Projekta ID
22-TA-3183Atzinuma sniedzējs
Iekšlietu ministrija
Atzinums iesniegts
02.10.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Projekta 8.4.apakšpunktā norādīts, ka par kiberdrošības pārvaldnieku var būt fiziska persona, kura nav sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta.
Vēršam uzmanību, ka projektā un projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (anotācijā) (turpmāk – anotācija) nav norādīts, no kāda informācijas avota Satversmes aizsardzības birojs saņems minēto informāciju par personas iespējamo sodāmību.
Norādām, ka ziņas par personu izdarītajiem administratīvajiem pārkāpumiem vai noziedzīgiem nodarījumiem tiek uzkrātas valsts informācijas sistēmā “Sodu reģistrs”, kura izveidošanas mērķis ir vienotās uzskaites izveide par noziedzīgus nodarījumus un administratīvos pārkāpumus izdarījušām personām, lai veicinātu šo nodarījumu un pārkāpumu novēršanu un atklāšanu, kā arī par tiem personai noteiktā soda izpildes un tiesību ierobežojumu kontroli.
Valsts informācijas sistēmas “Sodu reģistrs” darbību regulē Sodu reģistra likums.
Vēršam uzmanību, ka, ņemot vērā 2024.gada 27.februārī spēkā stājušos grozījumus Sodu reģistra likuma 23.panta 1.punktā, minētais likums vairs neparedz ziņu par personu, pret kuru uzsāktais kriminālprocess ir izbeigts uz reabilitējoša pamata, un attaisnoto personu, par kuru ir stājies spēkā attaisnojošs spriedums uzglabāšanu valsts informācijas sistēmas “Sodu reģistrs” arhīva datubāzē.
No kā secināms, ka attiecīgās ziņas par kiberdrošības pārvaldnieku no Iekšlietu ministrijas pārziņā esošās valsts informācijas sistēmas “Sodu reģistrs” iegūt nevarēs.
Ņemot vērā minēto, kā arī to, ka tiesību normai ir jābūt skaidrai un saprotamai, lai tās lietotājs un piemērotājs gūtu nepārprotamu priekšstatu par savām tiesībām, pienākumiem un juridiskām sekām, precizēt 8.4.apakšpunktu, kā arī projektu un projekta anotāciju, norādot minētajā apakšpunktā ietvertās informācijas avotu un tās saņemšanas veidu.
Vēršam uzmanību, ka projektā un projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (anotācijā) (turpmāk – anotācija) nav norādīts, no kāda informācijas avota Satversmes aizsardzības birojs saņems minēto informāciju par personas iespējamo sodāmību.
Norādām, ka ziņas par personu izdarītajiem administratīvajiem pārkāpumiem vai noziedzīgiem nodarījumiem tiek uzkrātas valsts informācijas sistēmā “Sodu reģistrs”, kura izveidošanas mērķis ir vienotās uzskaites izveide par noziedzīgus nodarījumus un administratīvos pārkāpumus izdarījušām personām, lai veicinātu šo nodarījumu un pārkāpumu novēršanu un atklāšanu, kā arī par tiem personai noteiktā soda izpildes un tiesību ierobežojumu kontroli.
Valsts informācijas sistēmas “Sodu reģistrs” darbību regulē Sodu reģistra likums.
Vēršam uzmanību, ka, ņemot vērā 2024.gada 27.februārī spēkā stājušos grozījumus Sodu reģistra likuma 23.panta 1.punktā, minētais likums vairs neparedz ziņu par personu, pret kuru uzsāktais kriminālprocess ir izbeigts uz reabilitējoša pamata, un attaisnoto personu, par kuru ir stājies spēkā attaisnojošs spriedums uzglabāšanu valsts informācijas sistēmas “Sodu reģistrs” arhīva datubāzē.
No kā secināms, ka attiecīgās ziņas par kiberdrošības pārvaldnieku no Iekšlietu ministrijas pārziņā esošās valsts informācijas sistēmas “Sodu reģistrs” iegūt nevarēs.
Ņemot vērā minēto, kā arī to, ka tiesību normai ir jābūt skaidrai un saprotamai, lai tās lietotājs un piemērotājs gūtu nepārprotamu priekšstatu par savām tiesībām, pienākumiem un juridiskām sekām, precizēt 8.4.apakšpunktu, kā arī projektu un projekta anotāciju, norādot minētajā apakšpunktā ietvertās informācijas avotu un tās saņemšanas veidu.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Lūdzam precizēt formulējumu skaidrojot ko nozīmē “āttālināta piekļuve” šī MFA regulējuma kontekstā. Šo var interpretēt divējādi tehniskā izpildījuma ziņā:
1. Iestādes lietotājs slēdzas attālināti pie korporatīvā tīkla ar VPN (tīkla līmeņa, piemēram IPSec) palīdzību un tad izmanto B kategorijas sistēmu. Šajā scenārijā uzskatāms, ka sistēma tiek lietota no iekštīkla, jo gala iekārtai jābūt kontrolētai (atkarīgs no iestādes iekšējās politikas) kura izmanto korporatīvā tīkla iekšējo IP adresāciju (piemērota visi tīkla līmeņa drošības mehānismi korporatīvā tīkla aizsardzībā). Tādejādi MFA prasība ir pārmērīga, sevišķi, ņemot vērā noteikumu 36.2. punkta prasību.
2. B kategorijas informācijas sistēmas lietotāja interfeisam (WEB, rich client, u.t.l.) tīkla līmenī ir iespējams pieslēgties “attālināti” no publiskā tīkla – no jebkurienes. Šādā situācijā MFA pielietojumam ir pievienotā vērtība un tas būtu jāpielieto.
1. Iestādes lietotājs slēdzas attālināti pie korporatīvā tīkla ar VPN (tīkla līmeņa, piemēram IPSec) palīdzību un tad izmanto B kategorijas sistēmu. Šajā scenārijā uzskatāms, ka sistēma tiek lietota no iekštīkla, jo gala iekārtai jābūt kontrolētai (atkarīgs no iestādes iekšējās politikas) kura izmanto korporatīvā tīkla iekšējo IP adresāciju (piemērota visi tīkla līmeņa drošības mehānismi korporatīvā tīkla aizsardzībā). Tādejādi MFA prasība ir pārmērīga, sevišķi, ņemot vērā noteikumu 36.2. punkta prasību.
2. B kategorijas informācijas sistēmas lietotāja interfeisam (WEB, rich client, u.t.l.) tīkla līmenī ir iespējams pieslēgties “attālināti” no publiskā tīkla – no jebkurienes. Šādā situācijā MFA pielietojumam ir pievienotā vērtība un tas būtu jāpielieto.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Esošā noteikumu redakcija paredz, ka mērķa sasniegšanai jālieto iekārtas (hardware), taču realitātē datu pārraides kontrole notiek plaši pielietojot virtualizētus tīkla drošības risinājumus. Lūdzam izteikt formā, kas neierobežotu tīkla drošības risinājumu izpildījumu, piemēram: “datu pārraide starp iekšējo un ārējo tīklu, kā arī starp iekšējā tīkla segmentiem ir kontrolējama (piemēram, ar ugunsmūru, starpniekserveru palīdzību), kas ļauj uzraudzīt un ierobežot neatļautu datu plūsmu (piemēram, izmantojot reāllaika kiberuzbrukumu novēršanas un atklāšanas sistēmu);”
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Šāda punkta redakcija faktiski nosaka, ka jebkura informācijas sistēma, kuru lieto plašs fizisko personu loks vai plašs iestāžu darbinieku loks, faktiski nedrīkst tikt eksponēta publiskajā tīklā, kas nav pieņemams. Pēc būtības jebkura informācijas sistēma vai informācijas resurss ir izvietots iekšējā tīklā un piekļuve no publiskā vai citiem privātajiem tīkliem tiek kontrolēti nodrošināta.
Lūdzam punktu svītrot, vai precizēt kas ar to ir domāts.
Lūdzam punktu svītrot, vai precizēt kas ar to ir domāts.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Iebildums
Esošajā redakcijā nav viennozīmīgi izprotama prasības būtība. Lūdzam precizēt vai runa iet par auditācijas pierakstu rezerves kopijas uzglabāšanu vai tomēr nav pieļaujama auditācijas pierakstu glabāšana pašā informācijas sistēmā un tam jāveido atsevišķs loģiski nodalīts auditācijas risinājums? Noteikumu 3.9 sadaļa, kas nosaka auditācijas pierakstu pārvaldību, šādu prasību nesatur.
Piedāvātā redakcija
-
6.
Noteikumu projekts
Iebildums
63.2 punktā minētā prasība komplektā ar pārējām šajos noteikumos definētajām drošības prasībām ir nesamērīga. Parasti datu informācijas resursu šifrēšanu glabāšanai pielieto:
1. Lai nodrošinātos pret fizisku datu zādzību (nozogot portatīvo datoru, zibatmiņu, cieto disku, serveri, u.t.l.) un apzinoties, ka šāds risks ir ar zināmu varbūtību.
2. Gadījumos, ja informācijas resursi fiziski tiek uzglabāti/apstrādati/izmitināti/ ārpakalpojumā, piemēram mākoņdatošanas risinājumos, kā rezultātā pastāv risks, ka pie uzglabātajiem informācijas resursiem var piekļūt atbilstošs pakalpojumu sniedzējs.
Mūsdienu praksē modernas lielapjoma sistēmas uzbūve ir ļoti sarežģīta, sastāv no ļoti daudzām komponentēm un pat vienas sistēmas ietvaros bieži tiek pielietotas dažādas datu uzglabāšanas tehnoloģijas – objektu glabātuves, relāciju datu bāzu vadības sistēmas, datu indeksēšanas risinājumi, rindošanas sistēmas. Noteikumos minētā datu šifrēšanas prasība pēc noklusējuma paredz datu šifrēšanu jebkādās tehnoloģijās neņemot vērā nekādus, tostarp iepriekš minētos, objektīvos risku izvērtējumus. Piemērojot šifrēšanu jebkādās tehnoloģijās tas prasīs papildu skaitļošanas resursus (faktiski būs nepieciešami papildu skaitļošanas resursi), prasīs arī administratīvos resursu, jo šifrēšanas pielietošana noteiks dažādus ierobežojumus ar sistēmām/datu bažēm/sējumiem, sarežģīs un padarīs resursietilpīgāku rezerves kopēšanu, u.t.l. rezultātā pieaugs cilvēkresursu patēriņš šifrēšanas pārvaldībā.
Prasība ir dzēšama vai pielietojama pēc būtības, lai mazinātu riskus pēc objektīva, katras sistēmas risku vērtējuma. Iespējams var definēt minimālās fiziskās drošības prasības vai prasības ārpakalpojumu sniedzējiem, kuras neizpildot informācija jāšifrē to glabājot, bet šāda prasība nevar tikt noteikta globāli visām A konfidencialitātes kategorijas sistēmām.
1. Lai nodrošinātos pret fizisku datu zādzību (nozogot portatīvo datoru, zibatmiņu, cieto disku, serveri, u.t.l.) un apzinoties, ka šāds risks ir ar zināmu varbūtību.
2. Gadījumos, ja informācijas resursi fiziski tiek uzglabāti/apstrādati/izmitināti/ ārpakalpojumā, piemēram mākoņdatošanas risinājumos, kā rezultātā pastāv risks, ka pie uzglabātajiem informācijas resursiem var piekļūt atbilstošs pakalpojumu sniedzējs.
Mūsdienu praksē modernas lielapjoma sistēmas uzbūve ir ļoti sarežģīta, sastāv no ļoti daudzām komponentēm un pat vienas sistēmas ietvaros bieži tiek pielietotas dažādas datu uzglabāšanas tehnoloģijas – objektu glabātuves, relāciju datu bāzu vadības sistēmas, datu indeksēšanas risinājumi, rindošanas sistēmas. Noteikumos minētā datu šifrēšanas prasība pēc noklusējuma paredz datu šifrēšanu jebkādās tehnoloģijās neņemot vērā nekādus, tostarp iepriekš minētos, objektīvos risku izvērtējumus. Piemērojot šifrēšanu jebkādās tehnoloģijās tas prasīs papildu skaitļošanas resursus (faktiski būs nepieciešami papildu skaitļošanas resursi), prasīs arī administratīvos resursu, jo šifrēšanas pielietošana noteiks dažādus ierobežojumus ar sistēmām/datu bažēm/sējumiem, sarežģīs un padarīs resursietilpīgāku rezerves kopēšanu, u.t.l. rezultātā pieaugs cilvēkresursu patēriņš šifrēšanas pārvaldībā.
Prasība ir dzēšama vai pielietojama pēc būtības, lai mazinātu riskus pēc objektīva, katras sistēmas risku vērtējuma. Iespējams var definēt minimālās fiziskās drošības prasības vai prasības ārpakalpojumu sniedzējiem, kuras neizpildot informācija jāšifrē to glabājot, bet šāda prasība nevar tikt noteikta globāli visām A konfidencialitātes kategorijas sistēmām.
Piedāvātā redakcija
-
7.
Noteikumu projekts
Iebildums
Projekta 87.punktā norādīts, ka Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju.
Vēršam uzmanību, ka projektā un projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (anotācijā) (turpmāk – anotācija) nav norādīts, no kāda informācijas avota Satversmes aizsardzības birojs saņems minēto informāciju par personas iespējamo sodāmību.
Norādām, ka ziņas par personu izdarītajiem administratīvajiem pārkāpumiem vai noziedzīgiem nodarījumiem tiek uzkrātas valsts informācijas sistēmā “Sodu reģistrs”, kura izveidošanas mērķis ir vienotās uzskaites izveide par noziedzīgus nodarījumus un administratīvos pārkāpumus izdarījušām personām, lai veicinātu šo nodarījumu un pārkāpumu novēršanu un atklāšanu, kā arī par tiem personai noteiktā soda izpildes un tiesību ierobežojumu kontroli.
Ņemot vērā minēto, kā arī to, ka tiesību normai ir jābūt skaidrai un saprotamai, lai tās lietotājs un piemērotājs gūtu nepārprotamu priekšstatu par savām tiesībām, pienākumiem un juridiskām sekām, precizēt projektu un projekta anotāciju, norādot projekta 87.punktā ietvertās informācijas avotu un tās saņemšanas veidu.
Vēršam uzmanību, ka projektā un projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumā (anotācijā) (turpmāk – anotācija) nav norādīts, no kāda informācijas avota Satversmes aizsardzības birojs saņems minēto informāciju par personas iespējamo sodāmību.
Norādām, ka ziņas par personu izdarītajiem administratīvajiem pārkāpumiem vai noziedzīgiem nodarījumiem tiek uzkrātas valsts informācijas sistēmā “Sodu reģistrs”, kura izveidošanas mērķis ir vienotās uzskaites izveide par noziedzīgus nodarījumus un administratīvos pārkāpumus izdarījušām personām, lai veicinātu šo nodarījumu un pārkāpumu novēršanu un atklāšanu, kā arī par tiem personai noteiktā soda izpildes un tiesību ierobežojumu kontroli.
Ņemot vērā minēto, kā arī to, ka tiesību normai ir jābūt skaidrai un saprotamai, lai tās lietotājs un piemērotājs gūtu nepārprotamu priekšstatu par savām tiesībām, pienākumiem un juridiskām sekām, precizēt projektu un projekta anotāciju, norādot projekta 87.punktā ietvertās informācijas avotu un tās saņemšanas veidu.
Piedāvātā redakcija
-
8.
Noteikumu projekts
Priekšlikums
Lūdzam izvērtēt iespējas konkrētāk definēt Projekta 1.2. punktā lietoto terminu “tīkli”
Piedāvātā redakcija
Aicinām izvērtēt šādu Projekta 1.2. punkta redakciju: “kārtību, kādā subjekti nodrošina datortīklu, to komponenšu, tajā skaitā tādu elektronisko ierīču, kas apstrādā, uzglabā un pārraida datus un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;”.
9.
Noteikumu projekts
Priekšlikums
Nepieciešams izvērtēt Projekta 2.6. punkta redakciju precizēšanu, mainot terminu “risku” ar “kiberrisku” un “pieņemamam līmenim” ar “pieļaujamām vērtībām”, lai nodrošinātu konsekventu terminu lietojumu Projekta ietvaros (termini kiberrisks un pieļaujamās vērtības izmantoti, piemēram, Projekta 25.1. punktā). Aicinām arī vispārīgi izvērtēt terminu lietojumu Projekta ietvaros, lai nodrošinātu viscaur konsekventu terminu lietojumu
Piedāvātā redakcija
-
10.
Noteikumu projekts
Priekšlikums
Vēršam uzmanību uz Projekta 8. un 9. punkta faktisko piemērošanu. Pašreizējā redakcijā Projekts un tā anotācija nesniedz skaidrību par to, kā Subjekts varēs izvērtēt kiberdrošības pārvaldnieka atbilstību visiem uzskaitītajiem kritērijiem, proti, Projekts neparedz kārtību, kādā Subjekts iegūs informāciju par, piemēram, 8.7., 8.9. punktā ietverto kritēriju.Arī attiecībā uz Latvijas valstspiederīgo būtu ietverama atruna, ka tas nedrīkst radīt riskus Latvijas nacionālās drošības interesēm
Piedāvātā redakcija
-
11.
Noteikumu projekts
Priekšlikums
Skatīt 8.punktu
Piedāvātā redakcija
-
12.
Noteikumu projekts
Priekšlikums
Projekta 10. punktā nepieciešams svītrot vārdus “kompetentā valsts drošības iestāde”, jo Projekta 9. punktā norādīta Satversmes aizsardzības biroja kompetence atzinuma sniegšanā.
Piedāvātā redakcija
-
13.
Noteikumu projekts
Priekšlikums
Lūdzam izvērtēt, vai Projekta 36. punktā būtu iespējams noteikt, ka daudzfaktoru autentifikācijas sistēma ir attiecināma uz visiem kontiem visu kategoriju sistēmām, ja tehnisko resursu vai informācijas sistēmu ir iespējams savietot ar šādu autentifikācijas metodi.
Piedāvātā redakcija
-
14.
Noteikumu projekts
Priekšlikums
Projekta 39.punktu nepieciešams izteikt šādā redakcijā: “Subjekts ievieš procesus savā īpašumā un valdījumā esošo tīklu pārvaldībai, nodrošinot, ka:”.
Piedāvātā redakcija
-
15.
Noteikumu projekts
Priekšlikums
Aicinām precizēt Projekta 80.3., 81.2., 84.2. punktā noteikto kompetento valsts drošības iestādi, jo, atbilstoši Nacionālā kiberdrošības likuma 7. panta 4. punktam, Satversmes aizsardzības birojam ir noteikts uzdevums izvērtēt informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieku un tiesisko valdītāju īstenojamo kiberrisku pārvaldības pasākumu atbilstību normatīvajos aktos noteiktajām prasībām
Piedāvātā redakcija
-
16.
Noteikumu projekts
Priekšlikums
Lūdzam Projekta 99.5. punktu nepieciešams izteikt šādā redakcijā: “saņemts kompetentās valsts drošības iestādes atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;”
Lūdzam izvērtēt Projekta 99.5. punktā noteiktās kompetentās valsts drošības iestādes precizēšanu, ņemot vērā Projekta 96.1. punktā ietverto atsauci uz 80. punktu, lai nodrošinātu Projekta skaidrību un konsekventu kompetenču uzskaitījumu Projekta ietvaros.
Lūdzam izvērtēt Projekta 99.5. punktā noteiktās kompetentās valsts drošības iestādes precizēšanu, ņemot vērā Projekta 96.1. punktā ietverto atsauci uz 80. punktu, lai nodrošinātu Projekta skaidrību un konsekventu kompetenču uzskaitījumu Projekta ietvaros.
Piedāvātā redakcija
-
17.
Anotācija (ex-ante)
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Priekšlikums
PMLP kā IKT kritiskās infrastruktūras īpašnieks saistībā ar tās pārziņā esošo informāciju sistēmu skaitu un veicamo darba apjomu, saskata riskus Noteikumu projektu prasību ieviešanai Noteikumu projektā noteiktajos termiņos. Tādējādi, Noteikumu projekta prasību savlaicīgai izpildei lūdzam Noteikumu projekta anotācijā paredzēt finanšu un personāla resursus, kā arī izvērtēt iespēju noteikt vēlāku noteikumu projekta Pārejas noteikumu 127. punktā iekļauto normu spēkā stāšanās laiku.
Piedāvātā redakcija
-