Projekta ID
22-TA-3183Atzinuma sniedzējs
Satversmes aizsardzības birojs
Atzinums iesniegts
27.09.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
SAB ir izvērtējis Aizsardzības ministrijas sagatavoto Ministru kabineta noteikumu "Minimālās kiberdrošības prasības" projektu (turpmāk - Projekts) un izsaka šādu iebildumu - Projekts šobrīd paredz vienādas minimālās kiberdrošības prasības visiem subjektiem, atsevišķi izdalot šifrēšanas prasības, prasības IKT infrastruktūrai, kura pilda datu centra funkcijas, prasības publiskajiem elektronisko sakaru tīkliem un ārpakalpojumu prasības, kuras ir noteiktas kā papildu prasības tikai būtisko pakalpojumu sniedzējiem. Attiecīgi, SAB vērtējumā Projektā šobrīd konceptuāli iztrūkst minimālo kiberdrošības prasību noteikšana, balstoties uz drošības apsvērumiem. Piemēram, lielam saimnieciskās darbības veicējam, kurš ir energoapgādes komersants (būtisko pakalpojumu sniedzējs saskaņā ar Nacionālā kiberdrošības likuma 20.pantu) un vidējam vai lielam saimnieciskās darbības veicējam, kurš ir tiešsaistes tirdzniecības vietas pakalpojumu sniedzējs (svarīgo pakalpojumu sniedzējs saskaņā ar Nacionālās kiberdrošības likuma 21.pantu) ir noteiktas vienādas minimālās kiberdrošības prasības gan lietotāju un piekļuves tiesību pārvaldībā, tīklu pārvaldībā, auditācijas pierakstu pārvaldībā, gan rezerves kopiju pārvaldībā, utt., lai arī kiberdrošības incidentam iepriekš minētā būtisko pakalpojumu sniedzēja IKT infrastruktūrā potenciāli būs smagākas sekas, nekā kiberdrošības incidentam iepriekš minētā svarīgo pakalpojumu sniedzēja IKT infrastruktūrā. Vienlaikus, Projekts paredz, ka katrs subjekts nosaka informācijas sistēmu konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C), tādējādi identificējot A, B un C kategorijas informācijas sistēmas, taču tai pašā laikā Projektā ne vienmēr ir iekļautas minimālās prasības atkarībā no informācijas sistēmas kategorijas. Tādējādi, piemēram, svarīgo pakalpojumu sniedzējam nav noteiktas ārpakalpojumu prasības attiecībā uz B un C kategorijas informācijas sistēmām. Ņemot vērā iepriekš minēto, SAB ieskatā Projektā ir nepieciešams noteikt minimālās kiberdrošības prasības gan atkarībā no subjekta veida, gan informācijas sistēmas kategorijas. Šādā Projekta struktūrā būtu iespējams integrēt papildu prasības IKT kritiskai infrastruktūrai, kuras esošajā Projekta redakcijā ir iekļautas tikai daļēji.
Piedāvātā redakcija
-