Projekta ID
22-TA-3323Atzinuma sniedzējs
Iekšlietu ministrija
Atzinums iesniegts
13.12.2022.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Valsts informācijas sistēmu savietotāju, valsts platformu un integrēto valsts informācijas sistēmu aizsardzības prasības
Iebildums
Valsts informācijas sistēmu likuma 16.pants, uz kura pamata tiek gatavots šis TA, nosaka "integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības", savukārt šī TA nosaukums tam neatbilst un runā par "daudzu" integrēto valsts informācijas sistēmu aizsardzības prasībām, nevis integrētajā valsts informācijas sistēmā ietilpstošām informācijas sistēmām, kas precīzāk atbilstu minētā likuma 16.pantā esošajam formulējumam.
Piedāvātā redakcija
-
2.
Noteikumu projekts
1. Noteikumi nosaka valsts informācijas sistēmu savietotāju (turpmāk – savietotājs), valsts platformu un integrētajā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu (turpmāk – savietojamā sistēma) aizsardzības prasības.
Iebildums
No šīs redakcijas secināms, ka projekts nenosaka pašas integrētās valsts informācijas sistēmas aizsardzības prasības, bet tikai tajā ietilpstošo valsts informācijas sistēmu aizsardzības prasības. Tas nav korekti.
Papildus tam, ne vienmēr saistīto sistēmu aizsardzības un pieejamības prasības būtu nosakāmas vienlīdz augstā līmenī, jo atkarībā no to darbības loģikas, biznesa prasībām un realizētajiem datu apmaiņas mehānismiem, var nepastāvēt vajadzība pēc tik augstām prasībām, kas nozīmē, ka formālo prasību izpildei var tikt nelietderīgi tērēti valsts līdzekļi.
Prasībām saistītajām sistēmām ir jābūt sabalansētām - nevar būt, ka tiklīdz saistītā sistēma ietilpst integrētajā valsts informācijas sistēmā, tad prasības pret tās tehnisko izvietošanu un rezervēšanu tiek pielīdzinātas integrētajai valsts informācijas sistēmai. Jāņem vērā tomēr, kas tā ir par sistēmu, vai tā ir, piemēram, kritiskajā infrastruktūrā ietilpstoša sistēma, kāds ir tās definētais darba režīms un pieejamība - 8x5 vai 24x7. Vai sistēma, piemēram, nodrošina iestāžu operatīvo darbu un darbības koordināciju, un vai tā būtu jāaizsargā līdzvērtīgi integrētajai valsts informācijas sistēmai.
Papildus tam, ne vienmēr saistīto sistēmu aizsardzības un pieejamības prasības būtu nosakāmas vienlīdz augstā līmenī, jo atkarībā no to darbības loģikas, biznesa prasībām un realizētajiem datu apmaiņas mehānismiem, var nepastāvēt vajadzība pēc tik augstām prasībām, kas nozīmē, ka formālo prasību izpildei var tikt nelietderīgi tērēti valsts līdzekļi.
Prasībām saistītajām sistēmām ir jābūt sabalansētām - nevar būt, ka tiklīdz saistītā sistēma ietilpst integrētajā valsts informācijas sistēmā, tad prasības pret tās tehnisko izvietošanu un rezervēšanu tiek pielīdzinātas integrētajai valsts informācijas sistēmai. Jāņem vērā tomēr, kas tā ir par sistēmu, vai tā ir, piemēram, kritiskajā infrastruktūrā ietilpstoša sistēma, kāds ir tās definētais darba režīms un pieejamība - 8x5 vai 24x7. Vai sistēma, piemēram, nodrošina iestāžu operatīvo darbu un darbības koordināciju, un vai tā būtu jāaizsargā līdzvērtīgi integrētajai valsts informācijas sistēmai.
Piedāvātā redakcija
-
3.
Noteikumu projekts
2. Noteikumi attiecas uz institūcijām, kuras ir atbildīgas par savietojamo sistēmu, savietotāju un valsts platformu uzturēšanu (turpmāk – sistēmas uzturētājs).
Iebildums
Šī TA 3 punktā pieminēts "arī ar tiem saistīto aizsardzības līdzekļu atbilstību šādām elektroenerģijas piegādes un nodrošinājuma prasībām". No 2.punkta redakcijas nav saprotams, vai tie ir attiecināmi, piemēram uz VESPC (LVRTC), kuri daudzām valsts iestādēm nodrošina "aizsardzības" pakalpojumus.
Piedāvātā redakcija
-
4.
Noteikumu projekts
3. Sistēmas uzturētājs nodrošina savietojamās sistēmas, savietotāja, valsts platformu, kā arī ar tiem saistīto aizsardzības līdzekļu atbilstību šādām elektroenerģijas piegādes un nodrošinājuma prasībām:
Iebildums
Sistēmas uzturētājs nevar nodrošināt saistīto aizsardzības līdzekļu atbilstību elektroenerģijas piegādes un nodrošinājuma prasībām, ja šo pakalpojumu sniedz trešā puse. Kā piemērs LVRTC sniegtais DDOS pakalpojums valsts iestādēm.
Piedāvātā redakcija
-
5.
Noteikumu projekts
4.4. datu apmaiņas procesā nodrošina datu integritātes aizsardzību un aizsardzību pret nesankcionētu piekļuvi.
Iebildums
Nav viennozīmīgi skaidras aizsardzības metodes, kuras būtu pietiekošas šīs prasības izpildei.
Piedāvātā redakcija
-
6.
Noteikumu projekts
7.4. nodrošina nepārtrauktu savietojamās sistēmas, savietotāja un valsts platformas darba vides drošības apdraudējumu novērošanu, izmantojot ielaušanās mēģinājumu noteikšanas un aizsardzības sistēmu;
Iebildums
Šādu aizsardzību jānodrošina, pieslēdzoties no interneta. Prasības piemērošana lokālā tīkla ietvaros būtu pārspīlēta un dārga.
Piedāvātā redakcija
-
7.
Noteikumu projekts
8.2. sistēmas uzturētāja noteiktu savietojamās sistēmas, savietotāja un valsts platformas svarīgu procesu pieejamība tiem paredzētajos atbildes laikos;
Iebildums
Nav skaidrs, kas tiek saprasts ar "svarīgu procesu pieejamība tiem paredzētajos atbildes laikos". Kas tiek saprasts ar procesu? Ja tie ir izpildāmie procesi operētājsistēmas līmenī (tehniski), tad vairumā gadījumu tiem visiem nav definēti paredzamie atbildes laiki, kas var variēt atkarībā no noslodzes, ko ne vienmēr ir iespējams prognozēt. Prasība nebūs izpildāma praksē, tāpēc lūdzam to dzēst vai precizēt.
Piedāvātā redakcija
-
8.
Noteikumu projekts
9.3. savietojamās sistēmas un valsts platformas pieejamību nodrošina vismaz 98 procentu apjomā (mēnesī) no savietojamās sistēmas un valsts platformas noteiktā darbības laika. Savietotāja un valsts platformas pieejamību nodrošina vismaz 99 procentu apjomā (mēnesī) no savietotāja un valsts platformas noteiktā darbības laika.
Iebildums
Šis ir pretrunā ar Ministru kabineta 28.07.2015. noteikumu Nr.442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" prasībām, kur pieejamības līmenis tiek noteikts, balstoties uz sistēmas pieejamības līmeņa vērtējumu atbilstoši minēto noteikumu 7.punktam.
Piedāvātā redakcija
-
9.
Noteikumu projekts
10.1. pilnu savietojamās sistēmas, savietotāja un valsts platformas datu kopiju veido:
Iebildums
Nav skaidrs, kas ietilpst pilnas sistēmas kopijā, jo tās uzbūve nav vienkārša, bet sarežģīta virtuālo serveru un dažāda veida datu uzglabāšanas risinājumu (sql, nosql), lietojumu serveru, virtualizētu tīkla iekārtu (ugunsmūri, balansētāji) un to augstas pieejamības klasteru (dublējošo mezglu un arbitru) kopums. Vai ar pilnu kopiju tiek saprasts tikai datu bāzes/žu saturs jeb dati, vai arī visu/daļēju virtualizēto infrastruktūras elementu kopijas? Nav skaidrs, kādēļ jāveic tik bieža (katru dienu) rezerves kopēšana sistēmu elementiem, kuri nenodrošina datu uzglabāšanu?
Piedāvātā redakcija
-
10.
Noteikumu projekts
10.6. veic pēdējās pilnās rezerves kopijas un tai sekojošo pieauguma kopiju atjaunošanas pārbaudi šo noteikumu 7.6.apakšpunktā minētajā testa vidē ne retāk kā reizi kalendāra gadā.
Iebildums
Testa vide ir pirms produkcijas vide, kurā tiek veiktas noteikti sistēmas funkcionālie un nefunkcionālie testi, bieži vien arī apmācības. Testa vidē nevar tikt atjaunoti un izmantoti reāli fizisko personu un citi sensitīvie dati, līdz ar ko atjaunošanas pārbaude uz testa vidi nav pieļaujama.
Piedāvātā redakcija
-
11.
Noteikumu projekts
11. Sistēmas uzturētājs pastāvīgi veic nepieciešamos savietojamās sistēmas, savietotāja un valsts platformas standarta programmatūras (programmatūra, kura nav izstrādāta speciāli savietojamās sistēmas un savietotāja vajadzībām) jauninājumu uzstādīšanu, nodrošinot programmatūras izstrādātāju rekomendēto procedūru regulāru un pienācīgu izpildi. Pirms jauninājumu uzstādīšanas veic testēšanu šo noteikumu 7.6.apakšpunktā minētajā testa vidē.
Iebildums
Gadījumā, ja sistēmas pārzinis ir nodevis sistēmas uzturēšanu (IKT infrastruktūras pakalpojumi, IS platformas administrēšana, serveru administrēšana) ārpakalpojumā vai funkciju veic cita valsts pārvaldes iestāde, sistēmas uzturētājs nevarēs veikt pilnvērtīgu sistēmas funkcionalitātes testēšanu un pārbaudi, jo tādas kompetences nebūs pieejamas. Šādos gadījumos jānosaka arī prasības sistēmas izstrādātājiem nodoršināt regulāru procedūru piegādi un atbalstu, lai nodoršinātu standarta programmatūras versiju nomaiņu (tostarp atjaunināšanu), pretējā gadījumā sistēmas uzturētājs to vienpersonīgi nevarēs izdarīt.
Piedāvātā redakcija
-
12.
Noteikumu projekts
8.1.4. savietojamās sistēmas, savietotāja un valsts platformas datu pārraides kanālu noslodze (procentos);
Priekšlikums
Monitorings tiek veikts nevis datu pārraides kanālam, bet tīkla interfeisa noslodzei.
Piedāvātā redakcija
-
13.
Noteikumu projekts
10. Sistēmas uzturētājs nodrošina šādu prasību ievērošanu attiecībā uz savietojamās sistēmas, savietotāja un valsts platformas datu rezerves kopiju veidošanu un glabāšanu:
Priekšlikums
Nav saprotams, kādēļ visām savietojamām sistēmām tiek piemērotas vienādas prasības pret rezerves kopēšanu. Katrai sistēmai atkarībā no tās uzbūves un izmantotajām tehnoloģijām var tikt piemēroti dažādi rezerves kopēšanas scenāriji.
Jebkurā gadījumā šī prasība nekādā mērā nenodrošina visu tandēmā esošo sistēmu integritāti.
Jebkurā gadījumā šī prasība nekādā mērā nenodrošina visu tandēmā esošo sistēmu integritāti.
Piedāvātā redakcija
-