Atzinums

Precizēt, kas ir atzīstams par derīgu izglītību, kā arī kas tiek uzskatīts par darba pieredzi kiberdrošības pasākumu plānošanā un īstenošanā (ja personai nav starptautiski atzītu sertifikātu (piemēram, CISM, CISSP), kas tiek uzskatīta par citu saistīto jomu augstākās vai vidējās profesionālās izglītības jomā (jo Latvijā nav iespējams iegūt augstāko izglītību kiberpārvaldības jomā). Ņemot vērā to, ka visām Nacionālās kiberdrošības likumā noteiktajām iestādēm pārvaldnieks būs jāatlasa, ir jābūt ļoti skaidrām vadlīnijām.

-

Noteikt termiņu, kurā SAB jāsniedz atzinums.
Lai paspētu veikt pārvaldnieka atlases procesu likumā paredzētajā termiņā, subjektam ir jāzina, vai iespējamo kandidātu, kuram ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonība, paspēs apstiprināt SAB

-

Precizēt "lietošanā" tvērumu.
Subjekti var lietot arī citu iestāžu un komersantu uzturētas IS, kurām nevar ietekmēt nedz rezerves kopiju veidošanu, nedz auditācijas pierakstu vākšanu, darbības atjaunošanu u.c, ko nosaka citi šo noteikumu punkti.
 

-

Lūgums skaidrot 19.punkta un 20. punkta prasības realizāciju, ja Subjekts lietošanā esošu IS klasificē augstāk, nekā tās turētājs un atbilstoši 20.punktā noteiktajam neizdodas saskaņot klasifikāciju.
 

-

Formulējums nepasaka, kas ir subjekts. Kā arī formulējums nosaka, ka "Subjekti" - ir subjekts, kas vienlaicīgi (!)ir gan būtisko, gan svarīgo pakalpojumu sniedzējs, gan IKT kritiskās infrastruktūras īpašnieks un tiesiskais valdītājs.
Rada pārpratumus, ka Noteikumi attiecas uz  "kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem", savukārt,  tie kas ir tikai "kritiskās infrastruktūras īpašnieki", bet nav valdītāji - neskar.

Ierosinam noteikt, ka katrs atseviķi (būtisko pakalpojumu sniedzējs / svarīgo pakalpojumu sniedzējs / kritiskās infrastruktūras īpašnieks / kritiskās infrastruktūras tiesiskais valdītājs) var būt šo noteikumu subjekts.

1.1. minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem, informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi - subjekts);

Lietot terminus, lai tie veido vienādu definējumu un izpratni informācijas tehnoloģiju nozares normatīvajos aktos, piemēram, bet ne tikai ar Valsts informācijas sistēmu likumu https://likumi.lv/ta/id/62324  (informācijas sistēmas termins). 

-

Lūgums skaidrot, vai papildināt ar normatīvo regulējumu par atbistoši 7. punkta prasībām noziņotā kiberdrošības pārvaldnieka aizvietošanu tā prombūtnē – piemēram, 3 nedēļu atvaļinājums, ilgstoša slimības lapa utt.
Piedāvājam aizvietotājam arī iziet noteikto drošības/atbilstības pārbaudi MK noteikumos noteiktajā kārtībā.

-

Papildināt ar informāciju, kā nodrošināt kiberdrošibas pārvaldnieka pozīciju, izmantojot ārpakalpojumu? Vai ir iespējams slēgt līgumu ar juridisku personu, bet kā pārvaldnieku norādīt šīs juridiskās personas darbinieku u.c. precizējumus.   

-

C kategorijas sistēmām ne vienmēr nepieciešama rezerves IKT infrastruktūra. Priekšlikums noteikt punktu varbūtības formā vai noteikt to tikai A un B kategorijas sistēmām un pieguļošajai infrastruktūrai.

26.2. paredz rezerves IKT resursus A un B kategorijas sistēmu darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);

Lūgums precizēt 39.6. punktu “ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;” punktā vārdu “un” aizstāt ar “vai”, jo fiziski nodalīt tīklu iestādēm būs nepieciešami ļoti lieli finanšu resursi.

ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;

Priekšlikums  iekārtas, kas nav paredzēta tiešai lietotāju izmantošanai, atdalīt ar virtuālu vai fizisku tīklu.

39.7. tīkla iekārtas un cita aparatūra, kas nav paredzēta tiešai lietotāju izmantošanai, ir loģiski atdalīta, izmantojot atsevišķus virtuālos vai fiziskus tīklus, nodrošinot tai piekļuvi tikai pilnvarotam IKT personālam;

Lūgums precizēt 42. punktu “Informācijas sistēmas auditācijas pierakstos fiksē IKT notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, IP adresi, no kuras veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).” Palašinot tevērumu ar “vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru, un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība” nenosakot IP adresi, kā obligātu lauku, jo no mobilajām iekārtām var iegūt IEM kodu, kas unikāli identificē iekārtu no kuras slēdzies.

Informācijas sistēmas auditācijas pierakstos fiksē IKT notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, IP adresi, no kuras veikta darbība vai citu iekārtas unikālu identifikatoru, kas kombinēts ar lietotāja identifikatoru, un ļauj nepārprotami identificēt iekārtu un lietotāja kontu, no kura veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).

Precizēt nodarbināto loku, kam jāzina šie kontakti. Šāda informācija būtu nepieciešama datu centru pārvaldībā iesaistītajam personālam. No punkta redakcijas “nodarbinātajiem” tvērums ir neskaidrs.

-

Precizēt, vai subjekta pieprasījums pēc skenēšanas arī tiek vērtēts pēc 106. punkta kritērijiem, vai ir ierobežots pieprasījumu skaits, biežums, kādas ir SAB atteikuma tiesības?
 

-

Vēl ir saglabājies iepriekšējais VARAM nosaukums, jāmaina uz esošo “Viedās administrācijas un reģionālās attīstības”

Ja subjekts, kurš ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē viedās administrācijas un reģionālās attīstības ministru.