Atzinums

Esošās prasības būtu piemērojamas tikai kritiskajai infrastruktūrai un sistēmām, savukārt pārējām informācijas sistēmām un resursiem būtu jāpiemēro samazinātas prasības. Pašvaldībām būtu nepieciešama arī pakāpeniska pāreja uz stingrākām kiberdrošības prasībām, sniedzot iespēju pielāgot esošās sistēmas, apmācīt darbiniekus un piesaistīt nepieciešamos speciālistus. Ņemot vērā šīs prasības, pašvaldības uzsver, ka bez atbilstošiem resursiem un atbalsta no valsts puses, ievērojami palielināsies risks, ka pašvaldības nevarēs pilnvērtīgi ieviest un nodrošināt noteikumos noteikto drošības prasību ievērošanu. Būtu nepieciešams noteikumos ietvert proporcionālākas prasības un nodrošināt pašvaldībām nepieciešamo atbalstu, lai sekmīgi ieviestu kiberdrošības uzlabojumus, kas būtiski paaugstinās ne tikai pašvaldību, bet arī valsts kopējo drošību digitālajā vidē.
 

-

Ierosinām noteikumu projektā iekļaut: 
- Pārejas posmu – vismaz 3 gadus noteikumu projektā definēto prasību pakāpeniskai īstenošanai; 
- Izveidot valsts līmeņa finansējuma programmu darbinieku apmācībām un tehnoloģiskās infrastruktūras uzlabojumiem, kā arī finanšu līdzekļu piešķiršanas kritērijus noteikumu projektā norādīto prasību īstenošanai.

-

Uzskatām ka viens no risinājumiem lai uzlabotu noteikumu ieviešanu pašvaldībās  ir izveidot centralizētus kiberdrošības pakalpojumus vai sniegt koordinētu tehnisko palīdzību.
Lai palīdzētu pašvaldībām, varētu  izstrādāt vienotus standartus un procedūras, kas vienkāršotu kiberdrošības pasākumu ieviešanu visās pašvaldībās.
Lai mazinātu izmaksu slogu valsts varētu piešķirt mērķtiecīgu finansējumu vai dotācijas kiberdrošības uzlabošanai.
Nodrošināt pašvaldību darbiniekiem piekļuvi regulārām kiberdrošības apmācībām un zināšanu atjaunošanai.
 

-

Valstī nav tik daudz kiberdrošībbas speciālistu, kas atbilstu projektā iecerētajām prasībām

8.3. kurai ir augstākā vai vidējā profesionālā izglītība informāciju tehnoloģiju vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
 

Punktu svītrot, jo IKT infrastruktūras rezerves risinājumi ir atkarīgi no risku analīzes rezultātiem. IKT infrastruktūras rezerves risinājumi var būt saistīti ar nozīmīgām investīcijām.

-

Punktu izteikt jauna redakcijā. Svītrot visus apakšpunktus.

Kiberincidentu žurnālā iekļauj kiberincidenta veida kodu vai kodus atbilstoši šo noteikumu 5. pielikumā ietvertajai tipoloģijai.
 

Piemēram, slimnīcu administrācijas datori ar koplietošanas kontu - darbinieki, visticamāk, neveiks manuālus ierakstus žurnālā. Vienīgais, ko lietderīgi reģistrēt ir darba grafiks (darbu sākšanas un beigšanas laiks).
 

35.1.lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas subjekta iekšējo procesu dēļ nav iespējams, pieļaujams  izmantot kopīgu kontu vairākiem lietotājiem, ja tiek  nodrošināta katra lietotāja veikto darbību uzskaite vai iespējams izsekot katra lietotāja informācijas sistēmas lietošanas laikam;
 

Tā ir nepamatota ir prasīta nodalīt arī fiziski tīklu, tas nozīmē, paralēli izvilkt tīkla infrastruktūru katrā iestādē, kas nav racionāli vai piedāvāt viesiem mobilos internetus, bet tad pašvaldībai ir jāuztur katrā adresē vismaz 2 atsevišķi interneta pieslēgumi, kas arī nav racionāli. Var paredzēt nodalīt tīklu segmentos, administrācijas un viesu tīkls, iespējams, ar citām izejošām IP adresēm bet caur vienu fizisko infrastruktūru, kā mums tas ir patreiz vairākās iestādēs. Iespējams, tik striktas prasības var noteikt tikai A kategorijas infrastruktūrai, ne jau piem., bibliotēkām vai klientu apkalpošanas centriem, skolām utml.  Turklāt arī par prasību attiecībā uz atsevišķu IP adresi varētu diskutēt, jo tās iegāde un uzturēšana var radīt papildus izmaksas abonēšanas maksā.

Vismaz mainīt vārdu "un" uz "vai" attiecībā uz tīkla atdalīšanu: "izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi".

Starp teikuma daļām ir UN. Sanāk, ka jānodrošina WiFi šifrēšana gaisā ar WPA2, piemēram, UN vēl papildus IPSEC vai cits "datu pārraides drošības protokols"

Iekšējos bezvadu tīklos tiek izmanoti bezvadu drošības protokoli .
 

Punkta redakcija ir interpretējama un var būt subjektiem atšķirīgi rezerves kopiju izveides grafiki. Piemēram, informācijas sistēmai, kas apkalpo klientus 24/7 vai citai, kas tiek izmantota tikai darba stundās. Aicinājums labot, lai precizētu, cik versiju kopijām ir jābūt, to uzglabāšanas periodu un kāds ir to izveides mērķis. Precizējumi var tikt ietverti arī anotācijā.
 

Anotācijā ietvert skaidrojumu par 51.2.punkta prasībām, kā tās ir praktiski iespējams realizēt, piedāvājot rezerves kopiju izveides grafika piemēru:
(1) lai spētu atjaunot sistēmas informācijas resursus pēc to bojāšanas/korupcijas/modificēšanas u.tt. uz stāvokli kāds tas bija pirms 24 stundām un līdz pat 1 nedēļai, pieņem, ka vienas kopijas izveides solis ir 24h un uzglabāšanas periods -7 dienas.
(2) lai spētu atjaunot sistēmas versiju pēc sistēmas koda, konfigurācijas u.tml. bojājumiem uz stāvokli kāds bija pirms 1 nedēļas, 1 mēneša, iepriekšējā gadā, pieņem, ka:
A) vienas kopijas izveides solis ir 1x nedēļā un uzglabāšanas periods - 4 nedēļas;
B) kopijas solis ir 1x mēnesī un uzglabāšanas periods - 12 mēneši;
C) kopijas solis 1x gadā un uzglabāšanas periods ir 2 gadi.
 
Piemēram,
 dienas kopija: veido katru dienu plkst 02:00. Uzglabā katru kopiju 7 dienas.
Nedēļas kopija: veido katru svētdienu plkst. 03:00. Uzglabā katru nedēļas kopiju 4 nedēļas.
Mēneša kopija: veido katra mēneša pirmajā svētdienā plkst 04:00. Uzglabā katru mēneša kopiju 12 mēnešus.
Gada kopija: veido katra gada 1.janvārī (sarkanais datums) plkst. 05:00. Uzglabā katru gada kopiju 3 gadus.
 

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot apakašpunktu

-

Svītrot. Koda pieņemšana nedrīkst būt subjekta pienākums. Turklāt, informācijas sistēmas tiek iepirktas kā pakalpojums, kur šāda koda pārņemšana ir lieka.

-

Svītrot

-

Svītrot

-

Svītrot

-

Nav īsti skaidrs, vai testi tad būs jāveic vai jāpasūta pašvaldībai, tā būs tikai pašvaldības atbildība? Vēršam uzmanību, ka nav loģiski prasīt veikt ielaušanās testus IS lietotājam/pasūtītājiem, bet tie būtu jānodrošina IS izstrādātājam/uzturētājiem. Tas kā pienākums būtu jāuzliek tieši izstrādātājiem un skaidri tas jāatrunā noteikumos, jo pašvaldība kā lietotājs nevar veikt nekādus ielaušanās testus ne valsts, ne komersantu IS. Vienīgais izņēmums ir tās IS, kuras pašvaldība pati izstrādā vai pasūta specifiski tieši savām vajadzībām, bet tās parasti nav A kategorijas. Jebkuras IS ievainojamības ir konfidenciāla informācija un esam par šo diskutējuši ar vairākiem IS izstrādātājiem (Visma, RIX Tehnologies u.c.). Neviens komersants nodod pieeju testēt savu IS un veikt kādus ielaušanās testus trešajām pusēm, pat neatklāj, kurš viņiem šādus testus veic, jo viss ir konfidenciāli, bet mēs varam tikai paļauties uz komersantu, kurš apgalvo, ka šādi testi tiek veikti. Tas arī nav droši, jebkura atklāta ievainojamība, kuru atklāj kāda trešā puse, var pēc tam tikt izmantota gan pret izstrādātāju, gan lietotāju. Nebūtu arī loģiski, ja piem., katra pašvaldība tagad atsevišķi ik pa 2-3 gadiem testēs DVS Namejs vai Horizon. Pašvaldībām varētu būt vienīgi atbildība sekot līdzi komersantiem, lai tie līgumos iekļautu atrunas par šādu testu veikšanu un IS uzturēšanu atbilstoši visām kiberdrošības prasībām. Vai arī variants, piem., DVS Namejs ielaušanās testus veic CERT.LV un sniedz visām pašvaldībām atzinumu, ka šo IS izmantot ir droši un neatstāt to tikai pašvaldības atbildībā. Organizēt centralizēti vienu ielaušanās testu tām IS, kuras izmanto gan valsts, gan pašvaldību iestādes un veidot CERT.LV whitlistu ar IS, kuras ir pārbaudītas un ir drošas lietošanā.

-

Svītrot vārdus - var veikt

105.Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu (turpmāk - drošības skenēšana):
 

Izteikt citā redakcijā

105.2.pēc subjekta (valsts vai pašvaldības iestādes) pieprasījuma vismaz vienu reizi 6 mēnešos.
 

Izteikt jaunā redakcijā

25.4. rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, atjaunošanas punkta mērķis (RPO), atjaunošanas laika mērķis (RTO), maksimāli pieļaujamais dīkstāves laiks (MTD)).