Atzinums

Ievērojot to, ka attiecībā uz informācijas sistēmām Valsts informācijas sistēmu likumā netiek piemēroti termini, kas noteiktu informāciju sistēmu īpašniekus vai valdītājus, lūdzam svītrot vārdus "savā īpašumā vai valdījumā esošās" vai izmantot Valsts informācijas sistēmu likumā lietotos terminus - sistēmas pārzinis vai turētājs.

-

Precizēt Projektu vai tā 3. punktu , jo Projekta 3.punktā tiek izmantots "turējumā vai valdījumā", bet citos punktos tiek izmantots "īpašumā vai valdījumā". 

-

Noteikumu projekta būtība liecina, ka VRS valsts informācijas sistēmām būtu jāatrodas Drošajā datu centrā, taču tā kā ir prasība, ka vienlaicīgi ir jābūt izpildītiem visiem apakšpunktos (6.1-6.3) minētajiem nosacījumiem, tad VRS valsts informācijas sistēmas šobrīd neizpilda 6.3 apakšpunktu, jo nav pieejamas izmantojot publisko interneta tīklu. 
Iespējams ir precīzāk jāpaskaidro, kas ir domāts ar publisko interneta tīklu - vai sistēmas, kurām pieslēdzas lietotāji no publiskām IP adresēm, vai sistēmas, kuras ir ierobežoti pieejamas no fiksētām publiskām IP adresēm, piemēram, citas iestādes VPN savienojums, vai arī 6.3. neattiecas tikai uz sistēmām, kuras ir pilnībā izolētas no publiskā tīkla puses. 

-

Saskaņā ar Ministru kabineta 2012. gada 11. decembra noteikumiem Nr. 839 “Nodrošinājuma valsts aģentūras nolikums” Nodrošinājuma valsts aģentūra nodrošina nekustamo īpašumu, kas nodoti iestāžu lietošanā, pārvaldīšanu un apsaimniekošanu. Nekustamo īpašumu pārvaldīšana un apsaimniekošana Nodrošinājuma valsts aģentūras darbības tvērumā aptver nekustamo īpašumu un tajā esošo telpu uzturēšanu kārtībā (piemēram, defektu novēršana, uzkopšanas pakalpojumu nodrošināšana, būvdarbu veikšana, apsardzes sistēmu nodrošināšana visam nekustamajam īpašumam kopumā), komunālo pakalpojumu nodrošināšana, kā arī konkrētu prasību nodrošināšana saskaņā ar Būvniecības likuma 9. pantā noteikto (piemēram, ugunsdrošība). Pamatā Ministru kabineta noteikumu projekts “Informācijas sistēmu izvietošanas un datu centru drošības prasības” (turpmāk – noteikumu projekts) Iekšlietu ministrijas resora ietvaros būtu attiecināms uz Iekšlietu ministrijas padotības iestādi – Iekšlietu ministrijas Informācijas centru, jo tas ir atbildīgs par un uztur iekšlietu resora informācijas sistēmas. Vienlaikus ir gadījumi, kad Iekšlietu ministrijas resora iestāde informācijas sistēmu pārvalda un uztur pati (piemēram, Pilsonības un migrācijas lietu pārvaldes valdījumā un pārraudzībā ir Personu apliecinošu dokumentu informācijas sistēma), taču nekustamais īpašums (tā telpas), kas nodotas bezatlīdzības lietošanā iestādei, pieder Iekšlietu ministrijai un tās pārvalda Nodrošinājuma valsts aģentūra, vai attiecīgi Nodrošinājuma valsts aģentūra telpas nomā. Ar noteikumu projektu tiek paredzētas specifiskas prasības infrastruktūrai, kurā tiek turētas subjekta īpašumā vai valdījumā esošās informācijas sistēmas. Norādām, ka Nodrošinājuma valsts aģentūrai kā nekustamā īpašuma telpu pārvaldniekam, nav jānodrošina infrastruktūras, kurā tiek uzturētās subjekta īpašumā vai valdījumā esošās informācijas sistēmas, pielāgošana noteikumu projekta prasībām, bet tas būtu jādara konkrētās informācijas sistēmas valdītājam, turētājam. Vienlaikus šajā gadījumā visi infrastruktūras pārbūves, pielāgošanas, uzlabošanas darbi, t.sk. arī komunikāciju izbūve/pārbūve, ir jāsaskaņo ar nekustamā īpašuma (telpu) pārvaldnieku, proti, Nodrošinājuma valsts aģentūru, un jāvienojas par to, kas šos darbus veiks, un jānodrošina finansējums darbu veikšanai. Ņemot vērā minēto, lūdzam precizēt noteikumu projektu, nosakot, ka gadījumā, ja infrastruktūra, kurā tek uzturētas subjekta īpašumā vai valdījumā esošās informācijas sistēmas, atrodas citas iestādes īpašumā vai pārvaldīšanā, infrastruktūras pielāgošanu atbilstoši noteikumu projekta prasībām veic pats informācijas sistēmas valdītājs, un papildināt noteikumu projektu anotāciju ar iebildumā aprakstītās situācijas skaidrojumu un rīcību šādā situācijā.
 

-

Vēršam uzmanību, ka tiesību normai ir jābūt skaidrai un saprotamai, lai tās lietotājs un piemērotājs gūtu nepārprotamu priekšstatu par savām tiesībām, pienākumiem un juridiskām sekām, precizēt projekta 25.punktu, norādot termiņu, kādā datu centra operatoriem ir jābrīdina savu datu centra klientus par datu centra izslēgšanu no Drošo datu centra reģistra

-

1.pielikuma 7.7.punktam ("7.7. informāciju par kabeļiem un savienojumiem ir un tiek uzturēta aktuālā datu bāzē vai reģistrā") nepieciešams detalizētāks skaidrojums vai apraksts, kas noteiktu, kāda informācija ir nepieciešama par kabeļiem un ar kādu mērķi ir nepieciešams veidot šo reģistru.

No projekta 2.pielikuma 6.3.2.apakšpunkta izriet, ka personāls, pirms pieņemšanas darbā, tiek pārbaudīts kompetentās iestādēs par iespējamu nedzēstu sodāmību. Savukārt no projekta 2.pielikuma 6.4.2.apakšpunkta izriet, ka regulārās darbinieku drošības pārbaudes ietvaros veic sodāmības statusa izvērtēšanu (atkārtoti pārbauda darbinieka sodāmības statusu kompetentās iestādēs, ja tas ir nepieciešams amata specifikas vai drošības prasību dēļ).
Norādām, ka ziņas par personu izdarītajiem administratīvajiem pārkāpumiem tiek uzkrātas valsts informācijas sistēmā “Sodu reģistrs”, kura izveidošanas mērķis ir vienotās uzskaites izveide par administratīvos pārkāpumus izdarījušām personām, lai veicinātu šo pārkāpumu novēršanu un atklāšanu, kā arī par tiem personai noteiktā soda izpildes un tiesību ierobežojumu kontroli. Sodu reģistra likuma 2.pantā norādīts, ka valsts informācijas sistēmas “Sodu reģistrs” pārzinis ir Iekšlietu ministrijas Informācijas centrs.
No kā secināms, ka Iekšlietu ministrijas Informācijas centrs ar likumu ir noteikts par oficiālo iestādi Latvijas Republikā, kas veic sodāmības datu (sodāmības reģistra) apstrādi, tajā skaitā izsniegšanu.
Ņemot vērā minēto, precizēt projekta 2.pielikuma 6.3.2. un 6.4.2.apakšpunktu.

Precizēt projektu lietojot jēdzienu "datu centri" vienskaitlī, ņemot vērā, ka vairākos projekta punktos, piemēram, 10., 11., 12. un 13., ir norādītas prasības datu centriem, proti, tiek saprasts, ka šīs prasības attiecas uz vairāku datu centru kopskaitu, nevis uz vienu konkrētu datu centru. Kā uzskatāmākais punkts ir projekta 10. punkts, kurā noteikts, ka datu centru atbilstību  par datu centru drošības prasību līmeni apliecina sertifikāti, kas norādīti projekta 3. pielikumā. Tādējādi šis punkts var tikt interpretēts tā, ka, "savācot" visus sertifikātus, kas norādīti projekta 3. pielikumā, tiek apliecināta visu datu centru atbilstība šo noteikumu drošības prasībām, nevis tikai viena datu centra atbilstība.

-

Svītrot norādē uz noteikumu izdošanas tiesisko pamatu pirmo punktu.

-

Precizēt norādi par noteikumu izdošanas tiesisko pamatu, jo Nacionālās kiberdrošības likuma 30. panta pirmajā daļā nav sniegts pilnvarojums Ministru kabinetam noteikt attiecīgo kārtību.

-

Precizēt Projekta 3. un 6. punktu atbilstoši Ministru kabineta 2009. gada 18. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 123. punktam, kur noteikts, ka terminu skaidrojumu ietver noteikumu projekta 2.punktā, katru terminu skaidrojot atsevišķā apakšpunktā.

-

Izteikt projekta 7.2. apakšpunktu šādā redakcijā: "7.2. subjekts vai tā pilnvarotā persona apstiprina un regulāri atjauno sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām.". Attiecīgie precizējumi nepieciešami, lai nodrošinātu efektīvu un drošu piekļuves kontroli IKT aparatūras telpām, nodrošinot ne tikai saraksta esību, bet tā regulāru atjaunošanu. Jēdziens "regulārs" ir izvēlēts, lai nodrošinātu, ka piekļuves saraksts tiek nepārtraukti atjaunināts un atspoguļo aktuālo situāciju.
Papildus, lūdzam izvērtēt apakšpunkta papildināšanu ar vārdiem "Piekļuve tiek kontrolēta ar atbilstošiem piekļuves mehānismiem." lai nodrošinātu, ka piekļuve IKT aparatūras telpām tiek efektīvi ierobežota un uzraudzīta, ne tikai balstoties uz saraksta apstiprināšanu.

-

Precizēt projekta 20. punktu, ņemot vērā Ministru kabineta 2009. gada 18. februāra noteikumus Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.1. apakšpunktu, kurā ir noteikts, ka normatīvā akta teksts jāformulē lakoniski.

-

Papildināt projekta 25. punktu ar terminu, kādā datu centru operatoriem ir pienākums brīdināt savus datu centru klientus, ja to datu centrs ir izslēgts no Drošo datu centru reģistra, nosakot konkrētu laika periodu, kurā šāds brīdinājums jānosūta.

-

Precizēt projekta 37. punktu vai arī apvienot 36.1. apakšpunktā, pēc līdzības ar projekta 36.2. apakšpunktu. Jo šobrīd punkts nav saprotams un ar tajā ietverto atsauci uz projekta 36.1. apakšpunktu ir pretrunā projekta 36.1. apakšpunktam.  
 

-

Aicinām paredzēt noteikumos regulējumu noteikumos paredzēto prasību izpildei situācijās, kad subjekts savā īpašumā vai valdījumā esošās informācijas sistēmas uztur savā infrastruktūrā, bet telpas, kurās atrodas šī infrastruktūra, atrodas citas personas īpašumā, kuram faktiski ir jānodrošina noteikumu 1.pielikumā paredzēto prasību ievērošana, piemēram, attiecībā uz ēkas fiziskās drošības,  elektroapgādes , ugunsdrošības u.c. nodrošināšanu.
 

-