Atzinums

Nosakot statusu vismaz informācijas dienesta vajadzībām, visam kiberdrošības pārvaldības dokumentu kopumam, tiks apgrūtinās iesaistīto personu ikdienas darbs, piemēram, piekļuve Kiberdrošības politikai vai informācijas sistēmu katalogam. Lūdzam precizēt redakciju un noteikt kuriem dokumentiem noteikt statusu informācija dienesta vajadzībām.

-

Lūdzam papildināt noteikumu projektu ar pielikumu, kurā iekļauta minimālā informācija, kas ir jāuzskaita par katru informācijas sistēmu katalogā, lai nerastos domstarpības par noteikumu izpildi. Noteikumu projekta anotācijā ir norādīts piemērs, no kura nav saprotams - tas ir tikai piemērs, vai tās ir minimālās prasības kataloga uzskaitei.

-

Iebilstam, ka atbildīgajam par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu izstrādi, jāatbilst 12.6. apakšpunkta prasībām. Iestādes rīcībā nebūs tik daudz speciālistu ar atbilstošu kvalifikāciju.

46. Šo noteikumu 45. punktā minētās personas atbilst attiecīgi šo noteikumu 12. (izņemot 12.6.apakšpunktā), 16. un 17. punktā noteiktajām prasībām.

Nepieciešams precizēt 3. pielikumu. 3. pielikums ir paziņojuma par kiberdrošības pārvaldnieku veidlapa.
Noteikumu projekta 47.punkta redakcija rada iespaidu, ka runa ir par kiberdrošības pārvaldnieku, par kuru jau ir regulējums noteikumu projekta 11. punktā.

47. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pirms šo noteikumu 45. punktā minēto personu noteikšanas, nosūta Satversmes aizsardzības birojam uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu atbildīgajām personām (3.pielikums).

Iebilstam, ka atbildīgajam par žurnālfailu pārvaldību, jāatbilst noteikumu projekta 12.6. apakšpunkta prasībām. Iestādes rīcībā nebūs tik daudz speciālistu ar atbilstošu kvalifikāciju.

70. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka par žurnālfailu pārvaldību atbildīgo personu, kas atbilst šo noteikumu 12. punktā (izņemot 12.6.apakšpunktā) noteiktajām prasībām.

Lūdzam svītrot šo punktu, jo neredzam būtisku risku, kas rodas apvienojot žurnālfailu pārvaldību atbildīgo personu un kibedrošības pārvaldnieku, sevišķi nelielas organizācijas ietvaros.

-

Noteikumu projekta 72. punkta redakcija rada iespaidu, ka runa ir par kiberdrošības pārvaldnieku, par kuru jau ir regulējums noteikumu projekta 11. punktā.

72. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pirms šo noteikumu 70. punktā minēto personu noteikšanas, nosūta Satversmes aizsardzības birojam uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par žurnālfailu pārvaldību personām (3.pielikums).

Iebilstam, ka atbildīgajam par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu, jāatbilst noteikumu projekta 12.6. apakšpunkta prasībām. Iestādes rīcībā nebūs tik daudz speciālistu ar atbilstošu kvalifikāciju.

84. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu, kas atbilst šo noteikumu 12. punktā (izņemot 12.6.apakšpunktā) noteiktajām prasībām.

Noteikumu projekta 86. punkta redakcija rada iespaidu, ka runa ir par kiberdrošības pārvaldnieku, par kuru jau ir regulējums noteikumu projekta 11. punktā.

86. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, pirms šo noteikumu 77. punktā minēto personu noteikšanas, nosūta Satversmes aizsardzības birojam uz tā oficiālo elektronisko adresi, elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu veidlapu par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgām personām (3.pielikums).

Visas prasības, kas ir jāievēro ārpakalpojuma sniedzējam un tā darbiniekiem, jābūt iekļautām līgumā. Papildu ārpakalpojuma sniedzēja darbinieku, kas ir iesaistīti līguma izpildē, instruktāžas pirms līguma izpildes uzsākšanas, radīs lielu slogu kiberdrošības pārvaldniekam. Lūdzam pārskatīt paredzēto regulējumu.

-

Nav saprotams, pēc kāda kritērija noteikumu projekta 101.punkta apakšpunktos paredzētās prasības ir/nav attiecināms uz tehnisko specifikāciju. Ja domāts, ka uz tehnisko specifikāciju prasības nav attiecināmas, ja ārpakalpojuma saņemšanai netiek piemēroti publisko iepirkumu jomu reglamentējošie normatīvie akti, lūdzam atbilstoši precizēt punkta ievaddaļas redakciju.

-

Lūdzam precizēt, kāda rīcība subjektam jāsagaida no ārpakalpojuma sniedzēja, ar kādu regularitāti. Vēršam uzmanību, ka, atbilstoši noteikumu projekta 115.punktam, apakšuzņēmēju atbilstība šajos noteikumos noteiktajām prasībām jau tiek pārbaudīta pirms iesaistes līguma izpildē.
Lūdzam skaidrot vai prasība attiecas uz pilnīgi visiem ārpakalpojuma izpildē iesaistītajiem apakšuzņēmējiem vai arī tikai uz apakšuzņēmējiem Publisko iepirkumu likuma izpratnē. Lūdzam atbilstoši precizēt redakciju.

-

Lūdzam precizēt, ka šādā gadījumā ir nevis tiesības, bet pienākums pārtraukt ārpakalpojuma līgumu, jo subjekta rīcībā nebūs informācija, pēc kuras varētu izvērtēt, vai konkrētajā gadījumā izbeigt vai neizbeigt ārpakalpojuma līgumu.

-

No piedāvātās noteikumu projekta 101.4.apakšpunkta redakcijas nav skaidrs, kura tīklam vai informācijas sistēmai (ārpakalpojuma sniedzēja vai subjekta) šīs pārbaudes jāveic un kas šī pārbaudes veic. Lūdzam precizēt redakciju.

-

Lūdzam precizēt noteikumu projekta 106.punkta redakciju, novēršot pretrunu ar noteikumu projekta 104.punktā paredzēto, konkretizējot, vai atbildīgs ir subjekts vai pakalpojuma sniedzējs.

-

Lūdzam precizēt atbildīgās personas kompetenci atbilstoši tiesību akta tvērumam, proti, paredzot, ka ārpakalpojuma līgumā nosaka atbildīgo personu par līguma izpildes uzraudzību vispār, ne tikai kiberdrošības jomā.

-

Lūdzam neattiecināt šo prasību uz darba uzdevumiem, kas tiek slēgti tādu vispārīgo vienošanos ietvaros, kuras noslēdzot jau sākotnēji ir veiktas noteikumu projekta 110. un 111.punktā noteiktās pārbaudes. Šobrīd ietvertā prasība paredz atkārtoti veikt vienas un tās pašas pārbaudes un nesamērīgi paildzina darba uzdevuma noslēgšanas procesu.

-

Nav saprotama noteikumu projekta 130.punkta un tā apakšpunktu redakcija un noteiktās atbildības, lūdzam noteikt kuram subjektam nepieciešams veikt noteikumu projekta 130. punkta apakšpunktu minētās darbības.

130. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs norīko par IKT kritiskās infrastruktūras drošību atbildīgo personu, kura:
130.1. vienlaikus ir arī konkretā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieks;
130.2. izstrādā darbības nepārtrauktības plānu valsts apdraudējuma gadījumam atbilstoši šo noteikumu 8. pielikumam;
130.2. norīko par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam atbildīgo personu un nosaka tās uzdevumus. Atbildīgā persona sadarbībā ar nozares ministriju un Aizsardzības ministriju sagatavo un regulāri aktualizē darbības nepārtrauktības plānu valsts apdraudējuma gadījumam.

Lūdzam papildināt noteikumu projekta 56.1.apakšpunktu ar izņēmumu, ka  standarta lietotājiem 2faktoru autentifikācija ir obligāta tikai pieslēdzoties attālināti. Lai pievienotu 2faktoru autentifikāciju uz vēsturiski izstrādātām sistēmām, veidosies būtiska finansiālā ietekme.
 

56.1. A klases informācijas sistēmas administratora lietotāja kontam un standarta lietotāja kontam, pieslēdzoties attālināti;

Lūdzam izvērtēt vai ir pareizi norādīta atsauce uz 112 punktu, jo prasības uzskaitītas 111.punktā.

ja ārpakalpojuma sniedzējs  tehniskā resursa iegādei atbilst šo noteikumu 111. punktā noteiktajām prasībām,

Lūdzam izvērtēt vai ir pareizi norādīta atsauce uz 112 punktu, jo prasības uzskaitītas 111.punktā.

ja ārpakalpojuma sniedzējs pakalpojuma sniegšanai atbilst šo noteikumu 111. punktā noteiktajām prasībām un ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts pilsonis.

Lūdzam izvērtēt punkta lietderību, jo arī saņemtā surogātpasta vēstule var tikt uzskatīta par incidentu. Un ja to dienā ir 300, vai 500? Vai pārāk liels nenozīmīgas informācijas apjoms neietekmēs Kiberdrošības centra darbspējas.

-

Lūdzam precizēt anotācijas 3. sadaļas punktā “Cita informācija” norādīto atsauci uz noteikumu projekta 6. nodaļas 92. punktu, jo papildu prasības kiberincidentu novēršanas institūcijām ir noteiktas noteikumu projekta 136. punktā.
 

-