Atzinums

Nepieciešams caurskatīt un vienādot terminu lietojumu noteikumu projekta "Minimālās kiberdrošības prasības" (turpmāk - Projekts) ietvaros. 

-

Nepieciešams svītrot Projekta 4. punkta teikuma daļu "ciktāl tie nav pretrunā ar normatīvajiem aktiem par valsts informācijas sistēmu darbību", ņemot vērā, ka šie noteikumi noteiks minimālās kiberdrošības prasības arī valsts informācijas sistēmām.

-

Vēršam uzmanību, ka Projekta 8.1. apakšpunktā ietvertā Nacionālās kiberdrošības likuma 22. panta pirmajā daļā nav noteikts termiņš pakalpojuma sniedzēja pašvērtējuma veikšanai. Komentējamā pantā daļā ir noteikts termiņš, kādā jāpaziņo Nacionālajam kiberdrošības centram pēc atbilstības konstatēšanas. Lūgums skaidrot un nepieciešamības gadījumā precizēt Projektu, identificējot termiņu, kādā pakalpojumu sniedzējām ir jāveic pašnovērtējums.

-

Lūgums 3. pielikumā ietvert piekišanu personas datu apstrādei.

-

Ņemot vērā, ka 12. punktā ir ietverti kritēriji, kuriem personai ir jāatbilst, nepieciešams redakcionāli precizēt 12.5. apakšpunktu, kas šī brīža redakcijā paredz, ka pret personu ir jābūt izbeigtam kriminālprocesa uz nereabilitējoša pamata.

-

Jāprecizē 12.6. apakšpunka redakcija, paredzot, ka starptautiski atzītam sertifikātam ir jābūt spēkā esošam.

-

Lūgums sniegt skaidrojumu, vai fiziskā persona var būt par kiberdrošības pārvaldnieku neierobežotā skaitā būtisko pakalpojuma sniedzēju, ja būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas. SAB ieskatā, būtu nepieciešams noteikt ierobežojumu arī Projekta 19. punktā noteiktajā izņēmuma gadījumā.

-

Ņemot vērā, ka IKT resursos ietilpst arī tādi resursi, kas pēc būtības nerada drošības riskus, ir nepamatoti un laikietilpīgi noteikt subjektam pienākumu uzskaitīt visus IKT resursus. Subjektam būtu jāveido tāds IKT reusrsu katalogs, kurā tiek iekļauti tikai kiberriskiem pakļautie resursi.

-

Projekta 36. punktā ir nepieciešams ietvert kārtību, lai IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pirms jaunas informācijas sistēmas izveides izvērtētu un noteiktu informācijas sistēmai piešķiramo klasi. Informācijas sistēmas funkcionālo aprakstu būtu nepieciešams iesniegt tikai attiecībā uz A un B klases informācijas sistēmām.

-

Lūdzu skaidrot, ja Projekta 4. pielikums ietver metodiku konfidencialitātes, integritātes un pieejamības drošības klases noteikšanai, kāds būs izstrādāto vadlīniju mērķis un saturs attiecībā pret 4. pielikumā jau noteikto metodiku. 

-

Nepieciešams paredzēt kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodiskumu atbilstoši subjektu iedalījumam un īpašumā vai valdījumā esošajām informācijas sistēmām piešķirtajām klasēm, piemēram IKT KI un būtisko pakalpojumu sniedzējiem, kuru īpašumā vai valdījumā ir A klases informācijas sistēmas noteikt pienākumu kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu pārskatīt un aktualizēt reizi gadā. Būtiskie pakalpojumu sniedzēji, kuru īpašumā vai valdījumā nav A klases informācijas sistēmas - reizi divos gados, svarīgo pakalpojumu sniedzēji - reizi trijos gados.

-

Lūgums precizēt vārdu savienojumu "subjekta īpašumā un valdījumā" attiecīgi aizstājot saikli "un" ar saikli "vai".

-

Lūdzam skaidrot, kādā veidā tiek noteikta informācijas sistēmas un IKT resursa nozīmīgums un vērtība un kādā veidā šo kritēriju vērtējums atšķirsies no informācijas sistēmām piešķiramo klašu izvērtējuma metodikas.

-

Lūgums skaidrot Projekta 42.2. apakšpunktā ietvertā vārda "krīze" saturisko tvērumu.

-

Vēršam uzmanību, ka iekšējā tīkla fiziska nodalīšana praksē var būt sarežģīta, ne visiem subjektiem nepieciešama un līdz ar to nesamērīga prasība. Nepieciešams paredzēt, ka iekšējo tīklu no ārējā tīkla var nodalīt fiziski vai loģiski.

-

Aicinām precizēt saglabājamo datu apjomu, jo no Projekta redakcijas izriet, ka datu saglabāšana jāveic par katru nosūtīto vai saņemto datu paketi.

-

Nav saprotama Projekta 75. punkta uzbūve, t.i.,  75. punkta sasaiste ar 75.1. un 75.2. apakšpunktiem, vērtējot gan interpunkciju, gan 75. punkta mērķi.

-

Vēršam uzmanību, ka ir būtiski konceptuāli izvērtēt pilno rezerves kopiju un inkrementālo rezerves kopiju veidošanas periodiskumu, uzglabāšanas laiku un kārtību. Šī brīža redakcija paredz nesamērīgu resursa izmantošanu, lai nodrošinātu A klases sistēmas pilnas rezerves kopijas veidošanu atbilstoši 78. punktā noteiktajai regularitātei.

-

Apakšpunkts daļēji dublē Projekta 75.2. apakšpunktu.

-

Projekta 79.3. apakšpunktā ietverto pienākumu nepieciešams attiecināt arī uz B klases informācijas sistēmām, cita starpā, nosakot, ka  A un B klasēm šis pienākums attiecas tikai uz pilnu rezerves kopiju veidošanu.

"79.3. A un B klases informācijas sistēmai pēc pilnas rezerves kopijas izveides tiek izveidota rezerves kopijas kontrolsumma."

Lūgums skaidrot kā Projekta 82. punktā noteiktais izlases kārtas princips savietojas ar prasību A klases informācijas sistēmai veikt pārbaudi ne retāk kā reizi trīs mēnešos un ne retāk kā reizi sešos mēnešos B klases informācijas sistēmai, ņemot vērā, ka punkta redakcija paredz šādu pienākumu attiecībā uz visām A un B klases sistēmām.

-

Ņemot vērā, ka rezerves kopiju veidošanas pienākums ir noteikts ari C klases informācijas sistēmām, un Projekta 81. punkts nosaka prasības iekšējiem dokumentiem attiecībā uz rezerves kopiju pārvaldības prasībām un kārtību visiem subjektiem, savukārt, Projekta 82. punkts attiecas tikai uz A un B klases informācijas sistēmām, Projekta 83. punkts ir svītrojams.

-

Nepieciešams papildināt Projekta 3.11. apakšnodaļu ar jaunu punktu šādā redakcijā.

"Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā šo noteikumu 89.1.1. līdz 89.1.3. minētā instruktāža."

Ņemot vērā, ka Projekta 89. punkts ir attiecināms uz visiem subjektiem, t.sk., IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, nav nepieciešams Projekta 90. punktā atsaukties uz Projekta 89. punktu saistībā ar IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju. Lūgums precizēt atbilstoši piedāvātajai redakcijai.

"89. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs organizē ārpakalpojuma sniedzēja darbinieku, kas ir iesaistīti līguma izpildē, instruktāžas pirms līguma izpildes uzsākšanas."

Nepieciešams subjektiem noteikto apmācību satura pārskatīšanas un aktualizēšanas periodiskumu salāgot ar subjektam noteikto kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodiskumu atbilstoši SAB sniegtajam iebildumam pie Projekta 39. punkta.

-

Aicinām svītrot Projekta 92. punktā noteikto pienākumu iepazīstināt subjekta nodarbinātos ar kārtējo instruktāžu kalendāro plānu, kas ir noteikts subjekta iekšējos dokumentos,  ņemot vērā, ka pienākums subjektam veikt ikgadējās instruktāžas jau ir noteikts 89. punktā un nav saprotama nepieciešamība uzlikt papildus pienākumus subjektam nodrošināt kalendāro plānu.

"92. Subjekts nodrošina, ka visiem tā nodarbinātajiem, kuri lieto IKT resursus, ir pieejami aktuālie instruktāžu materiāli (prezentācijas datne, izdales materiāli)."

Projekta 3.12. apakšnodaļā ir nepieciešams iekļaut visiem subjektiem nosakāmās prasības šifrēšanas risinājumu izmantošanai. Vienlaikus aicinām noteikt, ka A un B klases informācijas sistēmām šifrēšanas risinājumu tiek izmantoti, paredzot izņēmumu tikai tādā gadījumā, ja risku analīzes ietvaros tiek pamatots, ka šifrēšana nav tehniski iespējama. Attiecīgi C klases infromācijas sistēmām šifrēšanas pienākumu atstājot rekomendācijas līmenī.

-

SAB konceptuāli iebilst veidot sadrumstalotu datu centru kiberdrošības regulējumu, ņemot vērā jau TAP portālā ievietoto un sabiedriskajā apspriešanā nodoto Ministru kabineta noteikumu projektu "Informācijas sistēmu izvietošanas un datu centru drošības prasības". Šajā sakarā ir nepieciešams apvienot iepriekš minēto Ministru kabineta noteikumu projektu ar Projekta 3.13. apakšnodaļu. Papildus katrai subjektu kategorijai ir jānosaka diferencētas prasības IKT infrastruktūrai, kura pilda datu centra funkcijas subjekta vajadzībām.

-

Nepieciešams Projekta 4.1. apakšnodaļu papildināt ar pienākumu attiecībā uz A un B konfidencialitātes drošības klases informācijas sistēmu testa vidēm, paredzot, ka tās satur tikai mākslīgi ģenerētus (neīstus) datus. Papildus paredzot, ka attiecībā uz A un B konfidencialitātes drošības klases sistēmām ārpakalpojuma līguma izpilde netiek veikta produkcijas vidē. 

-

Projekta 100. punkts dzēšams kontekstā ar SAB iebildumu pie 3.13. apakšnodaļas, paredzot, ka datu centru kiberdrošības regulējums paredz informācijas sistēmu izvietošanas noteikumus datu centros, t.sk., attiecībā arī uz ārpakalpojuma sniedzēju nodrošinātajiem tehniskajiem resursiem.

-

Lai nodrošinātu starp subjektiem un uzraugošajām institūcijām vienotu izpratni par Satversmes aizsardzības biroja sniegto atzinumu būtību un atzinumu sniegšanas mehānismu, būtu nepieciešams precizēt, ka ārpakalpojuma līgumu izbeidz saņemot Projektā noteikto Satversmes aizsardzības biroja atzinumu.

-

Projekta 107. punktu nepieciešams svītrot kontekstā ar SAB iebildumu pie Projekta 3.13. apakšnodaļas.

-

Projekta 108. punktu nepieciešams precizēt, paredzot, ka ar kiberdrošības pārvaldnieku tiek saskaņots ne tikai ārpakalpojuma līgums, bet arī ārpakalpojuma tehniskās un drošības prasības.

-

Lūgums ņemt vērā SAB izstrādāto un 17.01. Aizsardzības ministrijai nosūtīto Projekta 4.2. apakšnodaļas redakciju.

-

Lūgums ņemt vērā SAB izstrādāto un 17.01. Aizsardzības ministrijai nosūtīto Projekta 4.3. apakšnodaļas redakciju.

-

Lūgums aizstāt vārdus "Eiropas IKT kritiskā infrastruktūra" attiecīgajā locījumā ar vārdiem "Eiropas mērogā īpaši nozīmīga kritiskā infrastruktūra" attiecīgajā locījumā. 

-

Lūgums precizēt Projekta 126. punktu atbilstoši piedāvātajai redakcijai.

"126. Satversmes aizsardzības birojs pēc savas iniciatīvas sniedz atzinumu par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja nodarbinātajiem vai izvēlētajiem amata pretendentiem, un komersanta, kurš sniedz pakalpojumu IKT kritiskajā infrastrutkūrā vai Eiropas mērogā īpaši nozīmīgā kritiskajā infrastruktūrā vai kuram ir piekļuve IKT kritiskās infrastruktūras vai Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām, īpašnieku, valdes locekļu, darbinieku un darbu veikšanai vai pakalpojumu sniegšanai izvēlēto komersantu atbilstību pakalpojuma sniegšanai IKT kritiskajā infrastruktūrā vai Eiropas mērogā īpaši nozīmīgā kritiskajā infrastruktūrā vai piekļuvei tai. Ja ir saņemts negatīvs Satversmes aizsardzības biroja atzinums, IKT kritiskās infrastruktūras, tajā skaitā Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras, īpašnieks vai tiesiskais valdītājs liedz komersantam vai personai piekļuvi A, B un C IKT kritiskajai infrastruktūrai vai Eiropas mērogā īpaši nozīmīgai kritiskajai infrastruktūrai un tās funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām."

Projekta 130. punkts ir redakcionāli un saturiski n""esaprotams. Lūgums precizēt atbilstoši piedāvātajai redakcijai.

"130. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs:
130.1. izstrādā darbības nepārtrauktības plānu valsts apdraudējuma gadījumam atbilstoši šo noteikumu 8. pielikumam;
130.2. norīko par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu un nosaka tās uzdevumus:
130.2.1. sadarbībā ar nozares ministriju un Aizsardzības ministriju sagatavot darbības nepārtrauktības plānu;
130.2.2. sadarbībā ar nozares ministriju un Aizsardzības ministriju nodrošināt darbības nepārtrauktības plāna regulāru aktualizēšanu."

Nepieciešams precizēt Projekta 135. punktu, paredzot, ka IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs pašvērtējumu par darbības nepārtrauktības plāna valsts apdraudējuma gadījumam aktualizēšanu iesniedz arī Satversmes aizsardzības birojam, kā arī Satversmes aizsardzības birojs var jebkurā laikā izlases veidā izvērtēt darbības nepārtrauktības plānu valsts apdraudējuma gadījumam un, ja nepieciešams, ieteikt tajā veicamās izmaiņas.

-

Nepieciešams noteikt, ka arī būtisko pakalpojumu sniedzējs nosūta Satversmes aizsardzības birojam šī Projekta 140.1. un 140.2. apakšpunktā un 141. punktā minētos ziņojumus.

-

Lūgums precizēt Projekta 8.1. apakšnodaļas regulējumu, skaidri paredzot, ka subjekti, izņemot IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, kiberdrošības audita ārpakalpojuma sniedzēju var izvēlēties no apakšnodaļā aprakstītā auditoru saraksta. Savukārt, apakšnodaļas ietvaros ir skaidri jāparedz, ka IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs audita ārpakalpojuma sniedzēju var izvēlēties no auditoru saraksta vai ārpus tā, saskaņojot attiecīgo ārpakalpojuma sniedzēju atbilstoši Projekta 110. punktam.

-

Nav saprotams apakšpunkta regulējums un mērķis.

-

Lūgums ņemt vērā SAB izstrādāto un 17.01. Aizsardzības ministrijai nosūtīto Projekta 8.2. apakšnodaļas redakciju.

-

Lūdzam paredzēt pienākumu tiem subjektiem, kuri jau ir noteikuši personas, kuru amata pienākumi paredz Projekta ietvaros noteiktā kiberdrošības pārvaldnieka, par žurnālfailiem atbildīgās personas, par rezerves kopijām atbildīgās personas, kā arī atbildīgās personas par darbības nepārtrauktības plānu valsts apdraudējuma gadījumam uzdevumu izpildi, paziņot par to noteikšanu attiecīgi Nacionālajam kiberdrošības centram un/vai Satversmes aizsardzības birojam 3 mēnešu laikā no Ministru kabineta noteikumu spēkā stāšanās brīža.

-

Izņēmumu par neatbilstību Projektā noteiktajām ārpakalpojuma prasībām (Projekta 4. nodaļa) nevar attiecināt līdz 2030. gada 1. janvārim, tādējādi radot neparedzamus un nekontrolējamus draudus nacionālajai drošībai. Satversmes aizsardzības birojs aicina pārejas noteikumos noteikt īsāku pārejas periodu, kā arī kārtību kādā subjekts pārbauda esošo ārpakalpojuma līgumu atbilstību Projektā noteiktajām prasībām.

-

Lūgums skaidrot palīgteikuma "bet ne vēlāk kā līdz 2030. gada 1. janvārim" mērķi saistībā ar pirms Ministru kabineta noteikumu spēkā stāšanās uzsāktajiem publiskajiem iepirkumiem.

-

Nepieciešams paredzēt IKT kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem sešu mēnešu pārejas termiņu no Ministru kabineta noteikumu spēkā stāšanās brīža, kuru laikā jānodrošina atbilstība Projektā noteiktajām prasībām.

-

Precizēt Projekta 186. punktu atbilstoši SAB iebildumiem pie Projekta 38. punkta un 3.12. apakšnodaļas.

-

Ņemot vērā, ka Projektā ir noteikti vairāki par kiberdrošību atbildīgo personu amati, nepieciešams precizēt gan veidlapas nosaukumu, gan saturu, atteicinot to uz visām par kiberdrošību atbildīgajām personām.

-

1. Aicinām pārskatīt metodiku informācijas sistēmas drošības klašu noteikšanai, izvērtējot C klases sistēmām noteikto kritēriju attiecināšanu un piemērojamību. 

2.Projekta tekstā nepieciešams ietvert 4. pielikumā noteikto, ka A klases informācijas sistēmas var būt tikai būtisko pakalpojumu sniedzējiem. 
 

-

Priekšlikums svītrot apakšpunktu, tādējādi paredzot iespēju katrā konkrētajā gadījumā vērtēt personas veselības stāvokļa atbilstību un iespējamos drošības riskus kiberdrošības pārvaldnieka amata ieņemšanai.

-

Ņemot vērā, ka drošības riski var būt dažādi un plašāk vērtējami par personas uzticamību, nepieciešams svītrot 12.11. apakšpunkta palīgteikumu.

12.11. par kuru Satversmes aizsardzības birojs nav konstatējis drošības riskus.

Lūgums paredzēt, ka būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku var noteikt fizisku personu, kurai ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība, un kura atbilst šo noteikumu 12.2.–12.5. un 13.2. apakšpunkta prasībām, ja būtisko pakalpojumu sniedzēja kapitāldaļu īpašnieks ir jebkurā ārvalstī reģistrēta juridiskā persona vai šīs valsts publiskā persona.

-

Lūgums izvērtēt nepieciešamību Projekta 52.6. apakšpunktā ietvert atsauci uz Projekta 7. nodaļu, kas paredz nozīmīga kiberincidenta termina skaidrojumu.

-

Lūdzam Projekta ietvaros vienādot termina lietojumus un komentējamā apakšpunktā lietot vārdu "klase".

"54.2. nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas klasi;"

Vēršam uzmanību, ka autentifikācijas prasība ir jāattiecina arī uz IKT resursiem, līdz ar to nepieciešams precizēt Projekta 55.1. apakšpunktu.

-

Precizēt Projekta 58.3. apakšpunktu atbilstoši redakcijai.

"58.3. kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā bloķēt vai uzdot administratoram bloķēt ar kiberincidentu saistītos lietotāju kontus;"

Aicinām precizēt Projekta 59.2. apakšpunktā ietverto vārdu savienojumu "atsevišķu reālo IP adresi", lai nepārprotami nošķirtu publiskās no lokālajām IP adresēm, izsakot punktu šādā redakcijā.

"59.2. ja attiecināms, subjekta viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo publisko IP adresi;"

Aicinām izvērtēt vai atsevišķām subjektu kategorijām būtu nepieciešams nodrošināt informācijas sistēmu žurnālfailu un tīkla plūsmas žurnālfailu uzglabāšanau nodalītos no informācijas sistēmas nodalītā IKT resursā.

-

Lūgums papildināt Projekta 64.5. apakšpunktu aiz vārda "tīkla" ar vārdu "transporta".

-

Priekšlikums aizvietot vārdus "kuri lieto IKT" ar vārdiem "kuri ir subjekta IKT resursu un informācijas sistēmu reģistrētie lietotāji".

-

Svītrot Projekta 101.3.2. apakšpunktu, ņemot vērā, ka ārpakalpojums pēc būtības jāpilda godprātīgi, kvalitatīvi, savlaicīgi un normatīvo aktu prasībām atbilstoši, vai precizēt punktu, norādot, ka ir jāievēro subjekta noteiktās kiberdrošības prasības.

-

Lūgums Projekta 124. punktu precizēt atbilstoši piedāvātajai redakcijai.

"124. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ņem vērā Satversmes aizsardzības biroja izstrādātos ieteikumus par izmantojamiem IKT resursiem un drošības pasākumiem."

Lūgums papildināt Projektu ar jaunu apakšpunktu atbilstoši piedāvātajai redakcijai.

"125.3.3. par IKT kritiskās infrastruktūras svītrošanu no kritiskās infrastruktūras kopuma vai Eiropas mērogā īpaši nozīmīgas kritiskās infrastruktūras statusa zaudēšanu."

Projekta 129. punktā noteikto pienākumu būtu nepieciešams attiecināt ne tikai uz IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju, bet arī uz visiem subjektiem, kuru īpašumā vai valdījumā ir A un B konfidencialitātes drošības klases informācijas sistēmas.

-

Lūgums izvērtēt nepieciešamību samazināt Projekta 137. punktā paredzēto atbilstības izvērtējuma periodiskumu, samazinot noteikto piecu gadu periodu.

-

Projekta 160. punktā skaidri jāparedz, ka kiberincidentu novēršanas institūcijai ir tiesības izvietot agrās brīdināšanas sensorus, savukārt subjektam ir pienākums ievērot šīs tiesības.

Papildus tam, nepieciešams noteikt skaidru agrās brīdināšanas sensoru izvietošanas (t.sk., izvietošanas pieteikšanas) kārtību, lai preventīvi novērstu citu personu ļaunprātīgu darbību iespēju, uzdodoties par kiberincidentu novēršanas institūcijas pārstāvjiem.

-