Atzinums

Daudzfaktoru autentifikācijas (multi-factor authentication) ieviešana visām B klases sistēmām var radīt nesamērīgi lielas izmaksas un atsevišķos gadījumos nebūs tehniski realizējama. Prasība būtu piemērojama tikai pieslēdzoties no ārēja tīkla. 

B klases informācijas sistēmas administratora lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla un  attālinātai piekļuvei netiek izmantots šifrēta virtuālā privātā tīkla (VPN) risinājums ar daudzfaktoru autentifikāciju;

Gadījumā, kad piekluvei lokālajam tīklam jau izmanto šifrēta virtuālā privātā tīkla (VPN) ar daudzfaktoru autentifikāciju (multi-factor authentication) risinājumu, nebūtu lietderīfgi prasīt atkārtotu divfaktoru autentifikāciju pieslēdzoties sistēmām. 

B klases informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla un 
šai piekļuvei netiek izmantots šifrēta virtuālā privātā tīkla (VPN) risinājums ar daudzfaktoru autentifikāciju;

Konkrētais noteikumu punkts rada būtiskus šķēršļus valsts pārvaldes IKT centralizācijas centieniem (sīkāk. sk.: https://www.varam.gov.lv/lv/ikt-arhitekturas-vadlinijas ), piemēram, bet ne tikai Ministru kabineta 2013.gada 19.februāra rīkojumā Nr.57 "Par koncepciju "Valsts informācijas un komunikācijas tehnoloģiju pārvaldības organizatoriskais modelis"" noteiktā ieviešanai, vai jau ieviestām aktivitātēm, kur cita starpā, resors centralizējot nozares IKT - ir optimizējis, vai plāno optimizēt cilvēkresursus, tostarp atbildīgos ekspertus par IKT un kiberdrošības jautājumiem, kā rezultātā ir neizbēgama situācija, ka viens eksperts pilda (var pildīt) IKT kritiskās infrastruktūras kiberdrošibas pārvaldnieka lomu. Minētā punkta izpilde rada/var radīt ietekmi uz jau ieplānotajiem resoru/centralizācijas iestāžu budžetiem (jāveido papildus štata vietas, jāatrod un jāpiesaista trūkstošie eksperti).

Ierobežojums var radīt problēmas piesaistīt augstas klases kiberdrošības speciālistus, kas nevēlēsies šādi ierobežot savas iespējas izmantot iegūtās zināšanas un kvalifikāciju. Rezultātā var iegūt situāciju kad par kritiskās infrastruktūras kiberdrošības pārvaldnieku strādās ne tie paši labākie speciālisti.

Dzēst punktu.

Konkrētais noteikumu punkts rada ietekmi uz  iestāžu budžetiem (IKT kritiskās infrastruktūras īpašniekam nav/var nebūt vēl papildus kompetenta kiberdrošības eksperta IKT darbības nepārtrauktības plāna izstrādei, pārskatīšanai un aktualizēšanai, kā arī plānā ietverto pasākumu īstenošanai, kas rada/var radīt nepieciešamību veidot papildus štata vietas un nepieciešamību piesaistīt trūkstošo ekspertu, lai nodrošinātu izvirzīto prasību). Papildus ar prasību no noteikumu 18.punkta - kurš nosaka konkrētu IKT kiberdrošības pārvaldnieka piesaisti tikai vienam subjektam, tas 45.punkta prasības nodrošināšanu padara iestādēm vēl sarežģītāku kompetentu ekspertu plānošanas, piesaistes un nodrošināšanas ziņā.

Rezultātā  kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādei, pārskatīšanai un aktualizēšanai var tikt piesaistīti ne tie paši zinošākie speciālisti.

Dzēst punktu.

Šo noteikumu 112.punkts nosaka izņēmumus: "Šo noteikumu 111. punktā minētās prasības nepiemēro šādos gadījumos:"  nevis prasības.  Jāprecizē uz kuru punktu atsaucas.  Šķiet, domāts p.111

118.1. ja ārpakalpojuma sniedzējs  tehniskā resursa iegādei atbilst šo noteikumu 111. punktā noteiktajām prasībām,

Šo noteikumu 112.punkts nosaka izņēmumus: "Šo noteikumu 111. punktā minētās prasības nepiemēro šādos gadījumos:"  nevis prasības.  Jāprecizē uz kuru punktu atsaucas.  Šķiet, domāts p.111

118.2.  ja ārpakalpojuma sniedzējs pakalpojuma sniegšanai atbilst šo noteikumu 111. punktā noteiktajām prasībām un ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts pilsonis.