un uzņēmumam tomēr būtu jābūt iespējai izvērtēt specifiskos riskus, darbības īpatnības un administratīvo slodzi. Sabiedrība ierosina precizēt noteikumu 35.3. punktu, nosakot, ka tas attiecas tikai uz A kategorijas informācijas sistēmām, un izslēgt 56. punktu.
3. Noteikumos uzskaitītās pazīmes, lai kiberincidentu uzskatītu par nozīmīgu, būtu precizējamas, jo šobrīd piedāvātā redakcija paredz, ka kiberincidents ir būtisks, ja rada jebkādus mantiskus zaudējumus, pat nenozīmīgus. Sabiedrības ieskatā var tikt interpretēts, ka gandrīz visiem kiberincidentiem ir mantiska ietekme, jo pat visnenozīmīgāko kiberincidentu izskatīšanai nepieciešams administratīvais resurss, savukārt ziņojumu sagatavošana atbilstoši noteikumu projektā minētajam par katru kiberincidentu, kas radījis nebūtisku mantisko kaitējumu, radītu nesamērīgu administratīvo slogu. Proti, šādu kiberincidenta radītā mantiskā ietekme atsevišķos gadījumos varētu būt pat mazāka kā ziņojumu sagatavošanai patērētie resursi. Sabiedrība ierosina pieturēties pie formulējuma, kas noteikts Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvā (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza regulu (ES) Nr. 910/2014 un direktīvu (ES) 2018/1972 un atceļ direktīvu (ES) 2016/1148 (NIS 2 direktīva). Sabiedrība ierosina precizēt 87.2 apakšpunktu, nosakot, ka kiberincidents ir uzskatāms par nozīmīgu, ja tas rada (vai var radīt) būtiskus mantiskus zaudējumus:
“87. Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:
[..]
87.2 kiberincidents rada vai var radīt kiberdrošības pārvaldnieka vērtējumā būtiskus mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām”.
1. Noteikumu projekta 15. punkts šobrīd noteic, ka “subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku”, savukārt 16. punktā ir sniegts uzskaitījums kiberdrošības politikā iekļaujamai informācijai.
Sabiedrība vērš uzmanību, ka politika pēc būtības ir stratēģiska līmeņa jumta dokuments, kas nosaka galvenos pārvaldības vai darbības īstenošanas un konkrētu sistēmu veidošanas principus. Tādējādi tās pārskatīšana katru gadu būtu nelietderīga pēc būtības gan no administratīvā resursu izlietojuma viedokļa, gan arī tādēļ, ka, tik bieži pārskatot politiku nebūs iespējams izvērtēt izmaiņu ietekmi. Sabiedrība lūdz tā vietā noteikt, ka kiberdrošības politika pārskatāma ne retāk kā reizi trīs gados.
Turklāt, kā minēts iepriekš, politika noteic galvenos principus un tajā nebūtu iekļaujami pārskati par veiktajiem auditiem, tajos konstatētajām ievainojamībām vai informācija par Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotajiem lēmumiem un to izpildi (noteikumu projekta 16.7. un 16.8. punkts). Tā vietā Sabiedrība ierosina minētās atsauces iekļaut 15. punktā, nosakot, ka minētie atzinumi un lēmumi ņemami vērā, veicot kiberdrošības politikas pārskatīšanu.
Ievērojot minēto, Sabiedrība ierosina no noteikumu projekta izslēgt 16.7. un 16.8. apakšpunktus, vienlaikus izsakot 15. punktu šādā redakcijā:
“15. Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi trīs gados pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku, ņemot vērā veiktos kiberrisku pārvaldības auditus, veiktos kiberdrošības auditus, pārbaudes un ielaušanās testus, tajos konstatētās neatbilstības, ievainojamības un kiberapdraudējumus un to novēršanas gaitu, kā arī Nacionālā kiberdrošības un Satversmes aizsardzības biroja izdotos lēmumus, pieprasījumus un uzliktos tiesiskos pienākumus attiecībā uz subjektu un to izpildi.”
2. Sabiedrības ieskatā noteikumi attiecībā uz apmācību organizēšanu par informācijas sistēmu lietošanas noteikumiem ir pārāk detalizēti un formalizēti, katrai iestādei un uzņēmumam tomēr būtu jābūt iespējai izvērtēt specifiskos riskus, darbības īpatnības un administratīvo slodzi. Sabiedrība ierosina precizēt noteikumu 35.3. punktu, nosakot, ka tas attiecas tikai uz A kategorijas informācijas sistēmām, un izslēgt 56. punktu.
3. Noteikumos uzskaitītās pazīmes, lai kiberincidentu uzskatītu par nozīmīgu, būtu precizējamas, jo šobrīd piedāvātā redakcija paredz, ka kiberincidents ir būtisks, ja rada jebkādus mantiskus zaudējumus, pat nenozīmīgus. Sabiedrības ieskatā var tikt interpretēts, ka gandrīz visiem kiberincidentiem ir mantiska ietekme, jo pat visnenozīmīgāko kiberincidentu izskatīšanai nepieciešams administratīvais resurss, savukārt ziņojumu sagatavošana atbilstoši noteikumu projektā minētajam par katru kiberincidentu, kas radījis nebūtisku mantisko kaitējumu, radītu nesamērīgu administratīvo slogu. Proti, šādu kiberincidenta radītā mantiskā ietekme atsevišķos gadījumos varētu būt pat mazāka kā ziņojumu sagatavošanai patērētie resursi. Sabiedrība ierosina pieturēties pie formulējuma, kas noteikts Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvā (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza regulu (ES) Nr. 910/2014 un direktīvu (ES) 2018/1972 un atceļ direktīvu (ES) 2016/1148 (NIS 2 direktīva). Sabiedrība ierosina precizēt 87.2 apakšpunktu, nosakot, ka kiberincidents ir uzskatāms par nozīmīgu, ja tas rada (vai var radīt) būtiskus mantiskus zaudējumus:
“87. Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:
[..]
87.2 kiberincidents rada vai var radīt kiberdrošības pārvaldnieka vērtējumā būtiskus mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām”.
17.07.2024. 09:26
AS "Augstsprieguma tīkls"
AS "Augstsprieguma tīkls" (turpmāk - AST) ir iepazinusies ar noteikumu projektu un ierosina veikt turpmāk minētos labojumus projektā.
1.Noteikumu 39.punktā minēta tiesību norma nav izpildāma AS "Augstsprieguma tīkls" informācijas sistēmās, kas nodrošina elektroenerģijas pārvades tīkla darbību, jo koordinētā pasaules laika (UTC) piemērošana kritiskām informācijas sistēmām radīs datu integritātes zudumu. Aicinām minētajā tiesību normā ietvert izņēmumus, kas pieļauj kritiskās infrastruktūras uzturētāju informācijas sistēmām lietot Latvijas zonas laiku (UTC+2) un (UTC+3), tai skaitā saglabājot auditācijas pierakstus.
2. Noteikumu 46.2.punktā ir definēts, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija pirms dienas, nedēļas, mēneša, gada vai diviem gadiem, atkarībā no informācijas sistēmas piederības pie noteiktas kategorijas. Aicinām precizēt no kura brīža tiks aprēķināti iepriekš minētie periodi: no tekošās dienas vai no kādas noteiktas dienas (piemēram, kalendārās nedēļas, kalendārā mēneša vai kalendārā gada pirmās dienas). Ja iepriekš minētie periodi tiks aprēķināti no tekošās dienas, tad AST būs jāveic lielas investīcijas datu glabāšanas infrastruktūras izveidē vai paplašināšanā, lai katru dienu nodrošinātu iespēju atjaunot tādu sistēmas stāvokli, kāds tas bija precīzi pirms viena gada vai pirms diviem gadiem.
3. Lūgums precizēt Noteikumu 72.2.punkta redakciju, norādot kā būtu jārīkojas ar programmatūras pirmkoda un tā izmantošanas tiesību nodošanu gadījumos, kad iepirkuma ietvaros tiek iegādāta informācijas sistēma, kura ir "produktveidīga", attiecīgi šādos gadījumos parasti īpašumtiesības tiek nodotas tikai par izstrādēm, kuras veiktas specifiski konkrētā projekta ietvaros un produkta īpašumtiesības patur tā izstrādātājs.
1.Noteikumu 39.punktā minēta tiesību norma nav izpildāma AS "Augstsprieguma tīkls" informācijas sistēmās, kas nodrošina elektroenerģijas pārvades tīkla darbību, jo koordinētā pasaules laika (UTC) piemērošana kritiskām informācijas sistēmām radīs datu integritātes zudumu. Aicinām minētajā tiesību normā ietvert izņēmumus, kas pieļauj kritiskās infrastruktūras uzturētāju informācijas sistēmām lietot Latvijas zonas laiku (UTC+2) un (UTC+3), tai skaitā saglabājot auditācijas pierakstus.
2. Noteikumu 46.2.punktā ir definēts, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija pirms dienas, nedēļas, mēneša, gada vai diviem gadiem, atkarībā no informācijas sistēmas piederības pie noteiktas kategorijas. Aicinām precizēt no kura brīža tiks aprēķināti iepriekš minētie periodi: no tekošās dienas vai no kādas noteiktas dienas (piemēram, kalendārās nedēļas, kalendārā mēneša vai kalendārā gada pirmās dienas). Ja iepriekš minētie periodi tiks aprēķināti no tekošās dienas, tad AST būs jāveic lielas investīcijas datu glabāšanas infrastruktūras izveidē vai paplašināšanā, lai katru dienu nodrošinātu iespēju atjaunot tādu sistēmas stāvokli, kāds tas bija precīzi pirms viena gada vai pirms diviem gadiem.
3. Lūgums precizēt Noteikumu 72.2.punkta redakciju, norādot kā būtu jārīkojas ar programmatūras pirmkoda un tā izmantošanas tiesību nodošanu gadījumos, kad iepirkuma ietvaros tiek iegādāta informācijas sistēma, kura ir "produktveidīga", attiecīgi šādos gadījumos parasti īpašumtiesības tiek nodotas tikai par izstrādēm, kuras veiktas specifiski konkrētā projekta ietvaros un produkta īpašumtiesības patur tā izstrādātājs.
17.07.2024. 16:06
Latvijas Darba devēju konfederācija
LDDK ir izskatījusi MK noteikumu projektu “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) (turpmāk – Noteikumu projekts) un izsaka sekojošus iebildumus, priekšlikumus un komentārus.
1. LDDK iebilst pret Noteikumu projekta 2.6.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.6.apakšpunktā ir iekļauta terminoloģija ko nozīmē “drošības pasākumi”: “2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim”.
LDDK ieskatā vārds "pieņemams" ir precīzāks, jo tas atspoguļo faktu, ka ne vienmēr ir iespējams pilnībā novērst visus riskus. (“Acceptable level”, jo angļu valodā netiek lietots termins “Allowable level” attiecībā uz risku vadību)
Priekšlikums:
Izteikt 2.6.apakšpunktu šādā redakcijā:
“2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim”.
2. LDDK iebilst pret Noteikumu projekta 2.15.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.15.apakšpunktā ir iekļauta terminoloģija ko nozīmē “piekļuves pārvaldība”: “2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autorizētām un autentificētām personām”.
Norādām, ka sākotnēji personas autentificējam pēc tam personas autorizējam.
Priekšlikums:
Izteikt 2.15.apakšunktu šādā redakcijā:
“2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autentificētām un autorizētām personām”.
3. Iebilstam pret Noteikumu projekta 8.punktu un Pielikumu Nr.3.
Pamatojums:
Noteikumu projekta 8.punks nosaka kuras fiziskās personas var būt par kiberdrošības pārvaldnieku.
“8.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā, vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.4.kura nav sodīta par tīšu noziedzīgu nodarījumu;
8.5.kura nav notiesāta par tīšu noziedzīgu nodarījumu, atbrīvojot no soda;
8.6.kura nav saukta pie kriminālatbildības par tīša noziedzīga nodarījuma izdarīšanu, izņemot gadījumu, ja persona ir saukta pie kriminālatbildības, bet kriminālprocess pret to izbeigts uz reabilitējoša pamata”.
Mūsu ieskatā 8.3.apakšpunkts būtu papildināms. Ja kiberdrošības pārzinis ir ieguvis augstāko vai vidējo profesionālo izglītību kiberdrošības pārvaldības vai citā saistītā jomā pirms 10-20 gadiem ir risks, ka zināšanas nav pietiekamas, lai aizsargātu uzņēmumu no kiberuzbrukuma riskiem.
Nepieciešams papildināt arī Pielikumu Nr.3 ar sadaļu, kur nepieciešams norādīt sertifikāciju (līdzīgi kā Pielikumā Nr.13).
8.6.apakšpunkts ietver sevī arī 8.4. un 8.5.apakšpunktus. Savukārt saukšana pie kriminālatbildības vēl nenozīmē, ka persona ir vainīga. Tiesas procesi mūsu valstī ir ilgi, turklāt prokurors lietu var izbeigt daudzos gadījumos - nelietderības, maznozīmīguma un tml. iemeslu dēļ.
Priekšlikums:
Papildināt 8.3.apakšpunktu sekojoši:
“8.3.1. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā,
un/vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.3.2. Kurai ir saņemts spēkā esošs starptautiski atzīts sertifikāts (piemēram, CISSP, CCSP, CISM, CISA, ISO/IEC 27001, CompTIA Security+, CASP+, Certified Ethical Hacker (CEH), Microsoft Certified: Cybersecurity Architect Expert), kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā”.
2) Papildināt Pielikumu Nr.3.
Svītrot 8.6.apakšpunktu.
4. LDDK iebilst pret Noteikumu projekta 3.2.sadaļu “Kiberdrošības pārvaldības dokumentācija”.
Pamatojums:
Noteikumu projekta 10.2.apakšpunkts nosaka, ka subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido IKT resursu un informācijas sistēmu katalogs.
Mūsu ieskatā Noteikumu projekta 3.2.sadaļā tiek izvirzītas prasības IS sistēmu uzskaitīšanai, taču nav detalizācijas attiecībā uz IKT resursu uzskaiti, kā piemēram serveri, maršrutētāji, darbstacijas, printeri utt. Nav skaidrs vai šajā katalogā ir jāiekļauj ārpakalpojumā saņemtie IT pakalpojumi (SaaS, BaaS, IaS, u.c.)
Priekšlikums:
Papildināt 3.2. sadaļu ar prasībām IKT resursu uzskaitei, tajā skaitā attiecībā arī uz ārpakalpojumā saņemtajiem servisiem, tādā apjomā kādā norādīts Noteikumu projekta anotācijā.
5. LDDK iebilst pret Noteikumu projekta 24.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 24.punkts nosaka kas ir jāiekļauj kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā.
24.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Nepieciešams skaidrojums vai atšifrējums par saīsinājumiem RPO, RTO, MTD.
Priekšlikums:
Papildināt Noteikumu projekta 24.4.apakšpunktu.
6. LDDK iebilst pret Noteikumu projekta 32.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 32.punkts nosaka lietotāju un piekļuves tiesību pārvaldību.
“32.3.piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā”.
Norādām, ka IT sistēmām un tīkla iekārtām mēdz būt ražotāja definētas privilēģijas, kuras nevar mainīt, piemēram: "administrators", "lietotājs". Papildināt 32.3.apakšpuntu ar vārdiem "ja tas tehniski ir iespējams".
Priekšlikums:
Izteikt 32.3.apakšpunktu sekojoši:
“32.3.piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja tas tehniski ir iespējams”.
7. LDDK iebilst pret Noteikumu projekta 33.6. apakšpunktu.
Pamatojums:
Noteikumu projekta 33.6. apakšpunkts nosaka, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Norādām, ka atkarībā no organizācijas izmēra un darbu organizācijas, kiberdrošības pārvaldniekam var nebūt piekļuves vai zināšanu dažādu sistēmu kontu slēgšanā vai atvēršanā specifiskās sistēmās. Turklāt kiberdrošības pārvaldnieks var būt ārpakalpojuma sniedzējs un ar ierobežotām tiesībām piekļuvei pie IT sistēmām.
Priekšlikums:
Izteikt 33.6. apakšpunktu šādā redakcijā:
“33.6. Kiberdrošības pārvaldniekam pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.
8. Iebilstam pret Noteikumu projekta 36.punktu.
Pamatojums:
Noteikumu projekta 36.punkts nosaka:
“36.Subjekta kiberdrošības pārvaldniekam ir tiesības:
36.1.nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
36.2.pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām”.
LDDK ieskatā varētu pastāvēt problēma subjekta kiberdrošības pārvaldniekam realizēt noteiktās tiesības attiecībā uz saņemtajiem ārpakalpojumiem, piemēram realizēt piekļuvi centralizētiem valsts IS pakalpojumiem.
Priekšlikums:
Precizēt kiberdrošības pārvaldnieka tiesības attiecībā uz trešo pušu uzturēto sistēmu veikto auditācijas pierakstu analīzi.
9. Iebilstam pret Noteikumu projekta 37.punktu.
Pamatojums:
Noteikumu projekta 37.punkts nosaka, ka subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu un uzglabāšanu vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas.
LDDK ieskatā prasība uzglabāt auditācijas pierakstus visām tīkla un informācijas sistēmām 18 mēnešus ir nesamērīga.
Nepieciešams precizēt tīkla definīciju un uz ko attiecas prasība. Piedāvātā redakcija paredz, kā auditācijas ieraksti jāvāc no visām tīkla iekārtām, tai skaitā gala iekārtām. Norādām, ka visām tīkla iekārtām veidojas auditācijas ieraksti, piemēram, par izmaiņām konfigurācijā.
Priekšlikums:
Saglabāt esošā regulējuma (MK 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10. punkts un 24.6. punkts) gradāciju auditācijas pierakstu glabāšanai pēc tīkla un informācijas sistēmu svarīguma.
Mūsu ieskatā 37.punkts jāsadala divās daļās: tīkls un informācijas sistēmas. Bez tam prasības tīkla auditācijas ierakstu uzglabāšanai jāierobežo vai jāprecizē.
10. Iebilstam pret Noteikumu projekta 38.punktu.
Pamatojums:
Noteikumu projekta 38.punkts nosaka:
“38.Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
38.1.informācijas sistēmas ieslēgšanu un izslēgšanu;
38.2.kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
38.3.kontu piekļuvi informācijas resursiem;
38.4.datu pievienošanu, izmaiņām un dzēšanu;
38.5.tehnisko resursu konfigurāciju izmaiņām;
38.6.kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību”.
LDDK ieskatā 38.punkts paver iespējas interpretācijai, kādi auditācijas pieraksti būtu jāuzskaita. Papildināt 38.pantu ar sekojošiem vārdiem “..vismaz šādā apmērā..”
Priekšlikums:
Izteikt 38.punktu sekojoši:
“38. Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, vismaz šādā apmērā kas saistīti ar:..”
11. Iebilstam pret Noteikumu projekta sadaļu 3.9.”Rezerves kopiju pārvaldība”
Pamatojums:
Noteikumu projekta 46.2.apakšpunktā tiek definēts rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks, taču tās vairāk ir sistēmu biznesa datu glabāšanas prasības un neattiecas uz šo noteikumu pamatprasībām un periodiskumi ir nesamērīgi.
Priekšlikums:
Samazināt rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku noteikt ne ilgāk kā 1 gads.
12. Iebilstam pret Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunkti nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.4.1.telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%,
62.4.2.temperatūru no 18 līdz 27 Celsija grādiem,
62.4.3.trokšņa līmeni līdz 70 Db”.
LDDK ieskatā nav lietderīgi noteikt minimālo temperatūru, jo praksē tā ir zemāka par Noteikumu projekta 62.4.2. apakšpunktā noteikto.
Norādām, ka ir "environmentally hardened" iekārtas, kurām temperatūras un mitruma režīmi ir daudz plašāki, nekā uzrādītie un domātas uzstādīšanai citos apstākļos.
Attiecībā uz 62.4.3.apakšpunktu, kas nosaka trokšņa līmeni: vai nu nepieciešama mērījumu veikšanas metodika, vai apakšpunkts būtu svītrojams, jo datu centros personāls parasti neatrodas.
Ministru kabineta noteikumu Nr.66 ”Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā noteiktā robežvērtība ir 87dB(A).
Nepieciešams skaidrojums kādēļ Noteikumu projekta 62.4.3.apakšpunktā trokšņa līmenis tiek noteikts 70 Db
Priekšlikums:
Svītrot 62.4.apakšpunktu, jo mitruma un temperatūras prasības definē iekārtu ražotāji, bet trokšņu norma ir iekļauta Ministru kabineta noteikumu Nr.66 “Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā.
13. Iebilstam pret Noteikumu projekta 62.9.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.punkts nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.9.kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu”.
LDDK ieskatā nav iespējams kabeļus aizsargāt pret tīšu bojāšanu. Norādām, ka arī visu datu centra infrastruktūru nav iespējams aizsargāt pret tīšu bojāšanu.
Priekšlikums:
Izteikt 62.9.apakšpunktu šādi:
“62.9. kabelējums ir aizsargāts pret nejaušu bojāšanu”.
14. Iebilstam pret Noteikumu projekta 74.2.5.apakšpunktu.
Pamatojums:
Noteikumu projekta 74.2.5.apakšpunkts nosaka:
“74.2.5. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības”.
Ārpakalpojuma sniedzējs var nebūt "subjekts" Nacionālās kiberdrošības likuma (turpmāk - NKDL) izpratnē, savukārt iesniegt ziņojumu par kiberincidentu vairāku subjektu vārdā var nebūt pilnvarots. Tāpat ir iespējams, ka pats ārpakalpojuma sniedzējs ir "subjekts" citā ES dalībvalstī, piemēram Microsoft.
Priekšlikums:
Izveidot incidenta ziņošanas formu vai vadlīnijas ārpakalpojuma sniedzējam.
15. Iebilstam pret Noteikumu projekta 75.punktu.
Pamatojums:
Noteikumu projekta 75.punkts nosaka, ka ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi uzrauga būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieks.
LDDK ieskatā būtisko pakalpojumu sniedzēja kiberdrošības pārvaldniekam tiek noteikta pārāk plaša atbildība. Informācijas sistēmas uzturēšanu izpildi parasti uzrauga daļu vadītāji, nodaļu vadītāji, vai struktūrvienība, kura veic ārpakalpojuma iepirkumu. Kiberdrošības pārvaldniekiem lielākoties nav tiesību lemt par ārpakalpojuma kvalitāti, SLA (Service Level Agreement) līgumos pieņemšanas – nodošanas akta parakstītāji ir citi.
Priekšlikums:
Dzēst noteikumu 75.punktu vai
noteikt, ka pirms ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu slēgšanas tas tiek saskaņots ar būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieku.
16. Iebilstam pret Noteikumu projekta 76.punktu.
Pamatojums:
76.punkts nosaka, ka līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
“76.2.fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.3.citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja”.
Nav saprotama 76.punkta būtība - kādēļ šajā punktā kopā saliktas A kategorijas informācijas sistēmas un jebkādi maršrutētāji, komutatori, neko sīkāk nepaskaidrojot par kādiem maršrutētājiem un komutatoriem ir runa. Mūsu ieskatā, burtiski lasot šo punktu regulējums paredz, ka, ja uzņēmumam ir A kategorijas IT sistēma, tad tas nedrīkst saviem privātajiem klientiem uzstādīt ārpus ES vai NATO ražotus WiFI maršrutētājus, tādus kā TP Link.
Norādām, ka attiecībā uz fizisku personu nav iekļautas prasības personas kvalifikācijai vai pieredzei.
Priekšlikums:
1)Precizēt 76.punktu, norādot par kādiem maršrutētājiem un komutatoriem ir runa.
2)Papildināt 76.punktu ar apakšpunktu ka personai, kura veic ielaušanās testus ir nepieciešamas zināšanas, kuras var apstiprināt ar sertifikātu (CEH, OSCP, u.c.) un/vai pieredzi jomā ne mazāk kā 2 gadi.
17. Iebilstam pret Noteikumu projekta 76.punktu un 80.punktu.
Pamatojums:
Noteikumu projekta 76.punkts nosaka:
“76.Līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
76.1.juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
76.1.1.tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
76.1.2.tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
76.1.3.tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.1.4. tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām”;
Savukārt Noteikumu projekta 80.punkts nosaka:
“80.Ārpakalpojuma līgumu izbeidz:
80.1.ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām;
80.2.ja kompetentā valsts drošības iestāde nav saskaņojusi līguma turpināšanu”.
Ar šī Noteikumu projekta pieņemšanu spēku zaudēs Ministru kabineta 2023. gada 28. februāra noteikumi Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (turpmāk – Noteikumi).
Noteikumu 29. punkts nosaka šādu atrunu, kura nav minēta Noteikumu projektā: "Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 10. punktā minēto prasību neizmantot tādu iekārtu un programmatūru, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tās izmantošana var radīt draudus nacionālajai drošībai, piemēro no 2030. gada 1. janvāra."
Priekšlikums:
Papildināt Noteikumu projektu, nosakot pārejas periodu līdz 2030. gada 1. janvārim attiecībā uz Noteikumu projekta 76.punktu un 80.punktu.
18. Iebilstam pret Noteikumu projekta 100.punktu.
Pamatojums:
Noteikumu projekta 100.punkts nosaka kā ir veicami ielaušanās testi.
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš nebija iesaistīts informācijas sistēmas izstrādē, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus”.
A kategorijas sistēmu ielaušanās testi ir veicami vismaz reizi divos gados informācijas sistēmas ekspluatācijas laikā, līdz ar to nepieciešams noteikt ierobežojumu testus veikt ne tikai ieviesējam, bet arī uzturētājam, jo uzturētājam ar nepareizu konfigurāciju ir iespējams padarīt sistēmu nedrošu.
Ņemot vērā to, ka mēdz mainīties gan izstrādātāji, gan uzturētāji, rosinām noteikt ierobežojumu aizliegumam piedalīties drošības testu veikšanā. Piemēram, “E-veselība” bija teju 15 gadu ilgs projekts, kura izveidošanā ir piedalījušies daudzi Latvijas IT speciālisti.
Priekšlikums:
Izteikt 100.punktu šādā redakcijā:
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš iepriekšējo trīs gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus un kura nav bijusi iesaistīta informācijas sistēmas izstrādē vai uzturēšanā iepriekšējo trīs gadu laikā”.
19. Iebilstam pret Noteikumu projekta 118. un 119.punktu.
Pamatojums:
Noteikumu projekta 118. un 119. punkti nosaka prasības piekļuves slēgšanai elektronisko sakaru tīklam:
“118.Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju.
119.Elektronisko sakaru komersants atslēdz lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā pēc piekļuves slēgšanas pieprasījuma saņemšanas”.
Mūsu ieskatā 118.punkts ir ļoti vispārīgs un nepieciešama detalizācija.
Pieprasījums jānosūta uz elektronisko sakaru komersanta norādītu elektroniskā pasta adresi.
Pieprasījumam jābūt standarta formas, kas jāizveido kā pielikums. (Nedrīkst būt brīvā formā rakstīta vēstule).
Pieprasījumā jānorāda dati par atslēdzamo lietotāju - lietotāja identifikācijas dati (vārds, uzvārds, personas kods, uzņēmuma nosaukums utt.), pakalpojuma ierīkošanas adrese, pakalpojuma tehniskie dati (IP adreses utt.), pakalpojuma atslēgšanas ilgums, kiberapdraudējuma veids.
Noteikumu projektā nepieciešams papildus punkts: “Elektronisko sakaru komersants informē lietotāju par pakalpojuma atslēgšanu, norādot, ka pakalpojums atslēgts pēc Nacionālais kiberdrošības centra pieprasījuma uz norādīto laiku”.
Jābūt norādītam laikam uz kādu Nacionālais kiberdrošības centrs ir tiesīgs pieprasīt atslēgt lietotāju. Pretējā gadījumā pieprasījumā var tikt noteikts nesamērīgi garš atslēgšanas laiks.
LDDK ieskata Noteikumu projekta 119.punkts varētu būt neizpildāms stundas laikā, ja pieprasījumu nosūta uz elektroniskā pasta adresi vai e-adresi. Nepieciešams arī precīzāk definēt ko nozīmē: “piekļuve elektronisko sakaru tīklam”, jo lietotājam var būt piekļuve vairākiem tīkliem vienlaicīgi. Nepieciešams papildināt regulējumu attiecībā uz gadījumiem, ja lietotājs ir juridiska persona ar daudziem pieslēgumiem tīkliem (piemēram, vai jāatslēdz visi pieslēgumi). Bez tam nepieciešams ņemt vērā Paziņošanas likuma 9.pantā noteikto.
Priekšlikums:
119.punktā noteikt, ka elektronisko sakaru komersants atslēdz lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā nākošajā dienā pēc piekļuves slēgšanas pieprasījuma saņemšanas”.
Precīzāk definēt to, kādai informācijai jābūt ietvertai piekļuves slēgšanas pieprasījumā, piemēram, pakalpojuma adrese, identifikators, IP adresei vai diapazons, kam jāatslēdz piekļuve (skat. pamatojumā norādīto).
1. LDDK iebilst pret Noteikumu projekta 2.6.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.6.apakšpunktā ir iekļauta terminoloģija ko nozīmē “drošības pasākumi”: “2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim”.
LDDK ieskatā vārds "pieņemams" ir precīzāks, jo tas atspoguļo faktu, ka ne vienmēr ir iespējams pilnībā novērst visus riskus. (“Acceptable level”, jo angļu valodā netiek lietots termins “Allowable level” attiecībā uz risku vadību)
Priekšlikums:
Izteikt 2.6.apakšpunktu šādā redakcijā:
“2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim”.
2. LDDK iebilst pret Noteikumu projekta 2.15.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.15.apakšpunktā ir iekļauta terminoloģija ko nozīmē “piekļuves pārvaldība”: “2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autorizētām un autentificētām personām”.
Norādām, ka sākotnēji personas autentificējam pēc tam personas autorizējam.
Priekšlikums:
Izteikt 2.15.apakšunktu šādā redakcijā:
“2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autentificētām un autorizētām personām”.
3. Iebilstam pret Noteikumu projekta 8.punktu un Pielikumu Nr.3.
Pamatojums:
Noteikumu projekta 8.punks nosaka kuras fiziskās personas var būt par kiberdrošības pārvaldnieku.
“8.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā, vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.4.kura nav sodīta par tīšu noziedzīgu nodarījumu;
8.5.kura nav notiesāta par tīšu noziedzīgu nodarījumu, atbrīvojot no soda;
8.6.kura nav saukta pie kriminālatbildības par tīša noziedzīga nodarījuma izdarīšanu, izņemot gadījumu, ja persona ir saukta pie kriminālatbildības, bet kriminālprocess pret to izbeigts uz reabilitējoša pamata”.
Mūsu ieskatā 8.3.apakšpunkts būtu papildināms. Ja kiberdrošības pārzinis ir ieguvis augstāko vai vidējo profesionālo izglītību kiberdrošības pārvaldības vai citā saistītā jomā pirms 10-20 gadiem ir risks, ka zināšanas nav pietiekamas, lai aizsargātu uzņēmumu no kiberuzbrukuma riskiem.
Nepieciešams papildināt arī Pielikumu Nr.3 ar sadaļu, kur nepieciešams norādīt sertifikāciju (līdzīgi kā Pielikumā Nr.13).
8.6.apakšpunkts ietver sevī arī 8.4. un 8.5.apakšpunktus. Savukārt saukšana pie kriminālatbildības vēl nenozīmē, ka persona ir vainīga. Tiesas procesi mūsu valstī ir ilgi, turklāt prokurors lietu var izbeigt daudzos gadījumos - nelietderības, maznozīmīguma un tml. iemeslu dēļ.
Priekšlikums:
Papildināt 8.3.apakšpunktu sekojoši:
“8.3.1. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā,
un/vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
8.3.2. Kurai ir saņemts spēkā esošs starptautiski atzīts sertifikāts (piemēram, CISSP, CCSP, CISM, CISA, ISO/IEC 27001, CompTIA Security+, CASP+, Certified Ethical Hacker (CEH), Microsoft Certified: Cybersecurity Architect Expert), kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā”.
2) Papildināt Pielikumu Nr.3.
Svītrot 8.6.apakšpunktu.
4. LDDK iebilst pret Noteikumu projekta 3.2.sadaļu “Kiberdrošības pārvaldības dokumentācija”.
Pamatojums:
Noteikumu projekta 10.2.apakšpunkts nosaka, ka subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido IKT resursu un informācijas sistēmu katalogs.
Mūsu ieskatā Noteikumu projekta 3.2.sadaļā tiek izvirzītas prasības IS sistēmu uzskaitīšanai, taču nav detalizācijas attiecībā uz IKT resursu uzskaiti, kā piemēram serveri, maršrutētāji, darbstacijas, printeri utt. Nav skaidrs vai šajā katalogā ir jāiekļauj ārpakalpojumā saņemtie IT pakalpojumi (SaaS, BaaS, IaS, u.c.)
Priekšlikums:
Papildināt 3.2. sadaļu ar prasībām IKT resursu uzskaitei, tajā skaitā attiecībā arī uz ārpakalpojumā saņemtajiem servisiem, tādā apjomā kādā norādīts Noteikumu projekta anotācijā.
5. LDDK iebilst pret Noteikumu projekta 24.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 24.punkts nosaka kas ir jāiekļauj kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā.
24.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Nepieciešams skaidrojums vai atšifrējums par saīsinājumiem RPO, RTO, MTD.
Priekšlikums:
Papildināt Noteikumu projekta 24.4.apakšpunktu.
6. LDDK iebilst pret Noteikumu projekta 32.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 32.punkts nosaka lietotāju un piekļuves tiesību pārvaldību.
“32.3.piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā”.
Norādām, ka IT sistēmām un tīkla iekārtām mēdz būt ražotāja definētas privilēģijas, kuras nevar mainīt, piemēram: "administrators", "lietotājs". Papildināt 32.3.apakšpuntu ar vārdiem "ja tas tehniski ir iespējams".
Priekšlikums:
Izteikt 32.3.apakšpunktu sekojoši:
“32.3.piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā, ja tas tehniski ir iespējams”.
7. LDDK iebilst pret Noteikumu projekta 33.6. apakšpunktu.
Pamatojums:
Noteikumu projekta 33.6. apakšpunkts nosaka, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Norādām, ka atkarībā no organizācijas izmēra un darbu organizācijas, kiberdrošības pārvaldniekam var nebūt piekļuves vai zināšanu dažādu sistēmu kontu slēgšanā vai atvēršanā specifiskās sistēmās. Turklāt kiberdrošības pārvaldnieks var būt ārpakalpojuma sniedzējs un ar ierobežotām tiesībām piekļuvei pie IT sistēmām.
Priekšlikums:
Izteikt 33.6. apakšpunktu šādā redakcijā:
“33.6. Kiberdrošības pārvaldniekam pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.
8. Iebilstam pret Noteikumu projekta 36.punktu.
Pamatojums:
Noteikumu projekta 36.punkts nosaka:
“36.Subjekta kiberdrošības pārvaldniekam ir tiesības:
36.1.nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
36.2.pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām”.
LDDK ieskatā varētu pastāvēt problēma subjekta kiberdrošības pārvaldniekam realizēt noteiktās tiesības attiecībā uz saņemtajiem ārpakalpojumiem, piemēram realizēt piekļuvi centralizētiem valsts IS pakalpojumiem.
Priekšlikums:
Precizēt kiberdrošības pārvaldnieka tiesības attiecībā uz trešo pušu uzturēto sistēmu veikto auditācijas pierakstu analīzi.
9. Iebilstam pret Noteikumu projekta 37.punktu.
Pamatojums:
Noteikumu projekta 37.punkts nosaka, ka subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu un uzglabāšanu vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas.
LDDK ieskatā prasība uzglabāt auditācijas pierakstus visām tīkla un informācijas sistēmām 18 mēnešus ir nesamērīga.
Nepieciešams precizēt tīkla definīciju un uz ko attiecas prasība. Piedāvātā redakcija paredz, kā auditācijas ieraksti jāvāc no visām tīkla iekārtām, tai skaitā gala iekārtām. Norādām, ka visām tīkla iekārtām veidojas auditācijas ieraksti, piemēram, par izmaiņām konfigurācijā.
Priekšlikums:
Saglabāt esošā regulējuma (MK 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10. punkts un 24.6. punkts) gradāciju auditācijas pierakstu glabāšanai pēc tīkla un informācijas sistēmu svarīguma.
Mūsu ieskatā 37.punkts jāsadala divās daļās: tīkls un informācijas sistēmas. Bez tam prasības tīkla auditācijas ierakstu uzglabāšanai jāierobežo vai jāprecizē.
10. Iebilstam pret Noteikumu projekta 38.punktu.
Pamatojums:
Noteikumu projekta 38.punkts nosaka:
“38.Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
38.1.informācijas sistēmas ieslēgšanu un izslēgšanu;
38.2.kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
38.3.kontu piekļuvi informācijas resursiem;
38.4.datu pievienošanu, izmaiņām un dzēšanu;
38.5.tehnisko resursu konfigurāciju izmaiņām;
38.6.kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību”.
LDDK ieskatā 38.punkts paver iespējas interpretācijai, kādi auditācijas pieraksti būtu jāuzskaita. Papildināt 38.pantu ar sekojošiem vārdiem “..vismaz šādā apmērā..”
Priekšlikums:
Izteikt 38.punktu sekojoši:
“38. Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, vismaz šādā apmērā kas saistīti ar:..”
11. Iebilstam pret Noteikumu projekta sadaļu 3.9.”Rezerves kopiju pārvaldība”
Pamatojums:
Noteikumu projekta 46.2.apakšpunktā tiek definēts rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks, taču tās vairāk ir sistēmu biznesa datu glabāšanas prasības un neattiecas uz šo noteikumu pamatprasībām un periodiskumi ir nesamērīgi.
Priekšlikums:
Samazināt rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku noteikt ne ilgāk kā 1 gads.
12. Iebilstam pret Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunkti nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.4.1.telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%,
62.4.2.temperatūru no 18 līdz 27 Celsija grādiem,
62.4.3.trokšņa līmeni līdz 70 Db”.
LDDK ieskatā nav lietderīgi noteikt minimālo temperatūru, jo praksē tā ir zemāka par Noteikumu projekta 62.4.2. apakšpunktā noteikto.
Norādām, ka ir "environmentally hardened" iekārtas, kurām temperatūras un mitruma režīmi ir daudz plašāki, nekā uzrādītie un domātas uzstādīšanai citos apstākļos.
Attiecībā uz 62.4.3.apakšpunktu, kas nosaka trokšņa līmeni: vai nu nepieciešama mērījumu veikšanas metodika, vai apakšpunkts būtu svītrojams, jo datu centros personāls parasti neatrodas.
Ministru kabineta noteikumu Nr.66 ”Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā noteiktā robežvērtība ir 87dB(A).
Nepieciešams skaidrojums kādēļ Noteikumu projekta 62.4.3.apakšpunktā trokšņa līmenis tiek noteikts 70 Db
Priekšlikums:
Svītrot 62.4.apakšpunktu, jo mitruma un temperatūras prasības definē iekārtu ražotāji, bet trokšņu norma ir iekļauta Ministru kabineta noteikumu Nr.66 “Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā.
13. Iebilstam pret Noteikumu projekta 62.9.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.punkts nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.9.kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu”.
LDDK ieskatā nav iespējams kabeļus aizsargāt pret tīšu bojāšanu. Norādām, ka arī visu datu centra infrastruktūru nav iespējams aizsargāt pret tīšu bojāšanu.
Priekšlikums:
Izteikt 62.9.apakšpunktu šādi:
“62.9. kabelējums ir aizsargāts pret nejaušu bojāšanu”.
14. Iebilstam pret Noteikumu projekta 74.2.5.apakšpunktu.
Pamatojums:
Noteikumu projekta 74.2.5.apakšpunkts nosaka:
“74.2.5. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības”.
Ārpakalpojuma sniedzējs var nebūt "subjekts" Nacionālās kiberdrošības likuma (turpmāk - NKDL) izpratnē, savukārt iesniegt ziņojumu par kiberincidentu vairāku subjektu vārdā var nebūt pilnvarots. Tāpat ir iespējams, ka pats ārpakalpojuma sniedzējs ir "subjekts" citā ES dalībvalstī, piemēram Microsoft.
Priekšlikums:
Izveidot incidenta ziņošanas formu vai vadlīnijas ārpakalpojuma sniedzējam.
15. Iebilstam pret Noteikumu projekta 75.punktu.
Pamatojums:
Noteikumu projekta 75.punkts nosaka, ka ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi uzrauga būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieks.
LDDK ieskatā būtisko pakalpojumu sniedzēja kiberdrošības pārvaldniekam tiek noteikta pārāk plaša atbildība. Informācijas sistēmas uzturēšanu izpildi parasti uzrauga daļu vadītāji, nodaļu vadītāji, vai struktūrvienība, kura veic ārpakalpojuma iepirkumu. Kiberdrošības pārvaldniekiem lielākoties nav tiesību lemt par ārpakalpojuma kvalitāti, SLA (Service Level Agreement) līgumos pieņemšanas – nodošanas akta parakstītāji ir citi.
Priekšlikums:
Dzēst noteikumu 75.punktu vai
noteikt, ka pirms ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu slēgšanas tas tiek saskaņots ar būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieku.
16. Iebilstam pret Noteikumu projekta 76.punktu.
Pamatojums:
76.punkts nosaka, ka līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
“76.2.fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.3.citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja”.
Nav saprotama 76.punkta būtība - kādēļ šajā punktā kopā saliktas A kategorijas informācijas sistēmas un jebkādi maršrutētāji, komutatori, neko sīkāk nepaskaidrojot par kādiem maršrutētājiem un komutatoriem ir runa. Mūsu ieskatā, burtiski lasot šo punktu regulējums paredz, ka, ja uzņēmumam ir A kategorijas IT sistēma, tad tas nedrīkst saviem privātajiem klientiem uzstādīt ārpus ES vai NATO ražotus WiFI maršrutētājus, tādus kā TP Link.
Norādām, ka attiecībā uz fizisku personu nav iekļautas prasības personas kvalifikācijai vai pieredzei.
Priekšlikums:
1)Precizēt 76.punktu, norādot par kādiem maršrutētājiem un komutatoriem ir runa.
2)Papildināt 76.punktu ar apakšpunktu ka personai, kura veic ielaušanās testus ir nepieciešamas zināšanas, kuras var apstiprināt ar sertifikātu (CEH, OSCP, u.c.) un/vai pieredzi jomā ne mazāk kā 2 gadi.
17. Iebilstam pret Noteikumu projekta 76.punktu un 80.punktu.
Pamatojums:
Noteikumu projekta 76.punkts nosaka:
“76.Līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
76.1.juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
76.1.1.tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
76.1.2.tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
76.1.3.tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
76.1.4. tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām”;
Savukārt Noteikumu projekta 80.punkts nosaka:
“80.Ārpakalpojuma līgumu izbeidz:
80.1.ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām;
80.2.ja kompetentā valsts drošības iestāde nav saskaņojusi līguma turpināšanu”.
Ar šī Noteikumu projekta pieņemšanu spēku zaudēs Ministru kabineta 2023. gada 28. februāra noteikumi Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (turpmāk – Noteikumi).
Noteikumu 29. punkts nosaka šādu atrunu, kura nav minēta Noteikumu projektā: "Publiskajiem elektronisko sakaru tīkliem, kuri līdz šo noteikumu spēkā stāšanās dienai ir nodoti ekspluatācijā vai šo noteikumu spēkā stāšanās dienā atrodas projektēšanas, būvniecības, ierīkošanas vai pārbūves stadijā, šo noteikumu 10. punktā minēto prasību neizmantot tādu iekārtu un programmatūru, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tās izmantošana var radīt draudus nacionālajai drošībai, piemēro no 2030. gada 1. janvāra."
Priekšlikums:
Papildināt Noteikumu projektu, nosakot pārejas periodu līdz 2030. gada 1. janvārim attiecībā uz Noteikumu projekta 76.punktu un 80.punktu.
18. Iebilstam pret Noteikumu projekta 100.punktu.
Pamatojums:
Noteikumu projekta 100.punkts nosaka kā ir veicami ielaušanās testi.
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš nebija iesaistīts informācijas sistēmas izstrādē, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus”.
A kategorijas sistēmu ielaušanās testi ir veicami vismaz reizi divos gados informācijas sistēmas ekspluatācijas laikā, līdz ar to nepieciešams noteikt ierobežojumu testus veikt ne tikai ieviesējam, bet arī uzturētājam, jo uzturētājam ar nepareizu konfigurāciju ir iespējams padarīt sistēmu nedrošu.
Ņemot vērā to, ka mēdz mainīties gan izstrādātāji, gan uzturētāji, rosinām noteikt ierobežojumu aizliegumam piedalīties drošības testu veikšanā. Piemēram, “E-veselība” bija teju 15 gadu ilgs projekts, kura izveidošanā ir piedalījušies daudzi Latvijas IT speciālisti.
Priekšlikums:
Izteikt 100.punktu šādā redakcijā:
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš iepriekšējo trīs gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus un kura nav bijusi iesaistīta informācijas sistēmas izstrādē vai uzturēšanā iepriekšējo trīs gadu laikā”.
19. Iebilstam pret Noteikumu projekta 118. un 119.punktu.
Pamatojums:
Noteikumu projekta 118. un 119. punkti nosaka prasības piekļuves slēgšanai elektronisko sakaru tīklam:
“118.Nacionālās kiberdrošības likuma 34. panta desmitajā daļā minēto pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam (turpmāk – piekļuves slēgšanas pieprasījums) Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju.
119.Elektronisko sakaru komersants atslēdz lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā pēc piekļuves slēgšanas pieprasījuma saņemšanas”.
Mūsu ieskatā 118.punkts ir ļoti vispārīgs un nepieciešama detalizācija.
Pieprasījums jānosūta uz elektronisko sakaru komersanta norādītu elektroniskā pasta adresi.
Pieprasījumam jābūt standarta formas, kas jāizveido kā pielikums. (Nedrīkst būt brīvā formā rakstīta vēstule).
Pieprasījumā jānorāda dati par atslēdzamo lietotāju - lietotāja identifikācijas dati (vārds, uzvārds, personas kods, uzņēmuma nosaukums utt.), pakalpojuma ierīkošanas adrese, pakalpojuma tehniskie dati (IP adreses utt.), pakalpojuma atslēgšanas ilgums, kiberapdraudējuma veids.
Noteikumu projektā nepieciešams papildus punkts: “Elektronisko sakaru komersants informē lietotāju par pakalpojuma atslēgšanu, norādot, ka pakalpojums atslēgts pēc Nacionālais kiberdrošības centra pieprasījuma uz norādīto laiku”.
Jābūt norādītam laikam uz kādu Nacionālais kiberdrošības centrs ir tiesīgs pieprasīt atslēgt lietotāju. Pretējā gadījumā pieprasījumā var tikt noteikts nesamērīgi garš atslēgšanas laiks.
LDDK ieskata Noteikumu projekta 119.punkts varētu būt neizpildāms stundas laikā, ja pieprasījumu nosūta uz elektroniskā pasta adresi vai e-adresi. Nepieciešams arī precīzāk definēt ko nozīmē: “piekļuve elektronisko sakaru tīklam”, jo lietotājam var būt piekļuve vairākiem tīkliem vienlaicīgi. Nepieciešams papildināt regulējumu attiecībā uz gadījumiem, ja lietotājs ir juridiska persona ar daudziem pieslēgumiem tīkliem (piemēram, vai jāatslēdz visi pieslēgumi). Bez tam nepieciešams ņemt vērā Paziņošanas likuma 9.pantā noteikto.
Priekšlikums:
119.punktā noteikt, ka elektronisko sakaru komersants atslēdz lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā nākošajā dienā pēc piekļuves slēgšanas pieprasījuma saņemšanas”.
Precīzāk definēt to, kādai informācijai jābūt ietvertai piekļuves slēgšanas pieprasījumā, piemēram, pakalpojuma adrese, identifikators, IP adresei vai diapazons, kam jāatslēdz piekļuve (skat. pamatojumā norādīto).
17.07.2024. 17:04
Drošības profesionāļu asociācija
Par MK noteikumu projektu Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183)
Drošības Profesionāļu asociācija ir izskatījusi MK noteikumu projektu “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) (turpmāk – Noteikumu projekts) un izsaka zemāk uzskaitītos iebildumus, priekšlikumus un komentārus.
1. Iebilstam pret Noteikumu projekta 2.6.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.6.apakšpunktā ir iekļauta terminoloģija ko nozīmē “drošības pasākumi”: “2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim”.
Mūsu ieskatā vārds "pieņemams" ir precīzāks, jo tas atspoguļo faktu, ka ne vienmēr ir iespējams pilnībā novērst visus riskus, nevis to , ka mēs riskus iestāšanos pieļaujam.
Priekšlikums:
Izteikt 2.6.apakšpunktu šādā redakcijā:
“2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim”.
2. Iebilstam pret Noteikumu projekta 2.15.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.15.apakšpunktā ir iekļauta terminoloģija ko nozīmē “piekļuves pārvaldība”: “2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autorizētām un autentificētām personām”.
Norādām, ka sākotnēji personas tiek autentificētas un tikai pēc tam tiek notiek autorizēšana, proti noteikta līmeņa piekļuves piešķiršana.autorizējam.
Priekšlikums:
Izteikt 2.15.apakšunktu šādā redakcijā:
“2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autentificētām un autorizētām personām”.
3. Iebilstam pret Noteikumu projekta 5. un 6 .punktu
Pamatojums:
5. Subjekts Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):
6. Domēnu vārdu reģistrācijas pakalpojumu sniedzējs Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):
No Noteikumu projekta nav skaidrs uz kādu un kur norādīto e-pasta adresi jānosūta elektroniski parakstīts iesniegums. Nav paredzēta iespēja nosūtīt iesniegumu iestādei uz e-adresi
Priekšlikums:
Precizēt 5. un 6. punktu, norādot e-pasta adresi, it īpaši ja tā atšķiras no 2020.gada 14.jūlija Ministru kabineta noteikumiem Nr.445 “Kārtība, kādā iestādes ievieto informāciju internetā”, kā arī paredzēt iespēju nosūtīt iestādei iesniegumu uz e-adresi.
4. Iebilstam pret Noteikumu projekta 7 .punktu
Pamatojums:
7. Subjekts Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam, nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu (3. pielikums):
Nav skaidrs, vai paziņošana Nacionālajam Kiberdrošības centram nozīmē arī paziņošanu Satversmes aizsardzības birojam.
Nav paredzēta iespēja nosūtīt iesniegumu uz iestādes e-adresi.
3. Iebilstam pret Noteikumu projekta 3.2.sadaļu “Kiberdrošības pārvaldības dokumentācija”.
Pamatojums:
Noteikumu projekta 10.2.apakšpunkts nosaka, ka subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido IKT resursu un informācijas sistēmu katalogs.
Mūsu ieskatā Noteikumu projekta 3.2.sadaļā tiek izvirzītas prasības IS sistēmu uzskaitīšanai, taču nav detalizācijas attiecībā uz IKT resursu uzskaiti, kā piemēram serveri, maršrutētāji, darbstacijas, printeri utt. Mazliet skaidrāks šis Noteikumu projekta punkts kļūst iepazīstoties ar anotāciju.
Priekšlikums:
Papildināt 3.2. sadaļu ar prasībām IKT resursu uzskaitei, iekļaujot kaut daļu no Noteikuma projekta anotācijā sniegtās informācijas.
4. Iebilstam pret Noteikumu projekta 24.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 24.punkts nosaka, kas ir jāiekļauj kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā.
24.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Nepieciešams skaidrojums vai atšifrējums par saīsinājumiem RPO, RTO, MTD. Nesaprotams 24.4 punkta vidū lietotais saiklis “vai”
Priekšlikums:
Precizēt Noteikumu projekta 24.4.apakšpunktu.
5. Iebilstam pret Noteikumu projekta 33.6. apakšpunktu.
Pamatojums:
Noteikumu projekta 33.6. apakšpunkts nosaka, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Norādām, ka atkarībā no organizācijas izmēra un darbu organizācijas, kiberdrošības pārvaldniekam var nebūt piekļuves vai zināšanu dažādu sistēmu lietotāju konti pārvaldībā..
Priekšlikums:
Izteikt 33.6. apakšpunktu šādā redakcijā:
“33.6. Pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.
6. Iebilstam pret Noteikumu projekta 37.punktu.
Pamatojums:
Noteikumu projekta 37.punkts nosaka, ka subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu un uzglabāšanu vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas.
Mūsu ieskatā prasība uzglabāt auditācijas pierakstus visām tīkla un informācijas sistēmām 18 mēnešus ir nesamērīga.
Priekšlikums:
Saglabāt esošā regulējuma (MK 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām auditācijas pierakstu glabāšanai pēc tīkla un informācijas sistēmu svarīguma.
7.. Iebilstam pret Noteikumu projekta 38.punktu.
Pamatojums:
Noteikumu projekta 38.punkts nosaka:
“38.Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
38.1.informācijas sistēmas ieslēgšanu un izslēgšanu;
38.2.kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
38.3.kontu piekļuvi informācijas resursiem;
38.4.datu pievienošanu, izmaiņām un dzēšanu;
38.5.tehnisko resursu konfigurāciju izmaiņām;
38.6.kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību”.
Mūsu ieskatā 38.punktā lietotais vārds “piemēram” paver iespējas interpretācijai, kādi auditācijas pieraksti būtu jāveido un jāsaglabā.
Priekšlikums:
Izteikt 38.punktu šādā redakcijā:
“38. Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, vismaz šādā apmērā ..”
8. Iebilstam pret Noteikumu projekta sadaļu 3.9.”Rezerves kopiju pārvaldība”
Pamatojums:
Noteikumu projekta 46.2.apakšpunktā tiek definēts rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks, taču tās vairāk ir sistēmu biznesa datu glabāšanas prasības un neattiecas uz šo noteikumu pamatprasībām un periodiskumi ir nesamērīgi.
Priekšlikums:
Samazināt rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku noteikt ne ilgāk kā 1 gads.
Noteikt pienākumu uzglabāt rezerves kopijas ģeogrāfiski nodalītā vietā.
9. Iebilstam pret Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunkti nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.4.1.telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%,
62.4.2.temperatūru no 18 līdz 27 Celsija grādiem,
62.4.3.trokšņa līmeni līdz 70 Db”.
Atkarībā no datu cenra izbūves principiem, var būt nodalīta karstā un aukstā gaisa plūsma. Aukstajā ailē tipiski temperatūra ir zemāka nekā Noteikumu projektā, savukārt karstā gaisa ailē temperatūra ir augstāka.
Atsevišķi serveri, tīkla iekārtas vai disku masīvi var radīt troksni līdz par 86Db.
Ministru kabineta noteikumu Nr.66 ”Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā trokšņa noteiktā robežvērtība ir 87dB(A).
Priekšlikums:
Svītrot 62.4.1, 62.4.2. 62.4.3 punktus, jo tajos norādītajiem apkārtējās vides parametriem nav ietekmes uz kiberdrošību.
10 . Iebilstam pret Noteikumu projekta 62.9.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.punkts nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.9.kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu”.
Mūsu ieskatā nav iespējams kabeļus aizsargāt pret tīšu bojāšanu. Norādām, ka arī visu datu centra infrastruktūru nav iespējams aizsargāt pret tīšu bojāšanu.
Priekšlikums:
Izteikt 62.9.apakšpunktu šādi:
“62.9. kabelējums ir aizsargāts pret nejaušu vai viegli īstenojamu tīšu bojāšanu”.
11. Iebilstam pret Noteikumu projekta 74.2.5.apakšpunktu.
Pamatojums:
Noteikumu projekta 74.2.5.apakšpunkts nosaka:
“74.2.5. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības”.
Ārpakalpojuma sniedzējs var nebūt "subjekts" Nacionālās kiberdrošības likuma (turpmāk - NKDL) izpratnē Tāpat ir iespējams ka ārpakalpojuma sniedzējs ir liela starptautiska kompānija, kurai noteikt pienākumu ziņot kādai institūcijai Latvijā varētu būt problemātiski, it īpaši, ja jāizmanto kāda no Noteikumu projektam pievenotajām ziņošanas formām latviešu valodā,
.
Priekšlikums:
Dzēst 74.2.5 punktu.
12. Iebilstam pret Noteikumu projekta 75.punktu.
Pamatojums:
Noteikumu projekta 75.punkts nosaka, ka ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi uzrauga būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieks.
Mūsu ieskatā būtisko pakalpojumu sniedzēja kiberdrošības pārvaldniekam tiek noteikta pārāk plaša atbildība. Informācijas sistēmas uzturēšanu saskaņā ar noslēgto līgumu parasti uzrauga struktūrvienība, kura veic ārpakalpojuma iepirkumu. Kiberdrošības pārvaldniekiem lielākoties nav tiesību lemt par ārpakalpojuma kvalitāti, SLA (Service Level Agreement), termiņu ievērošanu, atbilstību pasūtītajam pakalpojumam.
Turklāt ārpakalpojuma līguma kiberdrošības prasību izpilde būtu jāuzrauga ne tikai būtisko pakalpojumu sniedzējiem,
Priekšlikums:
Izteikt 75.punktu šādi:
Līguma par tīkla vai informācijas sistēmas uzturēšanu kiberdrošības prasību izpildi uzrauga kiberdrošības pārvaldnieks.
13. Iebilstam pret Noteikumu projekta 100.punktu.
Pamatojums:
Noteikumu projekta 100.punkts nosaka kā ir veicami ielaušanās testi.
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš nebija iesaistīts informācijas sistēmas izstrādē, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus”.
A kategorijas sistēmu ielaušanās testi ir veicami ne tikai pieņemot ekspluatācijā, bet arī turpmāk vismaz reizi divos gados, līdz ar to nepieciešams noteikt ierobežojumu ielaušanās testus veikt ne tikai ieviesējam, bet arī uzturētājam,
Ņemot vērā to, ka mēdz mainīties gan izstrādātāji, gan uzturētāji, rosinām noteikt termiņa ierobežojumu aizliegumam piedalīties drošības testu veikšanā
Priekšlikums:
Izteikt 100.punktu šādā redakcijā:
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš iepriekšējo trīs gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus un kura nav bijusi iesaistīta informācijas sistēmas izstrādē vai uzturēšanā iepriekšējo trīs gadu periodā”.
14. Iebilstam pret sadalu 7.3.Drošības skenēšana
Noteikumu projekta 102. punkts nosaka :
102. Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
102. punkts un visa 7.3 sadaļa var radīt nepareizu priekštatu, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir vienīgās institūcijas, kuras dŗīkst veikt tīkla un informāciju sitēmu drošības skanēšanu.
Priekšlikums:
Papildināt sadaļu 7.3 Drošības skanēšana ar papildus punktu:
xxx. Subjekts nodrošina sava tīkla un informācijas sistēmu regulāru skanēšanu ar mērķi atrast drošības nepilnības.
19. Iebilstam pret Noteikumu projekta 120.punktu.
Pamatojums:
Noteikumu projekta 120. punkts nosaka
“120 Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.
Vienkārši atslēdzot domēna vārdu vai IP adresi, lietotāji ir neziņā, kādēļ nav pieejams internets vai kāds interneta resurss. A
.
Priekšlikums:
120.punktā noteikt, ka elektronisko sakaru komersants piekļuves liegšanu īsteno, novirzot domēna vārda vai IP adreses pieprasījumus uz piekļuves slēgšanas pieprasītāja uzturētu informatīvu vietni, kurā tiek sniegta informācija par atslēgšanas iemesliem un lēmuma pārsūdzības kārtību.
Drošības Profesionāļu asociācija ir izskatījusi MK noteikumu projektu “Noteikumi par minimālajām kiberdrošības prasībām” (22-TA-3183) (turpmāk – Noteikumu projekts) un izsaka zemāk uzskaitītos iebildumus, priekšlikumus un komentārus.
1. Iebilstam pret Noteikumu projekta 2.6.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.6.apakšpunktā ir iekļauta terminoloģija ko nozīmē “drošības pasākumi”: “2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieļaujamajam līmenim”.
Mūsu ieskatā vārds "pieņemams" ir precīzāks, jo tas atspoguļo faktu, ka ne vienmēr ir iespējams pilnībā novērst visus riskus, nevis to , ka mēs riskus iestāšanos pieļaujam.
Priekšlikums:
Izteikt 2.6.apakšpunktu šādā redakcijā:
“2.6.drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina risku līdz pieņemamam līmenim”.
2. Iebilstam pret Noteikumu projekta 2.15.apakšpunktu.
Pamatojums:
Noteikumu projekta 2.15.apakšpunktā ir iekļauta terminoloģija ko nozīmē “piekļuves pārvaldība”: “2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autorizētām un autentificētām personām”.
Norādām, ka sākotnēji personas tiek autentificētas un tikai pēc tam tiek notiek autorizēšana, proti noteikta līmeņa piekļuves piešķiršana.autorizējam.
Priekšlikums:
Izteikt 2.15.apakšunktu šādā redakcijā:
“2.15.piekļuves pārvaldība – organizatoriski un tehniski pasākumi, kas nodrošina piekļuvi informācijas sistēmai vai IKT resursam tikai attiecīgi autentificētām un autorizētām personām”.
3. Iebilstam pret Noteikumu projekta 5. un 6 .punktu
Pamatojums:
5. Subjekts Nacionālās kiberdrošības likuma 22. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu (1. pielikums):
6. Domēnu vārdu reģistrācijas pakalpojumu sniedzējs Nacionālās kiberdrošības likuma 23. panta pirmajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram, nosūtot uz tā norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu (2. pielikums):
No Noteikumu projekta nav skaidrs uz kādu un kur norādīto e-pasta adresi jānosūta elektroniski parakstīts iesniegums. Nav paredzēta iespēja nosūtīt iesniegumu iestādei uz e-adresi
Priekšlikums:
Precizēt 5. un 6. punktu, norādot e-pasta adresi, it īpaši ja tā atšķiras no 2020.gada 14.jūlija Ministru kabineta noteikumiem Nr.445 “Kārtība, kādā iestādes ievieto informāciju internetā”, kā arī paredzēt iespēju nosūtīt iestādei iesniegumu uz e-adresi.
4. Iebilstam pret Noteikumu projekta 7 .punktu
Pamatojums:
7. Subjekts Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajā termiņā paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam, nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu (3. pielikums):
Nav skaidrs, vai paziņošana Nacionālajam Kiberdrošības centram nozīmē arī paziņošanu Satversmes aizsardzības birojam.
Nav paredzēta iespēja nosūtīt iesniegumu uz iestādes e-adresi.
3. Iebilstam pret Noteikumu projekta 3.2.sadaļu “Kiberdrošības pārvaldības dokumentācija”.
Pamatojums:
Noteikumu projekta 10.2.apakšpunkts nosaka, ka subjekta kiberdrošības pārvaldības dokumentācijas kopumu veido IKT resursu un informācijas sistēmu katalogs.
Mūsu ieskatā Noteikumu projekta 3.2.sadaļā tiek izvirzītas prasības IS sistēmu uzskaitīšanai, taču nav detalizācijas attiecībā uz IKT resursu uzskaiti, kā piemēram serveri, maršrutētāji, darbstacijas, printeri utt. Mazliet skaidrāks šis Noteikumu projekta punkts kļūst iepazīstoties ar anotāciju.
Priekšlikums:
Papildināt 3.2. sadaļu ar prasībām IKT resursu uzskaitei, iekļaujot kaut daļu no Noteikuma projekta anotācijā sniegtās informācijas.
4. Iebilstam pret Noteikumu projekta 24.4.apakšpunktu.
Pamatojums:
Noteikumu projekta 24.punkts nosaka, kas ir jāiekļauj kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā.
24.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Nepieciešams skaidrojums vai atšifrējums par saīsinājumiem RPO, RTO, MTD. Nesaprotams 24.4 punkta vidū lietotais saiklis “vai”
Priekšlikums:
Precizēt Noteikumu projekta 24.4.apakšpunktu.
5. Iebilstam pret Noteikumu projekta 33.6. apakšpunktu.
Pamatojums:
Noteikumu projekta 33.6. apakšpunkts nosaka, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Norādām, ka atkarībā no organizācijas izmēra un darbu organizācijas, kiberdrošības pārvaldniekam var nebūt piekļuves vai zināšanu dažādu sistēmu lietotāju konti pārvaldībā..
Priekšlikums:
Izteikt 33.6. apakšpunktu šādā redakcijā:
“33.6. Pastāv tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.
6. Iebilstam pret Noteikumu projekta 37.punktu.
Pamatojums:
Noteikumu projekta 37.punkts nosaka, ka subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu un uzglabāšanu vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas.
Mūsu ieskatā prasība uzglabāt auditācijas pierakstus visām tīkla un informācijas sistēmām 18 mēnešus ir nesamērīga.
Priekšlikums:
Saglabāt esošā regulējuma (MK 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām auditācijas pierakstu glabāšanai pēc tīkla un informācijas sistēmu svarīguma.
7.. Iebilstam pret Noteikumu projekta 38.punktu.
Pamatojums:
Noteikumu projekta 38.punkts nosaka:
“38.Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
38.1.informācijas sistēmas ieslēgšanu un izslēgšanu;
38.2.kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
38.3.kontu piekļuvi informācijas resursiem;
38.4.datu pievienošanu, izmaiņām un dzēšanu;
38.5.tehnisko resursu konfigurāciju izmaiņām;
38.6.kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību”.
Mūsu ieskatā 38.punktā lietotais vārds “piemēram” paver iespējas interpretācijai, kādi auditācijas pieraksti būtu jāveido un jāsaglabā.
Priekšlikums:
Izteikt 38.punktu šādā redakcijā:
“38. Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, vismaz šādā apmērā ..”
8. Iebilstam pret Noteikumu projekta sadaļu 3.9.”Rezerves kopiju pārvaldība”
Pamatojums:
Noteikumu projekta 46.2.apakšpunktā tiek definēts rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks, taču tās vairāk ir sistēmu biznesa datu glabāšanas prasības un neattiecas uz šo noteikumu pamatprasībām un periodiskumi ir nesamērīgi.
Priekšlikums:
Samazināt rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku noteikt ne ilgāk kā 1 gads.
Noteikt pienākumu uzglabāt rezerves kopijas ģeogrāfiski nodalītā vietā.
9. Iebilstam pret Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.4.1., 62.4.2. un 62.4.3.apakšpunkti nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.4.1.telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%,
62.4.2.temperatūru no 18 līdz 27 Celsija grādiem,
62.4.3.trokšņa līmeni līdz 70 Db”.
Atkarībā no datu cenra izbūves principiem, var būt nodalīta karstā un aukstā gaisa plūsma. Aukstajā ailē tipiski temperatūra ir zemāka nekā Noteikumu projektā, savukārt karstā gaisa ailē temperatūra ir augstāka.
Atsevišķi serveri, tīkla iekārtas vai disku masīvi var radīt troksni līdz par 86Db.
Ministru kabineta noteikumu Nr.66 ”Darba aizsardzības prasības nodarbināto aizsardzībai pret darba vides trokšņa radīto risku” 13.1.apakšpunktā trokšņa noteiktā robežvērtība ir 87dB(A).
Priekšlikums:
Svītrot 62.4.1, 62.4.2. 62.4.3 punktus, jo tajos norādītajiem apkārtējās vides parametriem nav ietekmes uz kiberdrošību.
10 . Iebilstam pret Noteikumu projekta 62.9.apakšpunktu.
Pamatojums:
Noteikumu projekta 62.punkts nosaka prasības IKT infrastruktūrai, kura pilda datu centra funkcijas:
“62.9.kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu”.
Mūsu ieskatā nav iespējams kabeļus aizsargāt pret tīšu bojāšanu. Norādām, ka arī visu datu centra infrastruktūru nav iespējams aizsargāt pret tīšu bojāšanu.
Priekšlikums:
Izteikt 62.9.apakšpunktu šādi:
“62.9. kabelējums ir aizsargāts pret nejaušu vai viegli īstenojamu tīšu bojāšanu”.
11. Iebilstam pret Noteikumu projekta 74.2.5.apakšpunktu.
Pamatojums:
Noteikumu projekta 74.2.5.apakšpunkts nosaka:
“74.2.5. ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības”.
Ārpakalpojuma sniedzējs var nebūt "subjekts" Nacionālās kiberdrošības likuma (turpmāk - NKDL) izpratnē Tāpat ir iespējams ka ārpakalpojuma sniedzējs ir liela starptautiska kompānija, kurai noteikt pienākumu ziņot kādai institūcijai Latvijā varētu būt problemātiski, it īpaši, ja jāizmanto kāda no Noteikumu projektam pievenotajām ziņošanas formām latviešu valodā,
.
Priekšlikums:
Dzēst 74.2.5 punktu.
12. Iebilstam pret Noteikumu projekta 75.punktu.
Pamatojums:
Noteikumu projekta 75.punkts nosaka, ka ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi uzrauga būtisko pakalpojumu sniedzēja kiberdrošības pārvaldnieks.
Mūsu ieskatā būtisko pakalpojumu sniedzēja kiberdrošības pārvaldniekam tiek noteikta pārāk plaša atbildība. Informācijas sistēmas uzturēšanu saskaņā ar noslēgto līgumu parasti uzrauga struktūrvienība, kura veic ārpakalpojuma iepirkumu. Kiberdrošības pārvaldniekiem lielākoties nav tiesību lemt par ārpakalpojuma kvalitāti, SLA (Service Level Agreement), termiņu ievērošanu, atbilstību pasūtītajam pakalpojumam.
Turklāt ārpakalpojuma līguma kiberdrošības prasību izpilde būtu jāuzrauga ne tikai būtisko pakalpojumu sniedzējiem,
Priekšlikums:
Izteikt 75.punktu šādi:
Līguma par tīkla vai informācijas sistēmas uzturēšanu kiberdrošības prasību izpildi uzrauga kiberdrošības pārvaldnieks.
13. Iebilstam pret Noteikumu projekta 100.punktu.
Pamatojums:
Noteikumu projekta 100.punkts nosaka kā ir veicami ielaušanās testi.
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš nebija iesaistīts informācijas sistēmas izstrādē, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus”.
A kategorijas sistēmu ielaušanās testi ir veicami ne tikai pieņemot ekspluatācijā, bet arī turpmāk vismaz reizi divos gados, līdz ar to nepieciešams noteikt ierobežojumu ielaušanās testus veikt ne tikai ieviesējam, bet arī uzturētājam,
Ņemot vērā to, ka mēdz mainīties gan izstrādātāji, gan uzturētāji, rosinām noteikt termiņa ierobežojumu aizliegumam piedalīties drošības testu veikšanā
Priekšlikums:
Izteikt 100.punktu šādā redakcijā:
“100.Šo noteikumu 99.1. un 99.2.apakšpunktā minētos ielaušanās testus veic subjekta nodarbinātais personāls, kurš iepriekšējo trīs gadu laikā nav bijis iesaistīts testējamās informācijas sistēmas izstrādē vai uzturēšanā, vai juridiskā vai fiziskā persona, kura atbilst šo noteikumu 76.punkta prasībām, un kurai ir nepieciešamās zināšanas kiberdrošības jomā un tehniskās iespējas droši veikt ielaušanās testus un kura nav bijusi iesaistīta informācijas sistēmas izstrādē vai uzturēšanā iepriekšējo trīs gadu periodā”.
14. Iebilstam pret sadalu 7.3.Drošības skenēšana
Noteikumu projekta 102. punkts nosaka :
102. Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
102. punkts un visa 7.3 sadaļa var radīt nepareizu priekštatu, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir vienīgās institūcijas, kuras dŗīkst veikt tīkla un informāciju sitēmu drošības skanēšanu.
Priekšlikums:
Papildināt sadaļu 7.3 Drošības skanēšana ar papildus punktu:
xxx. Subjekts nodrošina sava tīkla un informācijas sistēmu regulāru skanēšanu ar mērķi atrast drošības nepilnības.
19. Iebilstam pret Noteikumu projekta 120.punktu.
Pamatojums:
Noteikumu projekta 120. punkts nosaka
“120 Lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju.
Vienkārši atslēdzot domēna vārdu vai IP adresi, lietotāji ir neziņā, kādēļ nav pieejams internets vai kāds interneta resurss. A
.
Priekšlikums:
120.punktā noteikt, ka elektronisko sakaru komersants piekļuves liegšanu īsteno, novirzot domēna vārda vai IP adreses pieprasījumus uz piekļuves slēgšanas pieprasītāja uzturētu informatīvu vietni, kurā tiek sniegta informācija par atslēgšanas iemesliem un lēmuma pārsūdzības kārtību.
17.07.2024. 18:55
"Drošības Nozares Kompāniju Asociācija"
Projektā ietvertās prasības attiecas arī uz tiem apsardzes komersantiem, kas atbilstoši Nacionālās kiberdrošības likumam ir atzīstami par svarīgo pakalpojumu sniedzējiem (vidēji un lieli saimnieciskās darbības veicēji).
Publiskajai apspriešanai nodotajā likumprojektā “Nacionālās kiberdrošības likums” apsardzes komersanti kā subjekts iekļauti nebija (dalībvalsts pienākums tos iekļaut neizriet no direktīvām, uz kurām pamatojoties tapa jaunais regulējums). Konsultēšanās, apsardzes nozares asociāciju (vismaz Drošības Nozares Kompāniju Asociācijas) informēšana no valsts pārvaldes puses netika nodrošināta. Attiecīgi apsardzes komersanti vēl nav izvērtējuši Nacionālā kiberdrošības likuma normas, to ietekmi un uz šo brīdi nevar sniegt vērtējumu arī par Projektā noteiktajām prasībām.
Anotācijā norādīts, ka “apsardzes kompānijas sniedz savus pakalpojumus valsts un pašvaldības iestādēm, tostarp arī informācijas un komunikācijas kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, līdz ar to, tas skar valsts drošību un var potenciāli radīt draudus nacionālajai drošībai, tāpēc apsardzes pakalpojumu sniedzējiem ir jāatbilst Likumprojektā noteiktajām drošības prasībām.” Taču likumprojekta subjekti ir neliela daļa Latvijas apsardzes komersantu (kopā Apsardzes darbības reģistrā uz 17.07.2024. ir ierakstīti 346 subjekti). Valstij un pašvaldībām piederošos objektus, t.sk. kritiskās infrastruktūras objektus, apsargā un arī turpmāk apsargās komersanti, uz kuriem jaunās prasības neattiecas. Uz šo Aizsardzības ministrija norādīja arī likumprojekta “Nacionālās kiberdrošības likums” apspriešanas gaitā, iesniedzot priekšlikumu uz trešo lasījumu apsardzes komersantus no likumprojekta tvēruma izslēgt.
DNKA norāda, ka ne apgrozījums, ne darbinieku skaits nenosaka to, vai apsardzes komersants var apsargāt un apsargā kritisko infrastruktūru, un nepieciešams izvirzīt paaugstinātas prasības. Paralēli Projekta apspriešanai pēc iespējas ātrāk būtu izvērtējams, kādiem ir jābūt Nacionālās kiberdrošības likumā paredzētajiem kritērijiem, lai sasniegtu izvirzītos mērķus.
Tā kā apsardzes komersanti nav attiecīgo direktīvu subjekti, prasības ir izvērtējamas – iespējams Projektā ir ietverams speciāls apsardzes darbībai un apsardzes komersantu sadarbībai ar valsts un pašvaldību iestādēm atbilstošs regulējums.
Lūdzam Aizsardzības ministrijai organizēt tikšanos ar apsardzes nozares asociācijām, piesaistot arī Valsts policiju un par apsardzes nozares politiku atbildīgo Iekšlietu ministriju.
Publiskajai apspriešanai nodotajā likumprojektā “Nacionālās kiberdrošības likums” apsardzes komersanti kā subjekts iekļauti nebija (dalībvalsts pienākums tos iekļaut neizriet no direktīvām, uz kurām pamatojoties tapa jaunais regulējums). Konsultēšanās, apsardzes nozares asociāciju (vismaz Drošības Nozares Kompāniju Asociācijas) informēšana no valsts pārvaldes puses netika nodrošināta. Attiecīgi apsardzes komersanti vēl nav izvērtējuši Nacionālā kiberdrošības likuma normas, to ietekmi un uz šo brīdi nevar sniegt vērtējumu arī par Projektā noteiktajām prasībām.
Anotācijā norādīts, ka “apsardzes kompānijas sniedz savus pakalpojumus valsts un pašvaldības iestādēm, tostarp arī informācijas un komunikācijas kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, līdz ar to, tas skar valsts drošību un var potenciāli radīt draudus nacionālajai drošībai, tāpēc apsardzes pakalpojumu sniedzējiem ir jāatbilst Likumprojektā noteiktajām drošības prasībām.” Taču likumprojekta subjekti ir neliela daļa Latvijas apsardzes komersantu (kopā Apsardzes darbības reģistrā uz 17.07.2024. ir ierakstīti 346 subjekti). Valstij un pašvaldībām piederošos objektus, t.sk. kritiskās infrastruktūras objektus, apsargā un arī turpmāk apsargās komersanti, uz kuriem jaunās prasības neattiecas. Uz šo Aizsardzības ministrija norādīja arī likumprojekta “Nacionālās kiberdrošības likums” apspriešanas gaitā, iesniedzot priekšlikumu uz trešo lasījumu apsardzes komersantus no likumprojekta tvēruma izslēgt.
DNKA norāda, ka ne apgrozījums, ne darbinieku skaits nenosaka to, vai apsardzes komersants var apsargāt un apsargā kritisko infrastruktūru, un nepieciešams izvirzīt paaugstinātas prasības. Paralēli Projekta apspriešanai pēc iespējas ātrāk būtu izvērtējams, kādiem ir jābūt Nacionālās kiberdrošības likumā paredzētajiem kritērijiem, lai sasniegtu izvirzītos mērķus.
Tā kā apsardzes komersanti nav attiecīgo direktīvu subjekti, prasības ir izvērtējamas – iespējams Projektā ir ietverams speciāls apsardzes darbībai un apsardzes komersantu sadarbībai ar valsts un pašvaldību iestādēm atbilstošs regulējums.
Lūdzam Aizsardzības ministrijai organizēt tikšanos ar apsardzes nozares asociācijām, piesaistot arī Valsts policiju un par apsardzes nozares politiku atbildīgo Iekšlietu ministriju.
17.07.2024. 19:17
Laine Celma - Rīgas valstpilsētas pašvaldības aģentūra "Rīgas digitālā aģentūra"
Noteikumu projekta 2.1.punktā lūdzam vārdu “datnes” aizstāt ar vārdu “pieraksti”
Noteikumu projekta 2.4.punktā vārdus "kas nepieciešama subjekta darbības nodrošināšana" aizstāt ar vārdiem "subjekta uzdevumā"
Noteikumu projekta 2.5.punktu ietvert Noteikumu projekta 2.17.punktā kā apakšpunktu
Noteikumu projekta 2.6.punktu papildināt ar papildus teikumu "Subjektam, ieviešot drošības pasākumus, ievēro proporcionalitātes principu un uz risku izvērtējumu balstītu pieeju, ņemot vērā konkrētā subjekta lielumu, darbības jomu, sarežģītību, riska pakāpi un pakalpojumus, kurus tas sniedz vai plāno sniegt"
Noteikumu projekta 2.7.punktu izteikt šādā redakcijā: “2.7. IKT resursi - informācijas sistēmu darbināšanai nepieciešamo tehnisko resursu kopums”
Noteikumu projekta 2.8.punktu izteikt šādā redakcijā: “2.8. informācijas resurss – strukturēta digitālo datu vienība (datne), kas tiek elektroniski apstrādāta, izmantojot Informācijas sistēmas”
Noteikumu projekta 2.9. punktu izteikt šādā redakcijā: “2.9. informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai”
Noteikumu projekta 2.11. punktu izteikt šādā redakcijā: “2.11. Konfidencialitāte - informācijas nodošana tikai tādām personām, kuras ir pilnvarotas to saņemt un lietot, kā arī tiek nodota sistēmām vai procesiem, kuri ir tiesīgi to saņemt un lietot”
Noteikumu projekta 2.13.punktu pēc vārdiem “IKT resursu” papildināt ar vārdiem “un/vai Informācijas Sistēmu”
Noteikumu projekta 2.16.punktā aiz vārdiem “tiek pārveidoti” papildināt ar vārdiem “un/vai pārvietoti”, ņemot vērā datu pārraidi pa šifrētiem kanāliem.
Noteikumu projekta 2.17.punktu izteikt šādā redakcijā: “2.17. Tehniskais resurss:
2.17.1. aparatūra – fiziskā vai virtuālā tehnoloģiskā iekārtas, kas paredzēta programmatūras darbināšanai, piemēram darbstacijas, serveri, datu nesēji, tīkla un citas saistītas iekārtas; ,
2.17.2. programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
2.17.3. datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete, datu uzglabāšanas risinājums, kas izmanto mākoņdatošanas pakalpojumu vai citu IKT resursu;
2.17.4. IKT Infrastruktūra:
2.17.4.1. Fiziska infrastruktūra - fiziskās aparatūras izmitināšanai un darbināšanai atbilstošas telpas, tostarp datu centri, serveru telpas u.c.
2.17.4.2. Loģiska infrastruktūra - platformas un risinājumi, tostarp virtualizācijas un mākoņdatošanas IKT resursu izmitināšanas pakalpojumi, kas nepieciešami aparatūras un programmatūras darbināšanai”.
Noteikumu projektu ieteicams papildināt ar termina “standarta lietotājs” un termina “priviliģētais lietotājs” definīciju, piemēram: “Priviliģētais lietotājs - lietotājs, kuram ir vairāk tiesību nekā standarta lietotājam. Piemēram, priviliģētais lietotājs ir spējīgs instalēt vai noņemt programmatūru, atjaunināt operētājsistēmu vai modificēt sistēmas vai lietojumprogrammu konfigurācijas”.
Ņemot vērā Noteikumu projekta tvērumu, projekta tekstu ieteicams papildināt ar prasību, kurā norādīts pienākums Subjektam norīkot atbildīgo personu par: a) IKT resursiem, kura pārvalda un rīkojas ar IKT resursiem Subjekta vārdā, t.sk. izvērtē, apstiprina vai noraida piekļuves pieprasījumus IKT resursiem, un tehniski nodrošina: i) piekļuves tiesību piešķiršanu informācijas sistēmā(-ās), ii) auditācijas pierakstu veidošanu IKT resursos, iii) rezerves kopiju veidošanu, uzglabāšanu, kā arī informācijas resursu atjaunošanu no rezerves kopijas, ja to pieprasa atbildīgās persona par informācijas sistēmu; b) informācijas sistēmu(-ām), kura pārvalda un rīkojas ar informācijas resursiem, informācijas resursu apstrādes informācijas sistēmām Subjekta vārdā, t.sk. nosaka informācijas resursu apstrādes prasības un ierobežojumus, piekļuves tiesību lomas/grupas, kritērijus piekļuves izvērtēšanai, izskata piekļuves pieprasījumus, tos apstiprinot vai noraidot, kā arī nosaka informācijas sistēmas RPO, RTO, MTD vērtības, un izvēlas piemērotu rezerves kopiju veidošanas plānu no IKT resursu turētāja piedāvātiem plāniem.
Noteikumu projekta 7.punktu nepieciešams papildināt aiz vārdiem “Nacionālā kiberdrošības centra” ar vārdiem “un Satversmes aizsardzības biroja”
Noteikumu projekta 8.3.punktā nepieciešams precizēt tekstu “vai citā saistītā jomā”, jo to iespējams pārāk plašas interpretēt.
Noteikumu projekta 13.punktā nepieciešams nolūka skaidrojums par tekstu “primāri elektroniskā formātā”.
Noteikumu projekta 17.punktu papildināt aiz vārdiem “IKT resursus” ar vārdiem “un informācijas sistēmas”.
Noteikumu projekta 19.punktā vārdu “saskaņo” aizstāt ar vārdu “informē”.
Papildināt Noteikumu projekta 3.4. sadaļu ar 22.punktu šādā redakcijā: “22. Subjekts rakstveidā norīko IT resursu (informācijas un tehnoloģisko resursu) turētājus visiem informācijas un tehnoloģiskajiem resursiem”.
Noteikumu projekta 3.6. sadaļu ieteicams papildināt, piemēram: “Subjekts nosaka un ievieš incidentu un problēmu pārvaldības procesus, lai identificētu un novērstu IT un drošības incidentus un ļautu subjektam atjaunot un turpināt darbības procesus” un “Incidentu un problēmu pārvaldībai subjekts nosaka vismaz:
1. procedūras incidentu identificēšanai, ietekmes mazināšanai un seku likvidēšanai, pierādījumu saglabāšanai, reģistrēšanai un klasificēšanai atbilstoši ietekmei;
2. darbinieku lomas un atbildību dažādu incidentu scenāriju gadījumā (piemēram, kļūdas, darbības traucējumi, kiberuzbrukumi);
3. problēmu pārvaldības procedūru, lai identificētu, analizētu un novērstu viena vai vairāku incidentu pamatcēloni (root cause). Subjekts ņem vērā incidentu vadības procesā gūtās atziņas un attiecīgi uzlabo drošības pasākumus;
4. efektīvus iekšējās saziņas plānus, tostarp incidentu paziņojumus un eskalācijas procedūras, kas aptver arī ar drošības jautājumiem saistītu klientu sūdzību izskatīšanu un ziņojumus augstākajai vadībai par būtiskiem incidentiem, kas ietekmē kritiskos IT pakalpojumus;
5. ārējās komunikācijas plānus sadarbībai ar ieinteresētajām personām (klientiem, citiem subjektiem, uzraudzības iestādēm), lai efektīvi reaģētu uz incidentu un tā izraisītajiem riskiem un sniegtu savlaicīgu informāciju.”
Noteikumu projekta 31.punktā un visā Noteikumu projekta tekstā lietos terminus “tīkli un informācijas sistēmas” ieteicams pārskatīt, ņemot vērā Nacionālās kiberdrošības likumā noteiktās terminu definīcijas.
Noteikumu projekta 33.4.punktu ieteicams ietvert termina “standarta lietotājs” definīcijā.
Noteikumu projekta 33.6.punktā ieteicams pirms vārda “iespējas” dzēst vārdu “tehniskas”.
Noteikumu projekta 34.2.punktā vārdus “lietotāja privātas ierīces” aizstāt ar vārdiem “Subjekta pārvaldībā esošas”.
Noteikumu projekta 35.punktu ieteicams izteikt šādā redakcijā: “35. Subjekts iepazīstina lietotājus ar sistēmas lietošanas noteikumiem”.
Noteikumu projekta 35.3.punktā ieteicams dzēst vārdus “vismaz reizi gadā”.
Noteikumu projekta 37.punktā ieteicams skaitli “18” aizstāt ar skaitli “24”, ņemot vērā Fizisko personu datu aizsardzības likuma 27.panta trešajā daļā norādīto, un pirms vārdiem “ieraksta izdarīšanas” dzēstu vārdu “pēdējā”, kā arī papildināt pēc vārda “izdarīšanas” ar tekstu “kā arī ņemot vērā glabāšanas prasības, kas noteiktas ārējos normatīvajos aktos”.
Noteikumu projekta 38.punktu precizēt, aizstājot vārdu “piekļuvi” ar vārdiem “piekļuves notikumu un piekļuves mēģinājuma notikumu”.
Noteikumu projekta 3.8.sadaļu papildināt ar punktu šādā redakcijā “personas datu apstrādes darbībām”.
Noteikumu projekta 46.2.punkta tvērumu nepieciešams pārskatīt, jo piemēram ikdienas rezerves kopiju glabāšana divus gadus rada nesamērīgi lielus izdevumus.
Noteikumu projekta 61.punktu nepieciešams precizēt, jo esošajā redakcijā noteikto prasību īstenošanai būs nepieciešami nesamērīgi lieli resursi. Vienlaikus nepieciešams skaidrojums vai prasības īstenošanai Subjekts ir tiesīgs izmantot ārpakalpojumu?
Noteikumu projekta 82.punktā nepieciešams skaitli “3” aizstāt ar skaitli “4”, jo būtisko pakalpojumu prasības ir 4.nodaļā.
Noteikumu projekta 8.daļu nepieciešams papildināt ar šo noteikumu ieviešanas periodu vismaz 3 gadi optimistiskā scenārijā. Un, jānorāda, ka šo prasību izpilde Subjektam prasīs nozīmīgus finanšu resursu, kas jāplāno kritiskajai infrastruktūrai no valsts budžeta centralizēti.
Noteikumu projekta 2.4.punktā vārdus "kas nepieciešama subjekta darbības nodrošināšana" aizstāt ar vārdiem "subjekta uzdevumā"
Noteikumu projekta 2.5.punktu ietvert Noteikumu projekta 2.17.punktā kā apakšpunktu
Noteikumu projekta 2.6.punktu papildināt ar papildus teikumu "Subjektam, ieviešot drošības pasākumus, ievēro proporcionalitātes principu un uz risku izvērtējumu balstītu pieeju, ņemot vērā konkrētā subjekta lielumu, darbības jomu, sarežģītību, riska pakāpi un pakalpojumus, kurus tas sniedz vai plāno sniegt"
Noteikumu projekta 2.7.punktu izteikt šādā redakcijā: “2.7. IKT resursi - informācijas sistēmu darbināšanai nepieciešamo tehnisko resursu kopums”
Noteikumu projekta 2.8.punktu izteikt šādā redakcijā: “2.8. informācijas resurss – strukturēta digitālo datu vienība (datne), kas tiek elektroniski apstrādāta, izmantojot Informācijas sistēmas”
Noteikumu projekta 2.9. punktu izteikt šādā redakcijā: “2.9. informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai”
Noteikumu projekta 2.11. punktu izteikt šādā redakcijā: “2.11. Konfidencialitāte - informācijas nodošana tikai tādām personām, kuras ir pilnvarotas to saņemt un lietot, kā arī tiek nodota sistēmām vai procesiem, kuri ir tiesīgi to saņemt un lietot”
Noteikumu projekta 2.13.punktu pēc vārdiem “IKT resursu” papildināt ar vārdiem “un/vai Informācijas Sistēmu”
Noteikumu projekta 2.16.punktā aiz vārdiem “tiek pārveidoti” papildināt ar vārdiem “un/vai pārvietoti”, ņemot vērā datu pārraidi pa šifrētiem kanāliem.
Noteikumu projekta 2.17.punktu izteikt šādā redakcijā: “2.17. Tehniskais resurss:
2.17.1. aparatūra – fiziskā vai virtuālā tehnoloģiskā iekārtas, kas paredzēta programmatūras darbināšanai, piemēram darbstacijas, serveri, datu nesēji, tīkla un citas saistītas iekārtas; ,
2.17.2. programmatūra (software), tostarp operētājsistēmas, sistēmfaili, sistēmprogrammas, lietojumprogrammas un palīgprogrammas.
2.17.3. datu nesējs – fiziskā vai virtuālā tehnoloģiskā ierīce vai uzglabāšanas vieta, kas paredzēta datu elektroniskajai uzglabāšanai un nolasīšanai, piemēram, cietais disks, zibatmiņa, CD, DVD, magnētiskā kasete, datu uzglabāšanas risinājums, kas izmanto mākoņdatošanas pakalpojumu vai citu IKT resursu;
2.17.4. IKT Infrastruktūra:
2.17.4.1. Fiziska infrastruktūra - fiziskās aparatūras izmitināšanai un darbināšanai atbilstošas telpas, tostarp datu centri, serveru telpas u.c.
2.17.4.2. Loģiska infrastruktūra - platformas un risinājumi, tostarp virtualizācijas un mākoņdatošanas IKT resursu izmitināšanas pakalpojumi, kas nepieciešami aparatūras un programmatūras darbināšanai”.
Noteikumu projektu ieteicams papildināt ar termina “standarta lietotājs” un termina “priviliģētais lietotājs” definīciju, piemēram: “Priviliģētais lietotājs - lietotājs, kuram ir vairāk tiesību nekā standarta lietotājam. Piemēram, priviliģētais lietotājs ir spējīgs instalēt vai noņemt programmatūru, atjaunināt operētājsistēmu vai modificēt sistēmas vai lietojumprogrammu konfigurācijas”.
Ņemot vērā Noteikumu projekta tvērumu, projekta tekstu ieteicams papildināt ar prasību, kurā norādīts pienākums Subjektam norīkot atbildīgo personu par: a) IKT resursiem, kura pārvalda un rīkojas ar IKT resursiem Subjekta vārdā, t.sk. izvērtē, apstiprina vai noraida piekļuves pieprasījumus IKT resursiem, un tehniski nodrošina: i) piekļuves tiesību piešķiršanu informācijas sistēmā(-ās), ii) auditācijas pierakstu veidošanu IKT resursos, iii) rezerves kopiju veidošanu, uzglabāšanu, kā arī informācijas resursu atjaunošanu no rezerves kopijas, ja to pieprasa atbildīgās persona par informācijas sistēmu; b) informācijas sistēmu(-ām), kura pārvalda un rīkojas ar informācijas resursiem, informācijas resursu apstrādes informācijas sistēmām Subjekta vārdā, t.sk. nosaka informācijas resursu apstrādes prasības un ierobežojumus, piekļuves tiesību lomas/grupas, kritērijus piekļuves izvērtēšanai, izskata piekļuves pieprasījumus, tos apstiprinot vai noraidot, kā arī nosaka informācijas sistēmas RPO, RTO, MTD vērtības, un izvēlas piemērotu rezerves kopiju veidošanas plānu no IKT resursu turētāja piedāvātiem plāniem.
Noteikumu projekta 7.punktu nepieciešams papildināt aiz vārdiem “Nacionālā kiberdrošības centra” ar vārdiem “un Satversmes aizsardzības biroja”
Noteikumu projekta 8.3.punktā nepieciešams precizēt tekstu “vai citā saistītā jomā”, jo to iespējams pārāk plašas interpretēt.
Noteikumu projekta 13.punktā nepieciešams nolūka skaidrojums par tekstu “primāri elektroniskā formātā”.
Noteikumu projekta 17.punktu papildināt aiz vārdiem “IKT resursus” ar vārdiem “un informācijas sistēmas”.
Noteikumu projekta 19.punktā vārdu “saskaņo” aizstāt ar vārdu “informē”.
Papildināt Noteikumu projekta 3.4. sadaļu ar 22.punktu šādā redakcijā: “22. Subjekts rakstveidā norīko IT resursu (informācijas un tehnoloģisko resursu) turētājus visiem informācijas un tehnoloģiskajiem resursiem”.
Noteikumu projekta 3.6. sadaļu ieteicams papildināt, piemēram: “Subjekts nosaka un ievieš incidentu un problēmu pārvaldības procesus, lai identificētu un novērstu IT un drošības incidentus un ļautu subjektam atjaunot un turpināt darbības procesus” un “Incidentu un problēmu pārvaldībai subjekts nosaka vismaz:
1. procedūras incidentu identificēšanai, ietekmes mazināšanai un seku likvidēšanai, pierādījumu saglabāšanai, reģistrēšanai un klasificēšanai atbilstoši ietekmei;
2. darbinieku lomas un atbildību dažādu incidentu scenāriju gadījumā (piemēram, kļūdas, darbības traucējumi, kiberuzbrukumi);
3. problēmu pārvaldības procedūru, lai identificētu, analizētu un novērstu viena vai vairāku incidentu pamatcēloni (root cause). Subjekts ņem vērā incidentu vadības procesā gūtās atziņas un attiecīgi uzlabo drošības pasākumus;
4. efektīvus iekšējās saziņas plānus, tostarp incidentu paziņojumus un eskalācijas procedūras, kas aptver arī ar drošības jautājumiem saistītu klientu sūdzību izskatīšanu un ziņojumus augstākajai vadībai par būtiskiem incidentiem, kas ietekmē kritiskos IT pakalpojumus;
5. ārējās komunikācijas plānus sadarbībai ar ieinteresētajām personām (klientiem, citiem subjektiem, uzraudzības iestādēm), lai efektīvi reaģētu uz incidentu un tā izraisītajiem riskiem un sniegtu savlaicīgu informāciju.”
Noteikumu projekta 31.punktā un visā Noteikumu projekta tekstā lietos terminus “tīkli un informācijas sistēmas” ieteicams pārskatīt, ņemot vērā Nacionālās kiberdrošības likumā noteiktās terminu definīcijas.
Noteikumu projekta 33.4.punktu ieteicams ietvert termina “standarta lietotājs” definīcijā.
Noteikumu projekta 33.6.punktā ieteicams pirms vārda “iespējas” dzēst vārdu “tehniskas”.
Noteikumu projekta 34.2.punktā vārdus “lietotāja privātas ierīces” aizstāt ar vārdiem “Subjekta pārvaldībā esošas”.
Noteikumu projekta 35.punktu ieteicams izteikt šādā redakcijā: “35. Subjekts iepazīstina lietotājus ar sistēmas lietošanas noteikumiem”.
Noteikumu projekta 35.3.punktā ieteicams dzēst vārdus “vismaz reizi gadā”.
Noteikumu projekta 37.punktā ieteicams skaitli “18” aizstāt ar skaitli “24”, ņemot vērā Fizisko personu datu aizsardzības likuma 27.panta trešajā daļā norādīto, un pirms vārdiem “ieraksta izdarīšanas” dzēstu vārdu “pēdējā”, kā arī papildināt pēc vārda “izdarīšanas” ar tekstu “kā arī ņemot vērā glabāšanas prasības, kas noteiktas ārējos normatīvajos aktos”.
Noteikumu projekta 38.punktu precizēt, aizstājot vārdu “piekļuvi” ar vārdiem “piekļuves notikumu un piekļuves mēģinājuma notikumu”.
Noteikumu projekta 3.8.sadaļu papildināt ar punktu šādā redakcijā “personas datu apstrādes darbībām”.
Noteikumu projekta 46.2.punkta tvērumu nepieciešams pārskatīt, jo piemēram ikdienas rezerves kopiju glabāšana divus gadus rada nesamērīgi lielus izdevumus.
Noteikumu projekta 61.punktu nepieciešams precizēt, jo esošajā redakcijā noteikto prasību īstenošanai būs nepieciešami nesamērīgi lieli resursi. Vienlaikus nepieciešams skaidrojums vai prasības īstenošanai Subjekts ir tiesīgs izmantot ārpakalpojumu?
Noteikumu projekta 82.punktā nepieciešams skaitli “3” aizstāt ar skaitli “4”, jo būtisko pakalpojumu prasības ir 4.nodaļā.
Noteikumu projekta 8.daļu nepieciešams papildināt ar šo noteikumu ieviešanas periodu vismaz 3 gadi optimistiskā scenārijā. Un, jānorāda, ka šo prasību izpilde Subjektam prasīs nozīmīgus finanšu resursu, kas jāplāno kritiskajai infrastruktūrai no valsts budžeta centralizēti.
17.07.2024. 19:47
Agnese Boboviča - Biedrība "LATVIJAS SERTIFICĒTO PERSONAS DATU AIZSARDZĪBAS SPECIĀLISTU ASOCIĀCIJA"
Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (turpmāk – NIS direktīva) bija liels solis kiberdrošības veicināšanā Eiropas līmenī.
NIS direktīva noteica pirmos Eiropas Savienības mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. Tā noteica vitāli svarīgo nozaru uzņēmumiem veikt attiecīgus drošības pasākumus un par nopietniem kiberincidentiem ziņot attiecīgajai kiberincidentu novēršanas institūcijai.
Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdod pakārtotus noteikumus, kas precizē un papildina Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteika minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Izprotot kiberdrošības regulējuma nozīmīgumu un iespējamās sekas šī regulējuma subjektiem, vēlamies vērst uzmanību un sniegt viedokli publiskās apspriešanās ietvaros saistībā ar Ministru Kabineta noteikumu “Noteikumi par minimālajām kiberdrošības prasībām” projektu. Minēto noteikumu projekta mērķis ir uzlabot kiberdrošību Latvijā, sekmējot būtisko pakalpojumu sniedzēju, svarīgo pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, kā arī ieviest NIS2 direktīvā noteiktos pasākumus kiberdrošības jomā.
Ierosinājumi:
Noteikumos lietotie termini.
Tiesiskās noteiktības mērķiem aicinām papildināt “2. Noteikumos lietotos termini” ar jēdzieniem “sistēmkonts” un “mašīnlasāmā formātā” skaidrojumu.
Minētā jēdziena skaidrojums, sniegs lielākas iespējas atbilstoši piemērot, piemēram, 33.3. punktu, kas nosaka – “33.3 informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;” un 40. punktu “40 Auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjekts ievēro sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi”
Kiberdrošības pārvaldības dokumentācija.
Noteikumu projekta 3.3. daļā “Kiberdrošības politika”, 16.punktā ir noteikts pienākums Kiberdrošības politikā ietvert detalizētu informāciju par kiberdrošību, piemēram, 16.6.-16.8. punktos.
Vēlamies informēt, ka bieži vien juridisko personu dokumentu pārvaldības sistēmā politika tiek uzskatīta kā augsta līmeņa dokuments jeb vairāk kā stratēģija, kurā parasti netiek iekļauta detalizēta informācija, kas, piemēram, tiek prasīta 16.6.-16.8. punktos
Uzliekot par pienākumu Noteikumu subjektiem uzturēt noteikta tipa dokumentu, tiek nepamatoti ierobežotas subjekta tiesības izvēlēties savu dokumentu pārvaldības modeli. Piemēram, juridiskas personas var izvēlēties politikā iekļaut vispārīgus, būtiskos pārvaldības jautājumus un detalizētāk procedūru, reģistru vai citu iekšēju dokumentu formā iekļaut citus, konkrētākus jautājumus.
Tādējādi ierosinām 16. punktu papildināt:
“16. Kiberdrošības politikā vai citā iekšēji saistošā dokumentā iekļauj:”
Lietotāju un piekļuves tiesību pārvaldība.
Noteikumu 33.6. punkts nosaka sekojošo: Subjekts nodrošina, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Lai atbalstītu Subjektam iespēju efektīvāk īstenot šī punkta mērķi un nodrošināt atbilstošus aizsardzības pasākumus, aicinām papildināt minēto punktu ar šādu papildinājumu:
“33.6 kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību vai tiesības dot rīkojumu par konta darbības apturēšanu, ja tas ir nepieciešams drošības apsvērumu dēļ.”
Vienlaicīgi, Asociācijas ieskatā ir apsveicama rīcība, kad ārēja normatīvā aktā tiek noteiktas kiberdrošības pārvaldnieka tiesības, bet iepazīstoties ar šo uzskaitījumu, jāvērš uzmanība, ka, pimršķietami, lai pilnvērtīgi tas varētu veikt šos pienākumus, var būt nepieciešamība pieprasīt, piemēram, paskaidrojumus no sistēmas lietotāja, lai pārliecinātos par lietojuma tiesiskumu vai piemēram, veikt informācijas sistēmu, iekārtu piegādātāju uzraudzību, pieprasot, piemēram, skaidrojumus par iespējamu vai notikušu kiberincidentu vai citu informāciju, kas var skart infrastruktūras drošību. Proti, lai arī likuma subjektam būtu lietderīgi paredzēt savstarpējā līgumā šādus sadarbības aspektus un kiberdrošības pārvaldnieka tiesību un pilnvaru apjoms būtu risināms ar iekšējiem normatīvajiem aktiem, Asociācijas ieskatā, ja jau ārējā normatīvā aktā ir aprakstītas kiberdrošības pārvaldnieka tiesības, būtu lietderīgi paredzēt tādu Kiberdrošības pārvaldnieka tiesību apjomu, kas tam ļautu pilnvērtīgi pildīt savus pienākumus. Vispārīgā datu aizsardzības regulā 2016/679 i 38.pantā ir nostiprināts princips, ka pārzinim ir pienākums veikt pasākumus, lai datu aizsardzības speciālists būtu iesaistīts visos procesos, kā arī pārziņa pienākums ir nodrošināt, ka tam ir pietiekami resursi, tajā skaitā, piekļuve personas datiem, lai tas varētu izpildīt paredzētos uzdevumus.
Ievērojot minēto Asociācija ierosina papildināt ar 36.6.punktu, paredzot Kiberdrošības pārvaldnieka tiesības: veikt citas darbības, kas ļauj iegūt ziņas par tīkla vai informācijas resursa kiberdrošības līmeni.
Apmācības.
4.1. Vēlamies norādīt, ka Noteikumu projektā vajadzētu viennzomīgi noteikt, ka apmācības var būt klātienes (tiešsaistes) vai bezsaistes, bet bezsaistes apmācības obligāti jāaktualizē vismaz reizi gadā vai mainoties apstākļiem (piemēram, izceļoties jauniem draudiem, mainoties riska līmenim, notiekot kiberincidentam). 4.2.Vēlamies norādīt, ka Noteikumu projekta 55.punktā norādītais, ka apmācības tiek uzskaitītas, ir vienkārša birokrātiska prasība, kuras praktiskā jēga ir maza. Iesakām paredzēt zināšanu novērtēšanas mehānismu dokumentēšanu un atgriezeniskās saites iegūšanu, lai apmācību praktiskā jēga būtu reāls subjekta darbinieku zināšanu informācijas aizsardzībā, progress.
Datu centri un datu centru drošību regulējošie normatīvie akti.
Noteikumu projekta 62. punkts paredz: “Ja būtisko pakalpojumu sniedzējs tā īpašumā vai valdījumā esošās informācijas sistēmas uzturēšanai neizmanto datu centru, kurš atbilst normatīvajiem aktiem par datu centru drošību, būtisko pakalpojumu sniedzējs nodrošina, ka tā IKT infrastruktūra vai izmantotais datu centrs, kurā uztur A vai B kategorijas informācijas sistēmu, atbilst vismaz šādām prasībām:”
Lūdzam sniegt norādi un skaidrojumu attiecībā uz normatīvo aktu, kas regulē datu centra drošību.
Noteikumu projekta 62.2. punkts paredz: “62.2 katrai telpai vai statnei ir apmeklētāju žurnāls;”. Tiesiskās noteiktības mērķiem aicinām sniegt skaidrojumu par to, vai šāda veida žurnāls ir jānodrošina jebkurai telpai, vai tikai tai telpai, kas nodrošina piekļuvi datu centram? Piemēram, var pastāvēt situācija, kad vienā ēkā ir vairākas telpas un tikai viena telpa nodrošina piekļuvi datu centram.
6. Ārpakalpojuma sniedzēja pienākumi.
6.1. Noteikumu projekta 74.2.5. punkts nosaka ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības.
NIS 2 direktīva paredz ziņošanas pienākumu būtisko pakalpojumu sniedzējam. Lūgums sniegt sīkāku skaidrojumu par šāda pienākuma piemērošanu arī ārpakalpojuma sniedzējam, kā arī starptautisko sadarbību iestāžu starpā šādos gadījumos. Papildus, lūdzam precizēt, kas šādā gadījumā būtu kompetentā kiberincidentu novēršanas institūcija? Piemēram, ja ārpakalpojuma sniedzējs ir reģistrēts Vācijā, bet būtisko pakalpojumu sniedzējs Latvijā. Vai šādā gadījumā ziņošanas pienākums būtu abām juridiskajām personām un vai Vācijā reģistrētajam ārpakalpojuma sniedzējam būtu jāziņo Vācijas iestādei? Minētā situācija esošajā redakcijā nesniedz rīcības skaidrojumu un var radīt tiesisko nenoteiktību Noteikumu projekta piemērošanā.
Minētais noteiktums var radīt situāciju, ka par vienu gadījumu tiek ziņots divas reizes, lai gan NIS2 paredz ziņošanu vienai iestādei ( “single point of contact”). Lūdzam, papildināt Noteikumu projektu ar papildinājumiem attiecībā uz pārrobežu jautājumiem, kā arī ārpakalpojuma sniedzēja un būtisko pakalpojuma sniedzēja ziņošanas kārtību.
Vēršam uzmanību, ka piemēram, Vispārīgā datu aizsardzības regulas 2016/679 nosacījumos ir nostiprināts princips, ka ziņošanas pienākums ir pārzinim, savukārt, apstrādātājam jeb ārpakalpojuma sniedzējam ir jākomunicē ar pārzini, lai tas tad pieņemtu lēmumu par tālāko rīcību ievērojot normatīvo aktu prasības. Nacionālās kiberdrošības likuma 34.1. ziņošanas pienākums ir subjektam, savukārt, Ministru kabineta projektā parādās papildus pienākums arī ārpakalpojuma sniedzējam. Tiesiskās noteiktības nolūkos ir nepieciešams precizēt šo prasību ārpakalpojuma sniedzējam.
6.2. Noteikumu projekta 74.4. punkts nosaka pienākumu līgumā ietvert piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.
Vēlamies norādīt, ka Vispārīgā datu aizsardzības regula Nr. 679/2016 (VDAR), tās 28. panta trešās daļas g) apakšpunkts paredz “pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;”
Saskaņā ar Vispārīgās datu aizsardzības regulas nosacījumiem ir jābūt tiesiskai noteiktībai par datu dzīves ciklu, attiecīgi papildinājums (ja līgums paredz personas datu apstrādi), ka var nedzēst datus, ja tiek slēgts jauns līgums, ir maldinošs. Proti, likuma subjektam būtu jāveic visas preventīvās darbības, lai nodrošinātu, ka līgums tiek savlaicīgi noslēgts bez pārrāvumiem, pretējā gadījumā situācija “ja tiek slēgts jauns līgums” var ilgt ne tikai dažas dienas bet pat mēneši un gadi, kas būtu pretrunā arī prasībai nodrošināt efektīvus kiberdrošības pasākumus.
Ar mērķi neierobežot Subjektiem pastāvošās VDAR noteiktās tiesības un nepamatoti neierobežojot Subjekta tiesību pieprasīt ne tikai dzēšanu, bet arī datu atgriešanu, kas var būt būtisks apstāklis noteikta veida sadarbībā, aicinām izteikt minēto punktu šādā redakcijā:
“74.4. piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām pēc Subjekta izvēles dzēst viņa rīcībā nonākušos datus vai tos atdot Subjektam, dzēšot visas esošās kopijas”
Attiecībā par sadaļu “3.5.Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns”, izsakam bažas, ka:
Noteikumu projektā minēts jēdziens “kiberrisks”, kas var radīt maldīgu priekšstatu, ka risku pārvaldība attiecas tikai uz kibertelpas riskiem. Taču, informācijas drošība, ietver tajā skaitā arī fizisko risku pārvaldību kā arī, piemēram, sociālās inženierijas risku, kura īstenošanās ne vienmēr ir saistīta ar kibertelpas izmantošanu; tādēļ Asociācija aicina paplašināt risku pārvaldības jēdzienu; turklāt, arī Noteikumu projektā ne visur ir minēti tikai kiberriski, piemēram, Notiekumu projekta apakšpunktā 50.1.3. ir minēts “risks”;
Noteikumu projektā nav izklāstīti risku pārvaldības pamata principi, proti, ir resursi, ir apdraudējumi un atkarībā no apdraudējumu iestāšanās varbūtības un iespējamajām sekām resursiem, kā arī no resursu nozīmīguma, tiek aprēķināti riski; līdz ar to, Asociācija vērš uzmanību uz nepieciešamību minēto algoritmu izklāstīt visiem saprotamā veidā; tas, ka noteikumu projekta subjektiem ir tiesības izvēlēties algoritmu risku pārvaldības veikšanai, ir vērtējams pozitīvi, taču ir svarīga pamata jēdzienu viennozīmīga izmantošana.
Attiecībā par noteikumu projekta 29.punktu, kas noteic, ka: “Subjekts izstrādā, uztur un bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā”, jānorāda, ka jēdziens “jebkādām izmaiņām” nav gluži korekts kiberincidentu sakarā, proti, kiberincidents var būt šķietams vai faktiski noticis, taču tās nav “jebkādas izmaiņas”, bet noticis vai iespējams kiberincidents. Turklāt, vēlamies norādīt, ka incidenti, kas nelabvēlīgi ietekmē integritāti, konfidencialitāti vai pieejamību var būt ne tikai “kiber-”, proti, virtuālajā, bet arī fiziskajā pasaulē. Līdz ar to, Asociācijas ieskatā, noteikumu 29.punkts būtu jāpapildina.
Noteikumu projekta 8.punkta un tā apakšpunktu kontekstā Asociācija vērš uzmanību, ka saskaņā ar Vispārīgās datu aizsardzības regulas 10.panta noteikumiem, sodāmības un drošības līdzekļu informācija, kas attiecas uz datu subjektu, ir ierobežoti apstrādājama informācija, kuras tipiskā apstrāde var notikt tikai saskaņā ar normatīvo aktu prasībām. Līdz ar to, bez attiecīga un viennozīmīga deleģējuma iegūt attiecīgos sodāmības, un pat kriminālvajāšanas (sods vēl nav stājies spēkā) informāciju, minētais Noteikumu projekta punkts nesasniegs mērķi.
Starp Noteikumu projekta 13.un 14.pantu ir zināmas pretrunas, ņemot vērā, ka elektroniski parakstīti dokumenti visos gadījumos ir oriģināli, savukārt, vienkārši elektorniski uzkrāti dokumenti ir ar apšaubāmu tiesisko statusu (piemēram, tos var ģenerēt vajadzīgajā momentā, lai izvairītos no soda). Tādēļ būtu nepieciešamai prasībai elektorniskos ierakstus parakstīt ar drošu elektronisko parakstu, kam pievienots laika zīmogs.
Attiecībā uz Noteikumu projekta apakšpunktu 16.7., jānorāda, ka risku pārvaldība ir dinamisks process, piemēram, ielaušanās testu rezultātā konstatētā ievainojamība nevar tikt uzreiz dinamiski novērsta vai veikts pasākumu komplekss (tā sauktais, “apejas risinājums”), kas attiecīgajiem draudiem neļauj īstenoties, bet pēc noteikta laika, tiek novērsta arī pamata problema. Šādā situācijā minētās Notiekumu projekta prasības būtu ļoti komplicēti realizējamas un tās praksē vairāk izpildītu “ķeksīša” pēc, proti, formāli, lai būtu “ko parādīt, ja prasīs
Noteikumu 24.4. punktā ir dots paskaidrojums par darbības nepārtrauktības raksturlielumiem, kur lietotas burtu abrevatūras. Pirmšķietami, tās ir atsavinātas no jēdzieniem angļu valodā, attiecīgi, būtu atšķifrējami un latviskojami šie jēdzieni.
NIS direktīva noteica pirmos Eiropas Savienības mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. Tā noteica vitāli svarīgo nozaru uzņēmumiem veikt attiecīgus drošības pasākumus un par nopietniem kiberincidentiem ziņot attiecīgajai kiberincidentu novēršanas institūcijai.
Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdod pakārtotus noteikumus, kas precizē un papildina Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteika minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Izprotot kiberdrošības regulējuma nozīmīgumu un iespējamās sekas šī regulējuma subjektiem, vēlamies vērst uzmanību un sniegt viedokli publiskās apspriešanās ietvaros saistībā ar Ministru Kabineta noteikumu “Noteikumi par minimālajām kiberdrošības prasībām” projektu. Minēto noteikumu projekta mērķis ir uzlabot kiberdrošību Latvijā, sekmējot būtisko pakalpojumu sniedzēju, svarīgo pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, kā arī ieviest NIS2 direktīvā noteiktos pasākumus kiberdrošības jomā.
Ierosinājumi:
Noteikumos lietotie termini.
Tiesiskās noteiktības mērķiem aicinām papildināt “2. Noteikumos lietotos termini” ar jēdzieniem “sistēmkonts” un “mašīnlasāmā formātā” skaidrojumu.
Minētā jēdziena skaidrojums, sniegs lielākas iespējas atbilstoši piemērot, piemēram, 33.3. punktu, kas nosaka – “33.3 informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;” un 40. punktu “40 Auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjekts ievēro sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi”
Kiberdrošības pārvaldības dokumentācija.
Noteikumu projekta 3.3. daļā “Kiberdrošības politika”, 16.punktā ir noteikts pienākums Kiberdrošības politikā ietvert detalizētu informāciju par kiberdrošību, piemēram, 16.6.-16.8. punktos.
Vēlamies informēt, ka bieži vien juridisko personu dokumentu pārvaldības sistēmā politika tiek uzskatīta kā augsta līmeņa dokuments jeb vairāk kā stratēģija, kurā parasti netiek iekļauta detalizēta informācija, kas, piemēram, tiek prasīta 16.6.-16.8. punktos
Uzliekot par pienākumu Noteikumu subjektiem uzturēt noteikta tipa dokumentu, tiek nepamatoti ierobežotas subjekta tiesības izvēlēties savu dokumentu pārvaldības modeli. Piemēram, juridiskas personas var izvēlēties politikā iekļaut vispārīgus, būtiskos pārvaldības jautājumus un detalizētāk procedūru, reģistru vai citu iekšēju dokumentu formā iekļaut citus, konkrētākus jautājumus.
Tādējādi ierosinām 16. punktu papildināt:
“16. Kiberdrošības politikā vai citā iekšēji saistošā dokumentā iekļauj:”
Lietotāju un piekļuves tiesību pārvaldība.
Noteikumu 33.6. punkts nosaka sekojošo: Subjekts nodrošina, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.
Lai atbalstītu Subjektam iespēju efektīvāk īstenot šī punkta mērķi un nodrošināt atbilstošus aizsardzības pasākumus, aicinām papildināt minēto punktu ar šādu papildinājumu:
“33.6 kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību vai tiesības dot rīkojumu par konta darbības apturēšanu, ja tas ir nepieciešams drošības apsvērumu dēļ.”
Vienlaicīgi, Asociācijas ieskatā ir apsveicama rīcība, kad ārēja normatīvā aktā tiek noteiktas kiberdrošības pārvaldnieka tiesības, bet iepazīstoties ar šo uzskaitījumu, jāvērš uzmanība, ka, pimršķietami, lai pilnvērtīgi tas varētu veikt šos pienākumus, var būt nepieciešamība pieprasīt, piemēram, paskaidrojumus no sistēmas lietotāja, lai pārliecinātos par lietojuma tiesiskumu vai piemēram, veikt informācijas sistēmu, iekārtu piegādātāju uzraudzību, pieprasot, piemēram, skaidrojumus par iespējamu vai notikušu kiberincidentu vai citu informāciju, kas var skart infrastruktūras drošību. Proti, lai arī likuma subjektam būtu lietderīgi paredzēt savstarpējā līgumā šādus sadarbības aspektus un kiberdrošības pārvaldnieka tiesību un pilnvaru apjoms būtu risināms ar iekšējiem normatīvajiem aktiem, Asociācijas ieskatā, ja jau ārējā normatīvā aktā ir aprakstītas kiberdrošības pārvaldnieka tiesības, būtu lietderīgi paredzēt tādu Kiberdrošības pārvaldnieka tiesību apjomu, kas tam ļautu pilnvērtīgi pildīt savus pienākumus. Vispārīgā datu aizsardzības regulā 2016/679 i 38.pantā ir nostiprināts princips, ka pārzinim ir pienākums veikt pasākumus, lai datu aizsardzības speciālists būtu iesaistīts visos procesos, kā arī pārziņa pienākums ir nodrošināt, ka tam ir pietiekami resursi, tajā skaitā, piekļuve personas datiem, lai tas varētu izpildīt paredzētos uzdevumus.
Ievērojot minēto Asociācija ierosina papildināt ar 36.6.punktu, paredzot Kiberdrošības pārvaldnieka tiesības: veikt citas darbības, kas ļauj iegūt ziņas par tīkla vai informācijas resursa kiberdrošības līmeni.
Apmācības.
4.1. Vēlamies norādīt, ka Noteikumu projektā vajadzētu viennzomīgi noteikt, ka apmācības var būt klātienes (tiešsaistes) vai bezsaistes, bet bezsaistes apmācības obligāti jāaktualizē vismaz reizi gadā vai mainoties apstākļiem (piemēram, izceļoties jauniem draudiem, mainoties riska līmenim, notiekot kiberincidentam). 4.2.Vēlamies norādīt, ka Noteikumu projekta 55.punktā norādītais, ka apmācības tiek uzskaitītas, ir vienkārša birokrātiska prasība, kuras praktiskā jēga ir maza. Iesakām paredzēt zināšanu novērtēšanas mehānismu dokumentēšanu un atgriezeniskās saites iegūšanu, lai apmācību praktiskā jēga būtu reāls subjekta darbinieku zināšanu informācijas aizsardzībā, progress.
Datu centri un datu centru drošību regulējošie normatīvie akti.
Noteikumu projekta 62. punkts paredz: “Ja būtisko pakalpojumu sniedzējs tā īpašumā vai valdījumā esošās informācijas sistēmas uzturēšanai neizmanto datu centru, kurš atbilst normatīvajiem aktiem par datu centru drošību, būtisko pakalpojumu sniedzējs nodrošina, ka tā IKT infrastruktūra vai izmantotais datu centrs, kurā uztur A vai B kategorijas informācijas sistēmu, atbilst vismaz šādām prasībām:”
Lūdzam sniegt norādi un skaidrojumu attiecībā uz normatīvo aktu, kas regulē datu centra drošību.
Noteikumu projekta 62.2. punkts paredz: “62.2 katrai telpai vai statnei ir apmeklētāju žurnāls;”. Tiesiskās noteiktības mērķiem aicinām sniegt skaidrojumu par to, vai šāda veida žurnāls ir jānodrošina jebkurai telpai, vai tikai tai telpai, kas nodrošina piekļuvi datu centram? Piemēram, var pastāvēt situācija, kad vienā ēkā ir vairākas telpas un tikai viena telpa nodrošina piekļuvi datu centram.
6. Ārpakalpojuma sniedzēja pienākumi.
6.1. Noteikumu projekta 74.2.5. punkts nosaka ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības.
NIS 2 direktīva paredz ziņošanas pienākumu būtisko pakalpojumu sniedzējam. Lūgums sniegt sīkāku skaidrojumu par šāda pienākuma piemērošanu arī ārpakalpojuma sniedzējam, kā arī starptautisko sadarbību iestāžu starpā šādos gadījumos. Papildus, lūdzam precizēt, kas šādā gadījumā būtu kompetentā kiberincidentu novēršanas institūcija? Piemēram, ja ārpakalpojuma sniedzējs ir reģistrēts Vācijā, bet būtisko pakalpojumu sniedzējs Latvijā. Vai šādā gadījumā ziņošanas pienākums būtu abām juridiskajām personām un vai Vācijā reģistrētajam ārpakalpojuma sniedzējam būtu jāziņo Vācijas iestādei? Minētā situācija esošajā redakcijā nesniedz rīcības skaidrojumu un var radīt tiesisko nenoteiktību Noteikumu projekta piemērošanā.
Minētais noteiktums var radīt situāciju, ka par vienu gadījumu tiek ziņots divas reizes, lai gan NIS2 paredz ziņošanu vienai iestādei ( “single point of contact”). Lūdzam, papildināt Noteikumu projektu ar papildinājumiem attiecībā uz pārrobežu jautājumiem, kā arī ārpakalpojuma sniedzēja un būtisko pakalpojuma sniedzēja ziņošanas kārtību.
Vēršam uzmanību, ka piemēram, Vispārīgā datu aizsardzības regulas 2016/679 nosacījumos ir nostiprināts princips, ka ziņošanas pienākums ir pārzinim, savukārt, apstrādātājam jeb ārpakalpojuma sniedzējam ir jākomunicē ar pārzini, lai tas tad pieņemtu lēmumu par tālāko rīcību ievērojot normatīvo aktu prasības. Nacionālās kiberdrošības likuma 34.1. ziņošanas pienākums ir subjektam, savukārt, Ministru kabineta projektā parādās papildus pienākums arī ārpakalpojuma sniedzējam. Tiesiskās noteiktības nolūkos ir nepieciešams precizēt šo prasību ārpakalpojuma sniedzējam.
6.2. Noteikumu projekta 74.4. punkts nosaka pienākumu līgumā ietvert piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.
Vēlamies norādīt, ka Vispārīgā datu aizsardzības regula Nr. 679/2016 (VDAR), tās 28. panta trešās daļas g) apakšpunkts paredz “pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;”
Saskaņā ar Vispārīgās datu aizsardzības regulas nosacījumiem ir jābūt tiesiskai noteiktībai par datu dzīves ciklu, attiecīgi papildinājums (ja līgums paredz personas datu apstrādi), ka var nedzēst datus, ja tiek slēgts jauns līgums, ir maldinošs. Proti, likuma subjektam būtu jāveic visas preventīvās darbības, lai nodrošinātu, ka līgums tiek savlaicīgi noslēgts bez pārrāvumiem, pretējā gadījumā situācija “ja tiek slēgts jauns līgums” var ilgt ne tikai dažas dienas bet pat mēneši un gadi, kas būtu pretrunā arī prasībai nodrošināt efektīvus kiberdrošības pasākumus.
Ar mērķi neierobežot Subjektiem pastāvošās VDAR noteiktās tiesības un nepamatoti neierobežojot Subjekta tiesību pieprasīt ne tikai dzēšanu, bet arī datu atgriešanu, kas var būt būtisks apstāklis noteikta veida sadarbībā, aicinām izteikt minēto punktu šādā redakcijā:
“74.4. piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām pēc Subjekta izvēles dzēst viņa rīcībā nonākušos datus vai tos atdot Subjektam, dzēšot visas esošās kopijas”
Attiecībā par sadaļu “3.5.Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns”, izsakam bažas, ka:
Noteikumu projektā minēts jēdziens “kiberrisks”, kas var radīt maldīgu priekšstatu, ka risku pārvaldība attiecas tikai uz kibertelpas riskiem. Taču, informācijas drošība, ietver tajā skaitā arī fizisko risku pārvaldību kā arī, piemēram, sociālās inženierijas risku, kura īstenošanās ne vienmēr ir saistīta ar kibertelpas izmantošanu; tādēļ Asociācija aicina paplašināt risku pārvaldības jēdzienu; turklāt, arī Noteikumu projektā ne visur ir minēti tikai kiberriski, piemēram, Notiekumu projekta apakšpunktā 50.1.3. ir minēts “risks”;
Noteikumu projektā nav izklāstīti risku pārvaldības pamata principi, proti, ir resursi, ir apdraudējumi un atkarībā no apdraudējumu iestāšanās varbūtības un iespējamajām sekām resursiem, kā arī no resursu nozīmīguma, tiek aprēķināti riski; līdz ar to, Asociācija vērš uzmanību uz nepieciešamību minēto algoritmu izklāstīt visiem saprotamā veidā; tas, ka noteikumu projekta subjektiem ir tiesības izvēlēties algoritmu risku pārvaldības veikšanai, ir vērtējams pozitīvi, taču ir svarīga pamata jēdzienu viennozīmīga izmantošana.
Attiecībā par noteikumu projekta 29.punktu, kas noteic, ka: “Subjekts izstrādā, uztur un bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā”, jānorāda, ka jēdziens “jebkādām izmaiņām” nav gluži korekts kiberincidentu sakarā, proti, kiberincidents var būt šķietams vai faktiski noticis, taču tās nav “jebkādas izmaiņas”, bet noticis vai iespējams kiberincidents. Turklāt, vēlamies norādīt, ka incidenti, kas nelabvēlīgi ietekmē integritāti, konfidencialitāti vai pieejamību var būt ne tikai “kiber-”, proti, virtuālajā, bet arī fiziskajā pasaulē. Līdz ar to, Asociācijas ieskatā, noteikumu 29.punkts būtu jāpapildina.
Noteikumu projekta 8.punkta un tā apakšpunktu kontekstā Asociācija vērš uzmanību, ka saskaņā ar Vispārīgās datu aizsardzības regulas 10.panta noteikumiem, sodāmības un drošības līdzekļu informācija, kas attiecas uz datu subjektu, ir ierobežoti apstrādājama informācija, kuras tipiskā apstrāde var notikt tikai saskaņā ar normatīvo aktu prasībām. Līdz ar to, bez attiecīga un viennozīmīga deleģējuma iegūt attiecīgos sodāmības, un pat kriminālvajāšanas (sods vēl nav stājies spēkā) informāciju, minētais Noteikumu projekta punkts nesasniegs mērķi.
Starp Noteikumu projekta 13.un 14.pantu ir zināmas pretrunas, ņemot vērā, ka elektroniski parakstīti dokumenti visos gadījumos ir oriģināli, savukārt, vienkārši elektorniski uzkrāti dokumenti ir ar apšaubāmu tiesisko statusu (piemēram, tos var ģenerēt vajadzīgajā momentā, lai izvairītos no soda). Tādēļ būtu nepieciešamai prasībai elektorniskos ierakstus parakstīt ar drošu elektronisko parakstu, kam pievienots laika zīmogs.
Attiecībā uz Noteikumu projekta apakšpunktu 16.7., jānorāda, ka risku pārvaldība ir dinamisks process, piemēram, ielaušanās testu rezultātā konstatētā ievainojamība nevar tikt uzreiz dinamiski novērsta vai veikts pasākumu komplekss (tā sauktais, “apejas risinājums”), kas attiecīgajiem draudiem neļauj īstenoties, bet pēc noteikta laika, tiek novērsta arī pamata problema. Šādā situācijā minētās Notiekumu projekta prasības būtu ļoti komplicēti realizējamas un tās praksē vairāk izpildītu “ķeksīša” pēc, proti, formāli, lai būtu “ko parādīt, ja prasīs
Noteikumu 24.4. punktā ir dots paskaidrojums par darbības nepārtrauktības raksturlielumiem, kur lietotas burtu abrevatūras. Pirmšķietami, tās ir atsavinātas no jēdzieniem angļu valodā, attiecīgi, būtu atšķifrējami un latviskojami šie jēdzieni.
17.07.2024. 20:09
Drošības profesionāļu asociācija
Iebilstam pret Noteikumu projekta punktu 7.1. par jauna kiberdrošības pārvaldnieka nozīmēšanu;
Nacionālās kiberdrošības likumā 25. pantā šajā kontekstā ir lietots darbības vārds "nosaka". Kaut arī vārds "nozīmēt" sarunvalodā nereti tiek izmantots ar nozīmi norīkot vai iecelt , tam ir vairākas citas nozīmes, kā piemēram - Zīmējot atdarināt, atveidot līdzīgu oriģinālam (piemēram, attēlu, shēmu, karti) un tml. Aizinām ievērot NKDL izmantoto valodu.
Priekšlikums : izteikt noteikumu projekta 7.1 punktu šādā redakcijā 7.1. par jauna kiberdrošības pārvaldnieka noteikšanu
Nacionālās kiberdrošības likumā 25. pantā šajā kontekstā ir lietots darbības vārds "nosaka". Kaut arī vārds "nozīmēt" sarunvalodā nereti tiek izmantots ar nozīmi norīkot vai iecelt , tam ir vairākas citas nozīmes, kā piemēram - Zīmējot atdarināt, atveidot līdzīgu oriģinālam (piemēram, attēlu, shēmu, karti) un tml. Aizinām ievērot NKDL izmantoto valodu.
Priekšlikums : izteikt noteikumu projekta 7.1 punktu šādā redakcijā 7.1. par jauna kiberdrošības pārvaldnieka noteikšanu
17.07.2024. 23:59