Projekta ID
22-TA-3323Atzinuma sniedzējs
Aizsardzības ministrija
Atzinums iesniegts
08.12.2022.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
3.2. ilglaicīgas elektroenerģijas padeves traucējumu gadījumā nodrošina savietojamās sistēmas, savietotāja un valsts platformas apturēšanu saskaņā ar ekspluatācijas noteikumiem vai nodrošina automātisku pieslēgšanos rezerves elektrobarošanas avotam;
Iebildums
Savietotāja nepieejamība nozīmē visu savietojamo sistēmu nepieejamību, tādēļ ir būtiski nodrošināt savietotāja nepārtrauktu darbību. Lūdzam precizēt noteikumu projektu, paredzot kārtību, kādā nodrošina savietotāja un savietojamo sistēmu nepārtrauktu darbību.
Piedāvātā redakcija
-
2.
Noteikumu projekts
3.3. sistēmas uzturētāji savstarpēji vienojas par savietojamās sistēmas, savietotāja un valsts platformas apturēšanas nosacījumiem.
Iebildums
Lūdzam noteikt precīzus savietojamās platformas, savietotāja un valsts platformas apturēšanas noteikumus. Lūdzam papildināt noteikumu projektu, nosakot prasību katrai savietotajai sistēmai, savietotājam un valsts platformai izstrādāt darbības nepārtrauktības plānu, kas noteiktu sistēmas uzturētāja veicamo darbību kopumu incidenta vai krīzes (piemēram, elektroenerģijas padeves traucējumu) gadījumā.
Piedāvātā redakcija
sistēmas uzturētāji savstarpēji vienojas par savietojamās sistēmas, savietotāja un valsts platformas apturēšanai veicamajām darbībām atbilstoši sistēmu darbības nepārtrauktības plānā noteiktajai kārtībai.
3.
Noteikumu projekts
4.4. datu apmaiņas procesā nodrošina datu integritātes aizsardzību un aizsardzību pret nesankcionētu piekļuvi.
Iebildums
Tiesību normas pašreizējā redakcija nenovērš datu konfidencialitātes apdraudējumu sankcionētas piekļuves gadījumā. Lūdzam precizēt apakšpunktu, to izsakot šādā redakcijā: "datu apmaiņas procesā nodrošina datu integritāti un konfidencialitāti".
Piedāvātā redakcija
datu apmaiņas procesā nodrošina datu integritāti un konfidencialitāti.
4.
Noteikumu projekts
5.2. savietojamās sistēmas, savietotāja un valsts platformas drošības pārvaldnieks ir atbildīgs par to, lai savietojamās sistēmas, savietotāja un valsts platformas infrastruktūras telpās iekļūtu tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve savietojamās sistēmas, savietotāja un valsts platformas infrastruktūrai;
Iebildums
Lūdzam precizēt tiesību normas redakciju, nepārprotami norādot, ka par savietojamās sistēmas, savietotāja un valsts platformas drošību atbild attiecīgās savietojamās sistēmas, savietotāja vai valsts platformas drošības pārvaldnieks (nevis viens drošības pārvaldnieks atbild par visu savietojamo sistēmu, savietotāju un valsts platformu drošību, kā var secināt no pašreizējās redakcijas). Lūdzam precizēt, vai drošības pārvaldnieks ir sistēmas uzturētāja amatpersona (darbinieks).
Piedāvātā redakcija
-
5.
Noteikumu projekts
7.4. nodrošina nepārtrauktu savietojamās sistēmas, savietotāja un valsts platformas darba vides drošības apdraudējumu novērošanu, izmantojot ielaušanās mēģinājumu noteikšanas un aizsardzības sistēmu;
Iebildums
Lūdzam precizēt, kā praktiski tiks nodrošināta savietojamās sistēmas, savietotāja un valsts platformas darba vides drošības apdraudējumu nepārtraukta novērošana, ņemot vērā, ka atsevišķās iestādēs par sistēmu drošību atbildīgais personāls nestrādā diennakts režīmā.
Piedāvātā redakcija
-
6.
Noteikumu projekts
7.4. nodrošina nepārtrauktu savietojamās sistēmas, savietotāja un valsts platformas darba vides drošības apdraudējumu novērošanu, izmantojot ielaušanās mēģinājumu noteikšanas un aizsardzības sistēmu;
Iebildums
Vajadzētu precizēt "nepārtrauktu". Ko darīt iestādēm, kurās nav dežurdienestu, kas veiktu nepārtrauktu novērošanu?
Piedāvātā redakcija
-
7.
Noteikumu projekts
7.5. izmantojot tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju, nodrošina attālinātas piekļuves ierobežošanu savietojamās sistēmas, savietotāja un valsts platformas administrēšanai. Uztur savietojamās sistēmas, savietotāja un valsts platformas vietotāja piekļuves auditācijas žurnālu, ko veido automatizēti, nodrošinot datu integritāti. Auditācijas žurnāla ierakstus glabā vismaz sešus mēnešus;
Iebildums
Lūdzam noteikumu projekta 7.5. apapkšpunktā ietverto tiesību normu sadalīt divos apakšpunktos, mainot turpmāko apakšpunktu numerāciju, tos izsakot šādā redakcijā:
7.5. savietojamās sistēmas, savietotāja un valsts platformas administrēšanai nepieciešamās attālinātas piekļuves nodrošināšanai izmanto tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju;
7.6. uztur savietojamās sistēmas, savietotāja un valsts platformas lietotāja piekļuves auditācijas žurnālu, ko veido automatizēti, nodrošinot datu integritāti. Auditācijas žurnālā ierakstus glabā vismaz sešus mēnešus. Sevišķu uzmanību pievērš privileģēto kontu (sistēmas administratoru, datu administratoru utt.) veiktajām darbībām;
Tāpat lūdzam izvērtēt auditācijas žurnāla ierakstu glabāšanas termiņu noteikšanas nepieciešamību, ņemot vērā Ministru kabineta 28.07.2015. noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" 24.6. apakšpunktā noteikto auditācijas pierakstu uzglabāšanas termiņu.
7.5. savietojamās sistēmas, savietotāja un valsts platformas administrēšanai nepieciešamās attālinātas piekļuves nodrošināšanai izmanto tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju;
7.6. uztur savietojamās sistēmas, savietotāja un valsts platformas lietotāja piekļuves auditācijas žurnālu, ko veido automatizēti, nodrošinot datu integritāti. Auditācijas žurnālā ierakstus glabā vismaz sešus mēnešus. Sevišķu uzmanību pievērš privileģēto kontu (sistēmas administratoru, datu administratoru utt.) veiktajām darbībām;
Tāpat lūdzam izvērtēt auditācijas žurnāla ierakstu glabāšanas termiņu noteikšanas nepieciešamību, ņemot vērā Ministru kabineta 28.07.2015. noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" 24.6. apakšpunktā noteikto auditācijas pierakstu uzglabāšanas termiņu.
Piedāvātā redakcija
7.5. savietojamās sistēmas, savietotāja un valsts platformas administrēšanai nepieciešamās attālinātas piekļuves nodrošināšanai izmanto tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju;
7.6. uztur savietojamās sistēmas, savietotāja un valsts platformas lietotāja piekļuves auditācijas žurnālu, ko veido automatizēti, nodrošinot datu integritāti. Sevišķu uzmanību pievērš privileģēto kontu (sistēmas administratoru, datu administratoru utt.) veiktajām darbībām;
7.6. uztur savietojamās sistēmas, savietotāja un valsts platformas lietotāja piekļuves auditācijas žurnālu, ko veido automatizēti, nodrošinot datu integritāti. Sevišķu uzmanību pievērš privileģēto kontu (sistēmas administratoru, datu administratoru utt.) veiktajām darbībām;
8.
Noteikumu projekts
8. Lai pārbaudītu savietojamās sistēmas, savietotāja un valsts platformas avietotāja atbilstību normālam ekspluatācijas režīmam, sistēmas uzturētājs pastāvīgi veic monitoringu atbilstoši šādiem parametriem:
Iebildums
Lūdzam precizēt, kā praktiski tiks nodrošināts savietojamās sistēmas, savietotāja un valsts platformas pastāvīgs monitorings, ņemot vērā, ka atsevišķās iestādēs par sistēmu drošību atbildīgais personāls nestrādā diennakts režīmā.
Piedāvātā redakcija
-
9.
Noteikumu projekts
8. Lai pārbaudītu savietojamās sistēmas, savietotāja un valsts platformas avietotāja atbilstību normālam ekspluatācijas režīmam, sistēmas uzturētājs pastāvīgi veic monitoringu atbilstoši šādiem parametriem:
Iebildums
Kas ir domāts ar "pastāvīgi"? 24/7 vai 8/5
Piedāvātā redakcija
-
10.
Noteikumu projekts
8. Lai pārbaudītu savietojamās sistēmas, savietotāja un valsts platformas avietotāja atbilstību normālam ekspluatācijas režīmam, sistēmas uzturētājs pastāvīgi veic monitoringu atbilstoši šādiem parametriem:
Iebildums
Lūdzam papildināt noteikumu projektu, nosakot konkrētus mērķa rādītājus noteikumu projekta 8. punktā minētajiem parametriem.
Piedāvātā redakcija
-
11.
Noteikumu projekts
8. Lai pārbaudītu savietojamās sistēmas, savietotāja un valsts platformas avietotāja atbilstību normālam ekspluatācijas režīmam, sistēmas uzturētājs pastāvīgi veic monitoringu atbilstoši šādiem parametriem:
Iebildums
Lūdzam noteikumu projektā definēt, ko ietver normāls ekspluatācijas režīms.
Piedāvātā redakcija
-
12.
Noteikumu projekts
8.1. savietojamās sistēmas, savietotāja un valsts platformas kritiskās robežas:
Iebildums
Lūdam precizēt noteikumu projektu, nosakot savietojamās sistēmas, savietotāja un valsts platformas kritiskās robežas.
Piedāvātā redakcija
-
13.
Noteikumu projekts
9.3. savietojamās sistēmas un valsts platformas pieejamību nodrošina vismaz 98 procentu apjomā (mēnesī) no savietojamās sistēmas un valsts platformas noteiktā darbības laika. Savietotāja un valsts platformas pieejamību nodrošina vismaz 99 procentu apjomā (mēnesī) no savietotāja un valsts platformas noteiktā darbības laika.
Iebildums
Nosakot pieejamību 98% mēnesī, savietojamā sistēma un valsts platforma var nebūt pieejama līdz pat 14 stundām un 53 minūtēm, kas ir nesamērīgi ilgs laiks, ņemot vērā, ka savietojamajai sistēmai un valsts platformai pēc būtības jābūt pastāvīgi pieejamai diennakts režīmā. Lūdzam precizēt noteikumu projektu, nosakot samērīgus, digitālās transformācijas politikai atbilstošus pieejamības mērķa rādītājus.
Piedāvātā redakcija
-
14.
Noteikumu projekts
10.6. veic pēdējās pilnās rezerves kopijas un tai sekojošo pieauguma kopiju atjaunošanas pārbaudi šo noteikumu 7.6.apakšpunktā minētajā testa vidē ne retāk kā reizi kalendāra gadā.
Iebildums
Lūdzam precizēt noteikumu projektu, paredzot divus pārbaužu veidus:
1) regulāru inkrementālo rezerves kopiju automātisko pārbaudi;
2) vismaz reizi kalendārā gadā pilnu sistēmas atjaunošanas plāna pārbaudi, izmantojot pilnu rezerves kopiju un pēdējo inkrementālo rezerves kopiju.
1) regulāru inkrementālo rezerves kopiju automātisko pārbaudi;
2) vismaz reizi kalendārā gadā pilnu sistēmas atjaunošanas plāna pārbaudi, izmantojot pilnu rezerves kopiju un pēdējo inkrementālo rezerves kopiju.
Piedāvātā redakcija
-
15.
Noteikumu projekts
11. Sistēmas uzturētājs pastāvīgi veic nepieciešamos savietojamās sistēmas, savietotāja un valsts platformas standarta programmatūras (programmatūra, kura nav izstrādāta speciāli savietojamās sistēmas un savietotāja vajadzībām) jauninājumu uzstādīšanu, nodrošinot programmatūras izstrādātāju rekomendēto procedūru regulāru un pienācīgu izpildi. Pirms jauninājumu uzstādīšanas veic testēšanu šo noteikumu 7.6.apakšpunktā minētajā testa vidē.
Iebildums
Lūdzam papildināt noteikumu projekta 11. punktu ar vārdiem "un pārliecinās, ka ir izveidota un pieejama pilna rezerves kopija, kas veikta pirms atjauninājumu uzstādīšanas" pēc vārda "vidē".
Piedāvātā redakcija
Sistēmas uzturētājs pastāvīgi veic nepieciešamos savietojamās sistēmas, savietotāja un valsts platformas standarta programmatūras (programmatūra, kura nav izstrādāta speciāli savietojamās sistēmas un savietotāja vajadzībām) jauninājumu uzstādīšanu, nodrošinot programmatūras izstrādātāju rekomendēto procedūru regulāru un pienācīgu izpildi. Pirms jauninājumu uzstādīšanas veic testēšanu šo noteikumu 7.6. apakšpunktā minētajā testa vidē un pārliecinās, ka ir izveidota un pieejama pilna rezerves kopija, kas veikta pirms atjauninājumu uzstādīšanas.
16.
Noteikumu projekts
2. Noteikumi attiecas uz institūcijām, kuras ir atbildīgas par savietojamo sistēmu, savietotāju un valsts platformu uzturēšanu (turpmāk – sistēmas uzturētājs).
Priekšlikums
Ņemot vērā, ka noteikumu projekta tekstā vairākkārt tiek lietota vārdu kombinācija "savietojamā sistēma, savietotājs un valsts platforma" (attiecīgajā locījumā), aicinām apsvērt iespēju to aizstāt ar vienu terminu.
Piedāvātā redakcija
-
17.
Noteikumu projekts
3.1. savietojamo sistēmu, savietotāju, valsts platformu, kā arī ar tiem saistītos aizsardzības līdzekļus pieslēdz iekārtai, kas nodrošina savietojamās sistēmas, savietotāja un valsts platformas, kā arī ar tiem saistīto aizsardzības līdzekļu darbību ražotāja noteiktas jaudas nepārtrauktas elektroenerģijas piegādes tīklā, kurš pasargā savietojamo sistēmu, savietotāju un valsts platformu, kā arī ar tiem saistītos aizsardzības līdzekļus no īslaicīgiem (līdz 30 minūtēm) elektroenerģijas piegādes traucējumiem. Iekārtas darbības pārbaudi atbilstoši normatīvajiem aktiem par valsts informācijas sistēmu vispārīgām tehniskajām prasībām nodrošina ne retāk kā reizi kalendāra gadā;
Priekšlikums
Ņemot vērā esošo IKT arhitektūru, aicinām VARAM izvērtēt iespēju piemērot diferencētu pieeju savietoto sistēmu, savietotāju un valsts platformu drošības prasībām, piemēram, paredzēt striktākas prasības savietotājiem un valsts platformām, bet pamata prasības sistēmām (pēc līdzības ar Ministru kabineta noteikumiem Nr. 442).
Piedāvātā redakcija
-
18.
Noteikumu projekts
5.2. savietojamās sistēmas, savietotāja un valsts platformas drošības pārvaldnieks ir atbildīgs par to, lai savietojamās sistēmas, savietotāja un valsts platformas infrastruktūras telpās iekļūtu tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve savietojamās sistēmas, savietotāja un valsts platformas infrastruktūrai;
Priekšlikums
Aicinam izvērtēt iespēju 5.2. apakšpunktā un citviet noteikumu projekta tekstā lietot vārdkopu "informācijas un komunikācijas tehnoloģiju infrastruktūra" attiecīgajā locījumā.
Piedāvātā redakcija
-
19.
Noteikumu projekts
6. Sistēmas uzturētājs nodrošina savietotāja un valsts platformas infrastruktūras atbilstību šādām aizsardzības prasībām:
Priekšlikums
Aicinām precizēt, vai noteikumu projekta 6. punktā minētās prasības ir noteiktas kā papildprasības 5. punktā minētajam.
Piedāvātā redakcija
-
20.
Noteikumu projekts
7.7. piekļuvi savietojamās sistēmas, savietotāja un valsts platformas savietotāja administrēšanas un pārvaldības funkcionalitātei nodrošina tikai tām personām, kurām savietojamajā sistēmā, savietotāja un valsts platformas esošā informācija atbilstošā apjomā ir nepieciešama darba pienākumu veikšanai.
Priekšlikums
Aicinām apsvērt iespēju paredzēt "četru acu" principa piemērošanu piekļuvei noteikumu projekta 7.7. apakšpunktā minētajai funkcionalitātei.
Piedāvātā redakcija
-
21.
Noteikumu projekts
10.2. katru dienu veido pieauguma kopijas;
Priekšlikums
Aicinām precizēt noteikumu projekta 10.2. apakšpunkta redakciju, lai padarītu nepārprotamu tiesību normu, vārdkopu "katru dienu" aizstājot ar vārdkopu "vismaz reizi dienā".
Aicinām apsvērt iespēju noteikumu projekta tekstā lietot Latvijas Zinātņu akadēmijas Terminoloģijas komisijas Informācijas tehnoloģijas, telekomunikācijas un elektronikas terminoloģijas apakškomisijas apstiprināto terminu "inkrementālā rezerves kopija" vai "inkrementālā dublējumkopija" (20.03.2009, prot. Nr. 329)
Aicinām apsvērt iespēju noteikumu projekta tekstā lietot Latvijas Zinātņu akadēmijas Terminoloģijas komisijas Informācijas tehnoloģijas, telekomunikācijas un elektronikas terminoloģijas apakškomisijas apstiprināto terminu "inkrementālā rezerves kopija" vai "inkrementālā dublējumkopija" (20.03.2009, prot. Nr. 329)
Piedāvātā redakcija
vismaz reizi dienā veido inkrementālo rezerves kopiju;
22.
Noteikumu projekts
12.1. tās personas darba līgumā vai amata aprakstā, kura apkalpo savietojamo sistēmu, savietotāju un valsts platformu (turpmāk – apkalpojošā persona), iekļauj nosacījumus par konfidencialitātes prasību ievērošanu attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus. Ja savietojamo sistēmu, savietotāju un valsts platformu apkalpo trešā persona (piemēram, komersants vai pašnodarbināta persona), konfidencialitātes prasības nosaka dokumentā, ar kuru nodibina tiesiskās attiecības;
Priekšlikums
Aicinām papildināt noteikumu projekta 12.1. apakšpunkta tekstu ar vārdiem "un atbildību" pēc vārda "ievērošanu".
Piedāvātā redakcija
tās personas darba līgumā vai amata aprakstā, kura apkalpo savietojamo sistēmu, savietotāju un valsts platformu (turpmāk – apkalpojošā persona), iekļauj nosacījumus par konfidencialitātes prasību ievērošanu un atbildību attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus. Ja savietojamo sistēmu, savietotāju un valsts platformu apkalpo trešā persona (piemēram, komersants vai pašnodarbināta persona), konfidencialitātes prasības nosaka dokumentā, ar kuru nodibina tiesiskās attiecības;