Atzinums

Nosakot subjektu pienākumu noteikt kiberdrošības pārvaldnieku līdz 1. oktobrim, iepriekš neveicot kopējo visu subjektu esošās situācijas izvērtējumu, kā arī uzliekot noteikumos ietvertās prasības atbilstoši 11.5., 12.3. un 13.3. punktam, pastāv risks, ka līdz minētajam termiņam daļa subjektu nespēs noteikt pārvaldnieku.Subjekti, tā vietā, lai primāri koncentrētos uz informācijas un komunikācijas tehnoloģiju drošības nodrošināšanu un pārvaldības pasākumiem, faktiski nodarbosies ar to ka tiks meklēta amata vieta un persona, kas atbilst prasībām, kā arī meklēs finansējums un nepieciešamības gadījumā arī veidu kā nodrošināt apmācības (tajā skaitā arī sertifikātus), pirms noteikt pārvaldnieku, lai tālāk varētu veikt viņa pārbaudi un uzsākt īstenot noteikumos minētās prasības, šis process tā lēnākajā formā var aizņemt ievērojamu laika periodu. Attiecīgi minimālās prasības to pirmajā solī daļai subjektu var nebūt izpildāmas, līdz ar to traucēta visu pārējo prasību izpilde.
Ņemot vērā, ka noteikumi noteic „minimālās kiberdrošības prasības”, kā arī noteikumu būtību, noteikumos būtu jānosaka vienotas minimālās prasības visiem subjektu pārvaldniekiem, lai nerastos situācija kad minimālajos noteikumos faktiski tiek iestrādāts regulējums kur atsevišķās prasībās augstāku/stingrāku regulējumu subjekts noteikt vairs īsti nevar, tas ir pretrunā noteikumu pamatdomai un būtībai. Augstāku prasību noteikšana ir jāatstāj subjektu pārziņā, ja subjekts to atzīs par nepieciešamu.

11.5., 12.3. punktu regulējumu salāgot ar 13.3. punktā noteikto regulējumu. 17. un 18. punktu no noteikumiem svītrot.

Lūdzam anotācijā skaidrot šīs normas kopsakaru ar darba likuma 44.un 45.pantā paredzēto par darba līguma slēgšanu uz noteiktu laiku un šāda darba līguma termiņa pagarināšanu, kā arī to, ka pēc noteikta laika jebkurš terminētais darba līgums uzskatāms par pastāvīgu. Iestādēm ar lielu valsts IS skaitu, kiberdrošības pārvaldnieka pienākumus nav iespējams uzdot pildīt kā papildu pienākumus.

-

Lūdzam anotācijā skaidrot šīs normas praktiskās realizācijas iespējas, īpaši gadījumiem, ja esošais kiberdrošības pārvaldnieks pārtrauc darba attiecības, bet jaunais kandidāts nav zināms. Lūdzam precizēt normu, paredzot, ka šādos gadījumos informācija SAB paziņojama pēc kandidāta izvēles.

-

Lūdzam papildināt anotāciju un Ministru kabineta protokollēmumu ar informāciju par iestāžu nepieciešamajiem resursiem šo noteikumu īstenošanai. Tā, piemēram,45., 115. un .160.punktā noteikto uzdevumu izpildei Pilsonības un migrācijas lietu pārvaldei nepieciešamas papildu vismaz 3 amata vietas, ņemot vērā PMLP pārziņā esošo informācijas sistēmu daudzumu. Šobrīd PMLP līdzīgus pienākumus veikuši darbinieki kā papildus pienākumus, tomēr, ņemot vērā aizvien pieaugošo šo uzdevumu nozīmību un darbiniekiem izvirzītās prasības, ir jāparedz atbilstošu amata vietu noteikšana. Ņemot vērā PMLP pārziņā esošo informācijas sistēmu daudzumu un iepirkumu regularitāti gan esošo informācijas sistēmu pilnveidošanai, gan jaunu IS izveidei, nepieciešama amata vieta, kura spēs nodrošināt dalību ar šīm IS saistītajos iepirkumos. PMLP ieskatā šos ienākumus nevar uzticēt kiberdrošības pārvaldniekam, darba apjoma dēļ. 3 amata vietu nodrošināšanai, PMLP 2025.gadā nepieciešams finansējums 92 401 eiro, 2026.gadā 194 503 eiro, 2027.gadā 204 015 eiro, 2028.gadā un turpmāk 210 582 eiro apmērā (Informācijas sistēmu drošības pārvaldnieks, 21.7 III amata saime, 12.mēnešalgu grupa).

-

Pēc būtības jebkura IS vai tīmekļa vietne (informācijas resurss) ir pievienota iekštīklam, bet vienlaicīgi vairākām IS vai tīmekļa vietnēm ir jābūt sasniedzamām no publiskā tīkla (piemēram, to lieto visas pašvaldības vai vairāki simtiem iestāžu/uzņēmumu vai tai ir jābūt pieejamai no mobilajām iekārtām, vai internetam pieslēgtas mobilās iekārtas iesūta strukturētus datus, u.t.l.), līdz ar ko pielietojot ugunsmūrus un starpniekserverus (55.7. punkta prasība) šāda piekļuve no "ārpuses" tiek nodrošināta. Savukārt šobrīdējā 55.8 punkta redakcija pēc būtības liedz aprakstīto konfigurāciju (55.7) un nosaka, ka obligāti jālieto VPN risinājumi, kas nav paredzēta, lai nodrošinātu masveida lietotāju piekļuvi no publiskā tīkla ("ārpus iekšējā tīkla") vai no ļoti liela skaitā "ārējo" privāto tīklu. Lūdzam precizēt prasības būtību. Paredzam, ka ar šo bija vēlme noteikt Remote Access VPN vai Client -baset VPN izmantošanas scenārijus piekļuvei informācijas resursiem, kuru biznesa prasības neparedz izmantošanu ārpus organizācijas iekšējā tīkla. Bet vai lietot informācijas resursu tikai iekštīklā vai arī no ārējiem tīkliem ir katras iestādes risku izvērtēšanas jautājums, te nevar noteikt obligātu VPN tehnoloģijas pielietošanu.

-

Nav skaidrs ko tieši ar šo prasību ir plānots ierobežot. Vai to, ka ārpakalpojuma sniedzējam nevar būt sava izstrādes vide? Lielākiem izstrādes projektiem, tā ir neizpildāmā un neloģiska prasība, jo programmatūra tiek izstrādāta pa komponentēm (it sevišķi mikrosegmentētās platformās) un ir vairākas pirms produkcijas vides, tostarp izstrādātāja veidotas kvalitātes kontroles u.c. vides. Ja paredzēts, ka visa izstrādes vide ir pārceļama uz pasūtītāja infrastruktūru, tas būs papildu apjomīgs resursu patēriņš un administratīvais slogs šādas vides izmitināt.
Iespējams ar šo prasību bija paredzēts liegums izstrādātājiem piekļūt pie produkcijas vides? Bet nevajadzētu ierobežot ar vienu pirms produkcijas vidi. Lūdzam precizēt prasību.

-

Lūdzam anotācijā paredzēt nepieciešamo finansējumu auditu veikšanas nodrošināšanai, ņemot vērā, ka vienas iestādes pārziņā ir vairākas informācijas sistēmas. Attiecīgi vienai iestādei šādas auditu veikšanas izmaksas var sastādīt līdz pat ap 500 000 eiro.
 

-

Lūdzam precizēt normu, nosakot saprātīgu termiņu noteikumu prasību ieviešanai. Ņemot vērā noteikumu projektā paredzēto darbu apjomu, 6 mēneši ir acīmredzami nepietiekams termiņš šo prasību pilnvērtīgai nodrošināšanai.

-