Atzinums

Lai viennozīmīgi interpretētu uz kurām informācijas sistēmām (IS) attiecas konkrētie punkti, būtu nepieciešams 2. punktā pie terminiem sniegt skaidrojumu terminiem - IS īpašumā, IS valdījumā, IS turējumā, IS lietošanā. 

-

Visas valsts iestādes lieto Valsts kancelejas IS NEVIS un atbilstoši šim punktam, tām ir jāizvērtē drošības klasi un jāsaskaņo ar Valsts kanceleju kā IS īpašnieku. Vēl vairāk saskaņojumu būs Valsts ieņēmuma dienestam ar EDS sistēmu, kuru izmanto ne tikai visas valsts iestādes, bet arī komersanti, uz kuriem attiecas šo noteikumu prasības. Var minēt daudz līdzīgu IS. Punkts rada lielu papildus birokrātisko slogu visiem subjektiem un IS īpašniekiem un tiesiskajiem valdītājiem un neienes papildus drošības elementus. IS īpašniekam citas iestādes drošības klases vērtējums nav saistošs un saskaņojums prasa lieku saraksti (birokrātiskos resursus). Turklāt, kā šo procesu regulēt, ja lietotājiem nesakrīt vērtējums. 
Ierosinām šo punktu precizēt vai svītrot . 

-

"Lūdzam skaidrot šī punkta būtību. No esošās redakcijas nav skaidrs kāds ārpakalpojuma iegādes posms ir domāts “Pirms lēmuma pieņemšanas par ārpakalpojuma iegādi” . Respektīvi,ja ir domāts, ka pasūtītājs brīdī, kad ir pieņemts lēmums par līguma tiesību piešķiršanu uzvarētājam, izvērtē riskus attiecībā pret konkrēto piegādātāju un nosaka pakalpojuma izbeigšanas stratēģiju pēc piedāvājumu atvēršanas, tad tas nav iespējams saskaņā ar Publisko iepirkumu likumu. Iepirkumu dokumentāciju nevar precizēt/ būtiski labot vai mainīt pēc pretendentu piedāvājumu atvēršanas, līdz ar to, stratēģijai ir jābūt iekļautai sākotnējā iepirkuma dokumentācijā (nolikumā un līguma projektā). Lūdzam izvērtēt, vai konkrētajā gadījumā vārdu “vērtē” būtu jāmaina uz “pārbauda”, jo pasūtītājs nevar vērtēt riskus, ja lēmums par līguma tiesību piešķiršanu jau ir pieņemts, pasūtītājs var tikai pārbaudīt (līdzīgi kā pārbauda sankcijas un PIL 42. panta izslēgšanas nosacījumus) risku esību vai neesību. Savukārt pirms iepirkuma izsludināšanas pakalpojumu sniedzējs nevar zināt konkrētu piegādātāju."

-

Lūdzam Anotācijas III sadaļā ietvert informāciju par MK noteikumu projekta ietekmi uz valsts budžetu, papildinot ar informāciju par papildu nepieciešamo finansējumu.

Saistībā ar noteikumu projekta 51.2. apakšpunktā noteikto rezerves kopiju veidošanas periodiskumu, atzīmējam, ka minētā punkta izpildei Valsts sociālās apdrošināšanas aģentūrai nepieciešami papildu līdzekļi šādā apmērā:
2025. gadam un turpmāk ik gadu 34 848 euro apmērā VESPC rezerves kopēšanas pakalpojumu un datu glabātuves tilpuma nomas apmaksai.  
2025. gadam (vienam gadam) 21 780 euro apmērā sistēmu disku iegādei.

Papildus noteikumu projekta 102. punkta izpildei, lai nodrošinātu A kategorijas sistēmu ielaušanās testus, arī ja tās nav pieejamas no publiskā tīkla, nepieciešams papildu finansējums 2025. gadā 40 000 euro apmērā, 2028. gadā 40 000 euro apmērā un turpmāk ik pa 3 gadiem 40 000 euro apmērā.

Atzīmējam, ka Valsts sociālās apdrošināšanas aģentūras budžetā nav līdzekļi šādu papildu izdevumu segšanai.
 

-

Rada pārpratumus, ka Noteikumi attiecas uz  "kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem", savukārt,  tie kas ir tikai "kritiskās infrastruktūras īpašnieki", bet nav valdītāji - neskar.

Kā arī tiek rosināts izcelt, ka katrs atsevišķi (būtisko pakalpojumu sniedzējs / svarīgo pakalpojumu sniedzējs / kritiskās infrastruktūras īpašnieks / kritiskās infrastruktūras tiesiskais valdītājs) var būt šo noteikumu subjekts.

1.1. minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem (turpmāk kopā – subjekti, katrs atsevišķi - subjekts);

Noteikumu 8.3. apakšpunktā ir minēts, ka par kiberdrošības pārvaldnieku var būt fiziska persona, kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā. Ierosinām vārdus “kiberdrošības pasākumu plānošanā vai īstenošanā” aizvietot ar “kiberdrošības pārvaldībā vai kiberdrošības pasākumu uzraudzībā”. Piemēram, esošajā redakcijā par kiberdrošības pārvaldnieku var būt arī fiziska persona, kura pēdējo divu gadu laikā ir piedalījusies kiberdrošības apmācību semināra plānošanā (piemēram, ir rezervējusi semināra telpas, izsūtījusi uzaicinājumus kiberdrošības semināram vai tml.), lai gan šī persona pati nav sniegusi šo semināru vai arī šai personai būtu zināšanas šāda semināra novadīšanā, tādejādi šādas personas zināšanas un prasmes nebūtu pietiekošas, lai varētu sniegt kiberdrošības pārvaldnieka pienākumus.

8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā vai kiberdrošības pasākumu uzraudzībā;

Valstī nepieciešams izstrādāt vienotus principus kā novērtēt informācijas sistēmu vērtību un potenciālos zaudējumus, lai visi šo noteikumu subjekti vienādi traktētu vērtības un to aprēķināšanas metodi. Ir daudz IS vērtības (atdeve uz ieguldījumiem, īpašuma vērtība, atjaunošanas vērtība u.c.) un daudzas metodoloģijas to aprēķināšanā. Tas ir nepieciešams arī tādēļ, ka 92.2. apakšpunktā ir konkrēts skaitlis 500 000 euro zaudējumi.

-

Jāparedz atruna gadījumiem, kad sistēmā šāda iespēja tehniski nepastāv.

35.3. ja vien tas tehniski ir iespējams, informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus;

Ir nepieciešams precizēt šo punktu, nosakot, ka minētais punkts uz attiecas īpašumā un valdījumā esošām informācijas sistēmām, jo 34. punkts attiecas uz visām IS un iespējama interpretācija, ka arī šis punkts attiecas uz visām IS.


 

-

Ja attālināta piekļuve iestādes iekšējam tīklam, kurā izvietota IS, ir realizēta izmantojot šifrētu virtuālā privātā tīkla (VPN) risinājumu ar daudzfaktoru autentifikāciju, tad daudzfaktoru autentifikācija arī pašas IS lietotāja kontam nebūtu jāprasa.

36.3 B kategorijas informācijas sistēmas standarta lietotāja kontam vai šā lietotāja attālinātai piekļuvei izmantotā virtuālā privātā tīkla (VPN) kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai.

Kiberdrošības pārvaldniekam var nebūt pietiekoši plašas zināšanu, lai analizētu konkrētas specifiskas sistēmas auditācijas pierakstus. Tāpēc jāparedz tiesības pieprasīt, lai analīzi veic par konkrēto sistēmu atbildīgs speciālists.

38.2. pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām, tostarp pieprasīt pārbaudes un analīzes veikšanu par konkrētās sistēmas drošību atbildīgajiem speciālistiem.

Ņemot vērā, ka iepriekš rezerves kopiju izgatavošanas un glabāšanas kārtību noteica Iekšējie sistēmas drošības noteikumi, jauno prasību izpildei var būt nepieciešami papildus finanšu līdzekļi. 
Lūdzam Anotācijas III sadaļā ietvert informāciju par MK noteikumu projekta ietekmi uz valsts budžetu, papildinot ar informāciju par papildu nepieciešamo finansējumu.

-

Noteikumu 8.1. apakšpunktā ir iekļautas prasības attiecībā uz auditoru, tomēr šajos noteikumos nav iekļautas prasības attiecībā uz atbilstības audita veikšanu. Vai turpmāk vairs nebūs prasību attiecībā uz atbilstības audita veikšanu? 

Noteikumu 8.2. apakšpunktā "Ielaušanās testi" savukārt ir noteikts ka A kategorijas sistēmai ielaušanās testus veic "vismaz reizi trīs gados informācijas sistēmas ekspluatācijas laikā".

-

Lūdzam izvērtēt, vai ir lietderīgi veikt ielaušanās testus sistēmām kas nav pieejamas, izmantojot publisku datu pārraides tīklu.

102.1. A kategorijas informācijas sistēmai, kas pieejama, izmantojot publisku datu pārraides tīklu

Noteikumu 103.2.2. apakšpunktā ir iekļautas prasības, ka ielaušanās testus veic persona, kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP), vai kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā. Ņemot vērā ielaušanās testu kvalitātes nozīmīgumu un paļaušanos, mēs ieteiktu vārdu “vai” aizvietot ar “un”.

103.2.2. ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju ielaušanās testu jomā (piemēram, CEH, OSCP) un kurai ir vismaz divu gadu darba pieredze ielaušanās testu veikšanā;

Noteikumu 14. pielikuma “Pašnovērtējuma ziņojuma veidlapa” 0711 sadaļa nosaka, katrai informācijas sistēmai ir apstiprināti informācijas sistēmas lietošanas noteikumi. Ņemot vērā to, ka dažkārt vieni informācijas sistēmu lietošanas noteikumi ir apstiprināti vairākām informācijas sistēmām, lūdzam izņemt vārdu “katrai” no šīs sadaļas vai arī paredzēt, ka šādi noteikumi būtu jāizstrādā atsevišķi tikai A un B kategorijas informācijas sistēmām.

-

Noteikumu 14. pielikuma “Pašnovērtējuma ziņojuma veidlapa” 0709 sadaļa nosaka, ka “Subjekts nodrošina, ka kiberdrošības pārvaldniekam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.

Noteikumu 35.6. punkts nosaka nodrošināt šādu iespēju vispārīgi nevis tikai kiberdrošības pārvaldniekam. Kiberdrošības pārvaldniekam parasti netiek izveidotas administratora tiesības, jo tādas nav nepieciešams, lai veiktu kiberdrošības pārvaldnieka uzdevumus. Mūsu ieteikums ir šo aizstāt ar “Subjekts nodrošina, ka subjektam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ”.
Šāds formulējums prasītu nodrošināt šo iespēju arī ja incidenta laikā kiberdrošības pārvaldnieks nav sasniedzams.

Subjekts nodrošina, ka ka subjektam ir tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ.

Noteikumu 14. pielikuma “Pašnovērtējuma ziņojuma veidlapa” iekļauj iespēju norādīt vienu Kiberdrošības pārvaldnieku. Ņemot vērā to, ka būtisko un svarīgo pakalpojumu sniedzējiem būs nepieciešams nodrošināt nepārtrauktu kiberdrošības pārvaldnieka pieejamību, lūdzam, izvērtēt iespēju augstāk minētajā veidlapā arī iestādei iespēju norādīt papildus personu, kas aizvietos kiberdrošības pārvaldnieku tā prombūtnē (piemēram, atvaļinājuma laikā).

-