Atzinums

52.1  Lai nodrošinātu daudzfaktoru autentifikācijas izmantošanu A klases informācijas sistēmas administratora lietotāja kontam un standarta lietotāja kontam arī piekļūstot no iestādes lokālā tīkla, vēsturiskajām sistēmām, kur šāda funkcionalitāte patlaban nav paredzēta, būs nepieciešami ievērojami finanšu ieguldījumi un jaunas funkcionalitātes ieviešana, kas nav realizējams Labklājības ministrijas un tās padotības iestāžu esošā budžeta ietvaros un 155. punktā noteiktajos termiņos.
Attiecīgi nepieciešams mainīt 155. punktā noteiktajos terminus prasības spēkā stāšanās laiku nosakot 2026. gada 1. aprīli vai izstrādāt pārejas noteikumus, kā arī papildināt anotācijas III sadaļu "budžets" iekļaujot informāciju par nepieciešamajiem papildus finanšu līdzekļiem 100 000 Eur bez PVN apmērā.
 

-

68.punkta prasība nosaka ka, veidojot rezerves kopijas, subjekts nodrošina, ka kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus.

Ir saprotama prasība ietvert izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes, kas ļautu atjaunot sistēmas darbību. Turpretim sistēmā glabāto datu rezerves kopēšana atbilstoši 70. punktā noteiktajam periodiskumam daudzos gadījumos nav lietderīga, jo dati pēc mēneša vai gada jau ir zaudējuši savu aktualitāti un nav izmantojami sistēmas darbības atjaunošanai.  Tāpat noteikt šādu politiku nav lietderīgi un nav vajadzīgs, piemēram, datu noliktavām, kas pēc būtības ir sekundārās datu bāzes. Ņemot vērā sistēmas glabāto datu apjomu, šādu, pēc būtības neizmantojamu datu kopiju uzglabāšana ministrijai un tās iestādēm radīs ievērojamu finansiālu ietekmi.  
Prasības vēsturisko datu uzglabāšanai kontrolējošo iestāžu audita vajadzībām neattiecas uz kiberdrošību tādēļ nevar būt pamatojums prasībām šai noteikumos, bet jānosaka katras konkrētas sistēmas noteikumos, nevis visām sistēmām.

Ņemot vērā ka šādu prasību realizācijai, ja punkta redakcija netiek mainīta, būs nepieciešami ievērojami papildus datu nesēju tilpumi rezerves kopēšanas sistēmās, kas radīs papildus izdevumus un esošā budžeta ietvaros nav realizējams 155. punktā noteiktajos termiņos. Attiecīgi nepieciešams mainīt 155. punktā noteiktajos terminus vai izstrādāt pārejas noteikumus.

Ņemot vērā ka prasības izpildei tās pašreizējā redakcijā Labklājības ministrijai un tās padotības iestādēm pēc sākotnējā novērtējuma katru gadu būs nepieciešami papildus finanšu līdzekļi 100 000 Eur bez PVN apjomā, ja punkta redakcija netiek mainīta, nepieciešams papildināt anotācijas III sadaļu "budžets" iekļaujot informāciju par nepieciešamajiem papildus finanšu līdzekļiem.

Veidojot rezerves kopijas, subjekts nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes.
Informācijas sistēmā glabāto datu rezerves kopēšanas politiku, regularitāti un uzglabāšanas ilgumu subjekts nosaka iekšējos sistēmas drošības noteikumos. A klases sistēmām rezerves kopēšanas politika tiek saskaņota ar IT drošību pārraugošo iestādi.

Ņemot vērā to, ka līdz 2025. gada 1. jūlijam ir atlikuši daži mēneši un vairāku šo noteikumu (tai skaitā 52.1 apakšpunkta prasības par daudzfaktoru autentifikāciju un 68. punkta un 70. punkta prasības par rezerves kopēšānu) prasību izpildei nepieciešami ievērojami papildus finanšu līdzekļi, kas nav paredzēti iestāžu budžetos, kā arī jāveic sistēmu uzlabojumi kas nav relaizējami tik īsā termiņa. Tāpat tik īsā termiņā nav iespējama iekšējo normatīvo aktu (piemēram, Kiberdrošības politikas, IKT resursu un informācijas sistēmu kataloga, Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde) kvalitatīva izstrāde, saskaņošana un apstiprināšana, kā arī darbinieku apmācības un novērtēšana, aizņem būtiskus resursus un varbūt laikietilpīga, mēs rekomendējam šo termiņu aizvietot ar “piemēro no 2026.gada 1.janvāra”.
 

Šo noteikumu 21.–81., 85. un 88. punktā noteiktās prasības piemēro no 2026. gada 1. janvāra.

MK noteikumu projektā ietverto pasākumu īstenošana ir saistīta ar papildu līdzekļu nepieciešamību LM budžetā, tai skaitā:
•            Noteikumu 68.punkta izpildei, ja tā redakcija paliek nemainīta, Labklājības ministrijai un tās padotības iestādēm informācijas sistēmu datu rezerves kopiju uzglabāšanai katru gadu būs nepieciešami papildus finanšu līdzekļi 100 000 Eur bez PVN apjomā.
•            Noteikumu 52.1 punkta izpildei Labklājības ministrijas padotības iestādei divfaktoru autentifikācijas ieviešanai sistēmas administratora lietotāja kontam un standarta lietotāja kontam būs nepieciešami papildus finanšu līdzekļi 100 000 Eur bez PVN apjomā.

Līdz ar to, lūdzam papildināt anotācijas III sadaļu ar attiecīgo informāciju par papildu nepieciešamo finansējuma apmēru LM noteikumu projektā ietverto pasākumu īstenošanas nodrošināšanai un to, ka jautājums par papildu līdzekļu nepieciešamību skatāms Ministru kabinetā likumprojekta par valsts budžetu kārtējam gadam un budžeta ietvaru kārtējam un turpmākajie gadiem sagatavošanas un izskatīšanas procesā kopā ar visu ministriju un centrālo valsts iestāžu iesniegtajiem prioritāro pasākumu pieteikumiem atbilstoši attiecīgā gada valsts budžeta finansiālajām iespējām.

-

Ņemot vērā pašreizējās noteikumu projekta punktu 17., 18., 19. un 20. prasības, ņemt vērā faktu, ka dažos no nozaru resoriem, var nebūt pietiekamas cilvēkresursu kapacitātes, tāpēc minēto prasību izpilde izdara gan finansiālu ietekmi (papildus nepieciešamo štata vietu izveide un izmaksas), gan laika ietekmi (papildus nepieciešamā cilvēkresursu piesaiste un pieņemšana darbā) minēto punktu prasību izpildē.

-