Atzinums

Lūdzam papildināt deleģējumu, iekļaujot tiesiskajā pamatojumā Valsts Informācijas sistēmu likuma 16. pantu.

Pamatojums:
VISL 16. pants: Valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības nosaka Ministru kabinets.

 

Izdoti saskaņā ar Nacionālās kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 29. pantu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu, Elektronisko sakaru likuma 8. panta pirmo un otro daļu, un Valsts informācijas sistēmu likuma 16. pantu.

Papildināt ar autentiskuma nodrošināšanu

Pamatojums: saskaņoti ar NIS2 direktīvu: https://www.nis-2-directive.com/NIS_2_Directive_Article_6.html

Piezīme: datu atjaunošana mūsu ieskatā ietilpst pieejamības, integritātes un autentiskuma nodrošināšanai nepieciešamo spēju kopumā un to varētu neizdalīt atsevišķi.

1.3. prasības un veicamos pasākumus subjektu tīklu un informācijas sistēmu pieejamības, autentiskuma, integritātes vai konfidencialitātes un datu atjaunošanas nodrošināšanai;

Uzskatām par nepieciešamu pievienot definīciju "ģeogrāfiski attālināta vieta"

Ģeogrāfiski attālināta vieta - ar informācijas sistēmas un saistīto IKT resursu primārās izmitināšanas vietu funkcionāli saistīta vieta, kas atrodas vismaz 100km attālumā.

Pievienot attiecināmības uzskaitījumam valsts platformas un integrētās valsts informācijas sistēmas.

Pamatojums: nepieciešams izveidot sasaisti ar Valsts informācijas sistēmu likuma deleģējumu.

Noteikumi attiecas uz subjektiem un to īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām, valsts platformām un integrētajām valsts informācijas sistēmām, izņemot tās, kurās tiek veikta valsts noslēpuma, Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības un ārvalstu institūciju klasificētās informācijas elektroniskā apstrāde;

Uzskatām par nepieciešamu noteikt, ka jāpastāv kārtībai, kā realizēt operatīvu kiberdrošības pārvaldības dokumentācijas iznīcināšanu. Tas nepieciešams:
- lai aizsargātu no atklāšanas tajā noteiktās personas, kurām ir administratīvā līmeņa privileģētā piekļuve,
- lai apgrūtinātu Informācijas sistēmu drošības kompromitēšanu, ja notiek ārēju spēku nelikumīgs mēģinājums tās pārņemt savā kontrolē.

17. Subjekts saskaņoti ar Aizsardzības ir noteicis kārtību, kā operatīvi, neatgriezeniski, pierādāmi un dokumentēti iznīcināt kiberdrošības pārvaldības dokumentāciju un tās vēsturiskās versijas.

Uzskatām par nepieciešamu papildināt ar punktu, ka kiberdrošības pārvaldības dokumentācijas kopija un tās atjaunojumi ir jānodod glabāšanā Aizsardzības ministrijā. Kura, savukārt, tās uzglabātu drošā veidā arī ārpus valsts robežām, piemēram, Datu vēstniecībā (nav šī likumprojekta tvērums).

Šāda pieeja krīzes / nepārvaramas varas gadījumā ļautu ne vien atjaunot un iedarbināt kritiskās Informācijas sistēmas ārpus valsts robežām, bet arī operatīvi pārmantot un iespējot katras sistēmas līdzšinējo kiberdrošības pārvaldību.

16. Subjekts ne retāk kā reizi trīs mēnešos kiberdrošības pārvaldības dokumentācijas aktualizēto versiju drošā veidā nodod glabāšanai Aizsardzības ministrijā.

Uzskatām par nepieciešamu papildināt ar punktu
"11.X. IKT resursu un informācijas sistēmu pieejamības savstarpējo atkarību definīciju;

Pamatojums: mūsu pieredzē bez apzinātas un pārraugāmas savstarpējo atkarību definīcijas IKT resursu un informācijas sistēmu pārvaldībā ir apgrūtināta:
- incidentu un problēmu saknes cēloņa noteikšana;
- sistēmu migrācijas un nepārtrauktības plānošana;
- korekta informācijas sistēmu kategoriju noteikšana, piemēram, lai nepieļautu situāciju, kurā A klases sistēmas pieejamība realitātē ir atkarīga no sistēmas, kurai piešķirta B klase, pieejamības.

Definīcija var būt realizēta tabulas vai diagrammas veidā, vai kā daļa no kataloga, izveidota manuāli vai automatizēti, piemēram, konfigurācijas pārvaldības (CMDB), vai līdzīgā resursu uzskaites un pārvaldības sistēmā.

Punkts iederas pēc prasības uzturēt katalogu, tādēļ ierosinām 11.3.

11.3. IKT resursu un informācijas sistēmu pieejamības savstarpējo atkarību definīcija;
11.4. kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
11.5. kiberincidentu žurnāls.

Uzskatām par nepieciešamu saīsināt aktualizēšanas regularitāti līdz ne retāk kā reizi gadā.

Subjekts izstrādā, uztur un regulāri, bet ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberdrošības politiku, ņemot vērā identificētos kiberriskus, veiktos kiberdrošības auditus, pārbaudes un ielaušanās testus, tajos konstatētās neatbilstības, ievainojamības un kiberapdraudējumus un to novēršanas gaitu, kā arī Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotos lēmumus, pieprasījumus un subjektam uzliktos tiesiskos pienākumus un to izpildi.

Uzskatām par nepieciešamu:
- bez IKT resursiem tvērumā iekļaut arī informācijas sistēmas;
- noteikt, ka bez informācijas par nozīmīgākajiem kiberapdraudējumu veidiem jāpievieno arī to riska mazināšanas un riska iestāšanās seku novēršanas kārtība.

17.4 informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi un informācijas sistēmas, kā arī to riska mazināšanas un riska iestāšanās seku novēršanas kārtība.
 

Uzskatām par nepieciešamu:
- atbilstoši NIS2 direktīvai pievienot arī autentiskuma (authenticity) kategoriju, kas izriet no datu viltošanas riska;
- kategorijas izkārtot NIS2 direktīvas secībā. Tā kā šīs četras atbilstoši ir kiberdrošības pamata dimensijas, drošību kā kategoriju neizdalīt atsevišķi.

Izrietoši būtu jāveic atbilstošas izmaiņas ari apakšpunktos un 4. pielikumā.

Atsauce: https://www.nis-2-directive.com/NIS_2_Directive_Article_6.html

Tāpat arī pakārtotajos punktos.

19. Subjekts nosaka pieejamības, autentiskuma, integritātes un konfidencialitātes klases (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai un tajā elektroniski apstrādājamo informācijas resursu kategorijai.

Uzskatām par nepieciešamu papildināt ar autentiskuma klasi atbilstoši NIC2 direktīvai;

Uzskatām par nepieciešamu izvērtēt līdzšinējā principa - "ja pieder A klasei vismaz vienā no drošības dimensijām, ja tad sistēmu uzskata par A kategorijas sistēmu" no saimnieciskā izdevīguma skatu punkta.

Pamatojums.

Līdzšinējā kārtība, nosakot un realizējot tehniskos līdzekļus atbilstoši noteiktajai kategorijai, var izvirzīt prasības, kas pārsniedz objektīvi nepieciešamās.

Piemērs 1:

Sistēmai X ir noteikta pieejamības klase C un konfidencialitātes klase A. Sistēmu tādējādi nosaka par atbilstošu A kategorijai. Pieņemsim, ka pastāv prasība, ka A kategorijas sistēmām jānodrošina gan automātiska kļūmjpārlēce un slodzes dalīšana starp diviem datu centriem, gan datu šifrēšana. Tad minimāli nepieciešamais tehniskais nodrošinājums šifrēšanai attiecībā uz Sistēmu X ir pamatots, bet tehniskais nodrošinājums automātiskai kļūmjpārlēcei un slodzes dalīšanai starp diviem datu centriem ir lieks un var radīt izmaksas, kas pārsniedz vajadzības.

Piemērs 2:

Sistēmai Y ir noteikta pieejamības klase A, un konfidencialitātes klase C. Sistēmu tādējādi nosaka par atbilstošu A kategorijai. Pieņemsim, ka pastāv prasība, ka A kategorijas sistēmām ir jānodrošina gan automātiska kļūmjpārlēce un slodzes dalīšana, gan datu šifrēšana. Tad minimāli nepieciešamais tehniskais nodrošinājums attiecībā uz Sistēmu Y automātiskai kļūmjpārlēcei un slodzes dalīšanai starp diviem datu centriem ir pamatots, bet tehniskais nodrošinājums šifrēšanai atbilstoši A kategorijas prasībām ir lieks un var radīt izmaksas, kas pārsniedz vajadzības.

Lai arī atbalstām principu dažādu drošības klašu līmeņiem atšķiroties, noteikt drošāko līmeni kā nepieciešamo kategorijas līmeņa minimumu, iepriekš minētajos piemēros liekais tehniskais nodrošinājums veido būtiskas izmaksu pozīcijas, kas nav objektīvi nepieciešamas.

Ierosinām divus veidus kā to risināt.

1. veids

Veidot kategorizēšanu un prasības drošības klasēm segmentēti un izrietoši arī noteikt minimāli nepieciešamo tehnisko nodrošinājumu.

Piemērā 1 aprakstītā sistēma X, pieņemot, ka tai autentiskuma un integritātes dimensijās ir A klase, būtu kategorizējama kā P(C)A(A)I(A)K(A).

Piemērā 2 aprakstītā sistēma Y, pieņemot, ka tai ir B klase autentiskuma un A klase integritātes dimensijās būtu kategorizējama kā P(A)A(B)I(A)K(C)

Izveidot drošības noteikumiem atbilstošu tabulu minimālajam nodrošinājumam atbilstoši šīm apakšklasēm, pēc kuras vadoties, katrai sistēmai būtu iespējams sistemātiski un pietiekami ērti nodefinēt tai atbilstošo optimālo minimāli nepieciešamo tehnisko prasību kopumu.

2. veids

Noteikt izņēmumus, kad A kategorijas sistēmām, kurās ietilpst noteiktas zemākas klases drošības dimensijas, nav nepieciešams realizēt noteiktas prasības.

Vēlamies norādīt ka 4.pielikuma tabulā pirmajā kolonnā termina "kategorija" vietā tiek lietots termins "klase", kā arī ir norādīts, ka "var būt tikai būtisko pakalpojumu sniedzējam", kas mūsuprāt būtu iestrādājams šo noteikumu pamattekstā.

21.1. A kategorijas (paaugstinātas drošības) informācijas sistēmu, ja tai ir noteikta vismaz viena A pieejamības, autentiskuma, integritātes vai konfidencialitātes drošības klase, reģistrējot apakšklašu līmeņus formātā P(X)A(X)I(X)K(X), kur X ir atbilstošās dimensijas klase;

līdzīgi izmainot arī apakšpunktus.

Uzskatām par nepieciešamu definēt noteiktus IKT resursu veidus. Piemēram, hipervizora līmeņa piekļuve virtualizācijas, konteinerizācijas vai mākoņdatošanas platformā, lietotāju kontu direktorijs, IKT resursu pārvaldības sistēma, kiberdrošības pārvaldības sistēma, datu pārraides tīkla pārvaldības sistēma un citi kritiskie vai būtiskie arhitektūras elementi.

-

Uzskatām par nepieciešamu
- 'tiesības' aizvietot ar pienākums;
- attiecināmo gadījumu definīciju iekļaut jau šajā virsrakstā.

Pamatojums - tiesības nenosaka izpildes obligātumu, kas šajā kontekstā ir kritiski svarīgi.

 

38. Kiberdrošības apdraudējuma novēršanas vai kiberincidenta iestāšanās seku novēršanas pasākumu ietvaros kiberdrošības pārvaldniekam ir pienākums:

Ja tiek realizētas piedāvātās izmaiņas 38. punktā, tad izņemt "nepieciešamības gadījumā", kas ir pārāk vispārīgs un plašs ietvars rīcības pamatojumam.

38.1. pārbaudīt lietotāju kontus, tiem piešķirtās piekļuves tiesības un to veiktās darbības informācijas sistēmā, tostarp lietotāju veiktās informācijas resursu izmaiņas un tehnisko resursu konfigurāciju izmaiņas.

Uzskatām par nepieciešamu:

- Ja tiek realizētas piedāvātās izmaiņas 38. punktā, tad izņemt "kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā", jo rīcības pamatojuma ietvars jau būtu definēts 38. punktā.

- termina "apturēt" vietā lietot terminu "atspējot"

- izņemt "un atcelt tiem piešķirtās piekļuves tiesības", jo tiesību atcelšana un atjaunošana var būt ļoti laikietilpīgs process. Atspējot ir pietiekami.

38.3.atspējot ar kiberapdraudējuma vai kiberincidenta izraisīšanu cēloniski saistītos vai iespējami saistītos lietotāju kontus;

Maniīt vietām teikuma daļas – (... ir pienākums) pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas auditācijas pierakstus, ja informācijas sistēmu vai tās daļu neuztur subjekta īpašumā vai valdījumā esošajā IKT infrastruktūrā.

Nomainīt  "nenotiek" uz "notiek ārpus".

Pamatojums - labāka saprotamība.

38.5. pieprasīt no informācijas sistēmas uzturētāja informācijas sistēmas auditācijas pierakstus, ja informācijas sistēmu vai tās daļu uzturēšana notiek ārpus subjekta īpašumā vai valdījumā esošās IKT infrastruktūras.

Uzskatām par nepieciešamu izņemt "ja vien tas tehniski ir iespējams".

Pamatojums - jābūt tehniski iespējamam. Vismaz resursos, no kuru darbības nepārtrauktības atkarīga A un B klases sistēmu pieejamība. Tos savukārt noteiktu savstarpējo atkarību definīcija (sk.iepriekš).

48.2. tehnisko resursu konfigurāciju rezerves kopijas;

Uzskatām par nepieciešamu papildināt ar prasību A klases informācijas sistēmām (vai A konfidencialitātes un A autentiskuma klasēm)  kopijas a) izvietot ģeogrāfiski attālināti un b) šifrēt at-transit un at-rest.

52.5. A klases informācijas sistēmām rezerves kopijas tiek uzglabātas no informācijas sistēmas ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu, nodrošinot kopijām in-transit un at-rest šifrēšanu.

Uzskatām par nepieciešamu papildināt ar scenāriju, kurā datu atjaunošanu jāspēj veikt personālam, kas neatrodas informācijas resursu pamata izmitināšanas vietā.

Pamatojums: pašreizējie ģeopolitiskie riski, uzlabota personāla aizvietojamība. Scenārijs, kurā kopā ar informācijas resursu glabājošo infrastruktūru iet bojā vai zaudē darbaspējas rezerves kopijas administrējošais personāls.

Būtu jānosaka minimālais attālums (100 km?).

52.5 A kategorijas informācijas sistēmai rezerves kopiju šifrēšanas atslēgas un datu atjaunošanas konta rekvizīti tiek uzglabāti drošā veidā no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
un, izmantojot četru acu principu, nodrošina tām piekļuvi speciāli šim uzdevumam pilnvarotiem darbiniekiem, kuri pastāvīgi uzturas ģeogrāfiski attālinātā vietā no kopijās rezervējamo informācijas resursu pamata izmitināšanas vietas.

Uzskatām par nepieciešamu: 

- "ģeogrāfiski nodalītā" aizstāt ar "ģeogrāfiski attālinātā".

Pamatojums - ar ģeogrāfiski nodalītu parasti saprot vietu, kuru atdala dabiskas ģeogrāfiskās barjeras (kalni, upes, u.c.). Galvenais kritērijs šeit ir attālums.

52.3. A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), ģeogrāfiski attālinātā vietā, telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.

Ierosinām noteikt to kā pienākumu, nosakot arī regularitāti.

Pamatojums - tiesības neietver rīcības obligātumu, kas šajā gadījumā ir kritiski svarīgi, pienākums ietver.

53. Subjekta kiberdrošības pārvaldniekam ir pienākums veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam ne retāk kā reizi trīs mēnešos A klases un ne retāk kā retāk kā reizi sešos mēnešos B klases informācijas sistēmām.

Ierosinām noteikt sākumā, ka uzskaitītās ir minimālās prasības un šo apakšpunktu dzēst.

-

Ierosinām aizstāt "samazināt periodiskumu"  ar "perioda laikā noteikt papildus apmācības" un izvairīties no iekavām.

Pamatojums: viegli pārprast, jo ar "samazināt periodiskumu" parasti saprot samazināt periodu skaitu laika vienībā, bet te ir runa par saīsinātu intervālu starp periodiem, kam ir pretēja nozīme.

60. IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs perioda laikā organizēt papildus apmācības, ņemot vērā subjekta darbības specifiku, aktuālos kiberapdraudējumus un to līmeni piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu.
 

Uzskatām par nepieciešamu noteikt, ka jāšifrē arī, ja tiek pārraidīts ārējos ne-publiskajos tīklos, piemēram, veicot datu apmaiņu vai sinhronizāciju ar sadarbības iestādēm vai citām ārējām informācijas sistēmām.

"Publiskā vide" nav iepriekš izskaidrots termins. Ierosinām mainīt uz "publiskajos datu pārraides tīklos"

Pievienot, ka attiecas arī uz A un B līmeņa autentiskuma klasēm.

63.1. A un B konfidencialitātes un autentiskuma klašu informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajos datu pārraides tīklos, kā arī ārējos un iekšējos IKT infrastruktūras bezvadu tīklos;

Trūkst garumzīme vārdā "sadarbībā";
"ņem vērā" ir nepietiekami stingrs formulējums, ierosinām aizstāt ar "konsekventi pielieto".

64. Būtisko pakalpojumu sniedzējs konsekventi pielieto Nacionālā kiberdrošības centra sadarbībā ar Satversmes aizsardzības biroju izstrādātās vadlīnijas šifrēšanas risinājumu izmantošanai. Vadlīnijas Nacionālais kiberdrošības centrs publicē savā mājaslapā internetā, vismaz reizi gadā tās pārskata un nepieciešamības gadījumā aktualizē.

Uzskatām par nepieciešamu terminu "kabelējums" aizstāt ar apstiprināto terminu "kabeļu sistēma"

66.9. kabeļu sistēma ir aizsargāta pret nejaušu bojāšanu;

Uzskatām par nepieciešamu uzskaitījumā iekļaut videonovērošanas iekārtas un sistēmas.

Pamatojums - risks, ka nedraudzīgu valstu izcelsmes videonovērošana var tikt izmantota privileģēta personāla seju atpazīšanai un šo datu ļaunprātīgai izmantošanai.

Noderētu minimālais resursu uzskaitījums, kas ir ietverts "visu veidu tehnisko resursu" definīcijā, lai novērstu risku, ka A klasei kaut kas "paslīd garām".

80. Līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru un videonovērošanas iekārtu un sistēmu iegādi B kategorijas informācijas sistēmām, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:

Papildināt ar autentiskumu

Pamatojums: saskaņoti ar NIS2 direktīvu

kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas pieejamību, autentiskumu, integritāti vai konfidencialitāti;

Lūdzam 94. un 95. punktā e-pasta saziņas kanālu aizstāt ar oficiālo elektronisko adresi, tā kā Oficiālās elektroniskās adreses likuma 5. panta pirmā daļa iestādēm un juridiskajām personām nosaka obligātu oficiālās elektroniskās adreses izmantošanu.

Īpašiem gadījumiem, kad informāciju nepieciešams novirzīt atsevišķā plūsmā, aicinām izmantot oficiālās elektroniskās adreses apakšadresi. Tas, piemēram, varētu būt 95. punktā ietvertais Aizsardzības ministrijas, tās padotības iestāžu, Nacionālo bruņoto spēku gadījums. Līdz ar to, piedāvājam 95. punkta otro teikumu dzēst.

94. Par nozīmīgu kiberincidentu subjekts Nacionālās kiberdrošības likuma 34. panta otrajā, trešajā, piektajā un sestajā daļā noteiktajos termiņos ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās oficiālo elektronisko adresi elektroniski aizpildītu:

95. Par kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjekts ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās oficiālo elektronisko adresi kiberincidenta aprakstu brīvā formā.

Uzskatām par nepieciešamu papildināt ar monitoringa sistēmas un tās specifikas aprakstu

116. Monitoringa sistēmu subjekta IKT infrastruktūrā izveido un uztur subjekts, izveidojot monitorējamo elementu, to pieejamības statusa aptaujas un apziņošanas kārtulas, kā arī nosakot kritisko elementu kopu, kuru pieejamības statusa maiņas informāciju automātiski pārsūtīt kiberincidentu novēršanas institūcijai, izmantojot standarta protokolu. Monitoringa sistēmai jābūt izvietotai uz vismaz diviem pilnībā neatkarīgiem fizisko serveru resursiem, kas savā starpā sazinās caur šīm mērķim izdalītām tīkla iekārtām un savienojumiem.

Uzskatām par nepieciešamu papildināt ar monitoringa sistēmu

8.4. Agrās brīdināšanas sensori un monitoringa sistēma

Uzskatām par nepieciešamu papildināt ar "monitoringa sistēmas"

Pamatojums - informācijas sistēmu un tai kritisko IKT resursu pieejamības statuss ir daļa no kopējās situācijas apzināšanās, kas var būt kritiski svarīga, fiksējot IS darbības pārtraukumus un to cēloņu kompleksā noteikšanā un risināšanā.

109. Kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus un monitoringa sistēmas, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.

Lūdzam precizēt amata nosaukumu atbilstoši Ministru kabineta 2024. gada 3. septembra noteikumu Nr. 586 "Viedās administrācijas un reģionālās attīstības ministrijas nolikums" 2. punktam.

119. Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē Viedās administrācijas un reģionālās attīstības ministru.

Iestādei ir pienākums pārliecināties par oficiālās elektroniskās adreses esamību un saziņu veikt prioritāri oficiālajā elektroniskajā adresē, ja subjektam tāda ir izveidota. Proti subjektam nav īpaši jāinformē par savas oficiālās elektroniskās adreses esamību. Līdz ar to, no 1.,  2. un 13. pielikuma veidlapām aicinām izņemt oficiālo elektronisko adresi kā norādāmo informāciju, jo iestāde par tās esamību varēs pārliecināties pēc subjekta reģistrācijas numura vai personas koda. Papildus aicinām 1., 2., 3. un 13. pielikuma veidlapās iekļaut atrunu, ka ar subjektu elektroniskā saziņa prioritāri tiks veikta oficiālajā elektroniskajā adresē, ja vien fiziskā persona īpaši nepamatos lūgumu atbildi sniegt citā saziņas kanālā.

Pamatojums: Oficiālās elektroniskās adreses likuma 12. pants.

-

Lūdzu izvērtēt iespēju izmantot terminoloģiju, kura jau tiek izmantota Fizisko personu elektroniskās identifikācijas likumā.

-

Lūdzu izvērtēt iespēju izmantot terminoloģiju, kura jau tiek izmantota Valsts informācijas resursu, sistēmu un sadarbspējas informācijas sistēmas noteikumos.

-

Ierosinām papildināt ar prasību uzturēt administratīvā līmeņa piekļuves personāla, ieskaitot ārpakalpojuma sniedzējus, sarakstu, tādējādi nodrošinot sistēmisku šāda līmeņa privilēģiju piešķiršanu, kā arī iekšējo kiberdrošības incidentu prevenciju un izmeklēšanu.

11.8 Administratīvā līmeņa piekļuves IKT resursiem un Informācijas sistēmām personāla, ieskaitot ārpakalpojuma sniedzējus, saraksts.

Papildināt ar prasību izveidot Informācijas sistēmu datu dublēšanas, rezerves kopēšanas un pielietotās šifrēšanas diagrammu, kā arī Datu pārraides tīkla topoloģiju un pielietotās šifrēšanas diagrammu.

Pamatojums:
Šādu diagrammu izveide sniegtu zināmu garantiju, ka topošajā normatīvajā aktā “Noteikumi par IS izvietošanu un datu centru drošības prasībām” prasības dublēšanai un šifrēšanai tiks metodiski nodrošinātas.

11.6 Informācijas sistēmu datu dublēšanas, rezerves kopēšanas un šifrēšanas diagramma;
11.7 Datu pārraides tīkla topoloģiju un pielietotās šifrēšanas diagramma.

Ierosinām "uzskata par" mainīt uz "nosaka par".

Pamatojums: "uzskata" ir nestingrs formulējums.



 

21. Šo noteikumu izpratnē informācijas sistēmu nosaka par:

Jāpapildina ar uguns slāpēšanas funkciju.

66.6. telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas, trauksmes signalizācijas un uguns slāpēšanas sistēmu;

Lūdzam papildināt ar oficiālo elektronisko adresi, jo tā ir oficiālais elektroniskās saziņas kanāls ar iestādēm.
Pamatojums: Oficiālās elektroniskās adreses likuma 2. pants.

90.1. nodrošina savu saziņas kanālu (oficiālā elektroniskā adrese, e-pasts, telefons un citi atbilstoši saziņas kanāli) augstu pieejamības līmeni, izvairoties no situācijām, kad viena kļūme izraisa visu saziņas kanālu darbības pārtraukumu, un tai ir vairāki saziņas kanāli, kas jebkurā laikā ļauj ar to sazināties;

Atbilstoši par noteikumu projektu iesniegtajam iebildumam, aicinām anotācijā:
1) trīs vietās aizstāt vārdus "Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi" ar "Nacionālā kiberdrošības centra oficiālo elektronisko adresi";
2) divās viestās aizstāt vārdus "kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi" ar "kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās oficiālo elektronisko adresi".

-