Projekta ID
22-TA-3183Atzinuma sniedzējs
Biedrība "Latvijas Informācijas un komunikācijas tehnoloģijas asociācija"
Atzinums iesniegts
02.10.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Iepazīstoties ar Noteikumu projektu un anotāciju, redzams, ka Noteikumu projekts aizstās Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības" (turpmāk - Noteikumi nr. 94). Salīdzinot Noteikumu nr. 94 prasības ar Noteikumu projektā iekļauto regulējumu, ir redzams, ka Noteikumu projektā pārņemtas virkne Noteikumu nr. 94 būtisko prasību, kas attiecas uz publisko elektronisko sakaru tīklu operatoriem. Pārņemto prasību starpā ietilpst tādas prasības, kā:
1. Pienākums identificēt publiskā elektronisko sakaru tīkla kritiskās daļas atbilstoši Noteikumu projekta pielikumā noteiktajai informācijai [Skat. Noteikumu projekta 67.1. punktu un 6.pielikumu un Noteikumu nr. 94 4.3. punktu un 1. pielikumu]
2. Pienākums informēt Satversmes aizsardzības biroju, iesniedzot tam publiskā elektronisko sakaru tīkla kritiskajā daļā lietoto iekārtu, programmatūras un ārpakalpojumu sarakstu, kā arī informēt par izmaiņām tajā [Skat. Noteikumu projekta 67.2. un 67.3. punktu un Noteikumu nr. 94 4.4.punktu]
3. Noteikti izņēmuma gadījumi, kad Satversmes aizsardzības birojs nav jāinformē:
1) ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā ekspluatācijā esoša iekārta;
2) tiek uzstādīti esošās programmatūras atjauninājumi;
3) tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām;
4) kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. [Skat. Noteikumu projekta 67.3. punktu un Noteikumu nr. 94 5. punktu]
4. Noteikts aizliegums lietot publiskā elektronisko sakaru tīkla kritiskajās daļās iekārtas, kuras Satversmes aizsardzības birojs atzinis par neatbilstošām. [Skat. Noteikumu projekta 68. punktu un Noteikumu nr. 94 10. punktu].
5. Noteiktas Satversmes aizsardzības biroja pilnvaras iekārtu un programmatūras novērtējuma veikšanā nosakot pazīmes, pēc kurām Satversmes aizsardzības birojs veic novērtējumu. [Skat. Noteikumu projekta 69. punktu un Noteikumu 94. 11. punktu]
6. Noteiktas Satversmes aizsardzības biroja pilnvaras noteikumos noteikto prasību izpildes uzraudzībā. [Skat. Noteikumu projekta 70. punktu un Noteikumu 94. 27. punktu]
[12] Neraugoties uz to, ka Noteikumu projektā pārņemta lielākā daļa būtisko prasību, kas iepriekš bija atspoguļotas Noteikumos nr. 94, Noteikumu projektā nav saglabātas dažas būtiskas regulējuma daļas, un nav arī sniegts nekāds skaidrojums vai pamatojums šādam regulējuma izmaiņām. Proti, Noteikumu nr. 94 3. punktā bija noteikts, ka tie neattiecas uz:
1) kabeļtelevīzijas tīkliem; (3.1. punkts)
2) publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija; (3.2.punkts)
3) publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām, izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā.(3.3.punkts)
Aicinām saglabāt iepriekš paredzētos regulējuma izņēmumus
[13] Noteikumu projektā iepriekš minētie izņēmumi regulējuma tvērumam nav saglabāti. Noteikumu projekta anotācija nesatur apsvērumus, kas skaidrotu atteikšanos no šiem izņēmumiem. Mūsu ieskatā būtu racionāli šos izņēmumus saglabāt. Kabeļtelevīzijas pakalpojumā tiek nodrošināta vienvirziena datu plūsma, nevis informācijas apmaiņa (izņemot neliela apjoma ne–sensitīvus datus par lietotāja ievadītajām komandām interaktīvās televīzijas saskarnē). Pasīvās iekārtas — t.i., iekārtas, kas “neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija” — nerada būtiskus drošības riskus, jo tās nespēj veikt slēptas, grūti pamanāmas manipulācijas ar datiem. Visbeidzot, galalietotāja īpašumā esošo iekārtu pakļaušana tām prasībām, kas noteiktas publiskajiem elektronisko sakaru tīkliem, ir praktiski neīstenojama. Šo izņēmumu neiekļaušana topošajos noteikumus var izraisīt nelietderīgu administratīvā sloga un izdevumu pieaugumu gan uzraugošajām iestādēm, gan Nacionālās kiberdrošības likumam pakļautajiem “subjektiem”. Tāpēc aicinām Aizsardzības ministriju Noteikumu projektu papildināt ar to izņēmumu uzskaitījumu, kas patlaban atrodams Noteikumu nr. 94 3. punktā.
Aicinām precizēt atbilstības prasību regulējumu, balstoties uz prasībām par patieso labuma guvēju
Izņēmuma procedūras trūkums
[22] Noteikumu projekta 80. punkts dod tiesības “kompetentajai valsts drošības iestādei” atļaut līguma slēgšanu ar pakalpojuma vai preces piegādātāju, kas neatbilst punktā uzskaitītajām izcelsmes prasībām (mūsu izcēlums):
“80. […] atļauts slēgt tikai ar:
80.1. juridisku personu, kura […];
80.2. fizisku personu, kura […];
80.3. citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.”
[23] Tomēr Noteikumu projekts nepaskaidro, kas šī punkta izpratnē ir “kompetentā valsts drošības iestāde” un kas un kad var pieprasīt tās atļauju. Ja atļaujas izsniegšanas procedūrai nav pietiekami skaidra regulējuma, var prognozēt, ka tā izrādīsies praktiski nefunkcionējoša un arī nesavietojama ar iepirkuma regulējumu. Tāpēc aicinām Aizsardzības ministriju papildināt Noteikumu projekta 80.3. punktu ar norādi uz konkrētu iestādi un ar atļaujas izsniegšanas procedūras regulējumu.
Aicinām precizēt 67.2. punkta izpildes kārtību, lai novērstu nesamērīgu administratīvo slogu
[24] Noteikumu projekta 67.2. punktā paredzētās prasības par tīkla kritiskajā daļā izmantoto iekārtu saraksta sagatavošanu un iesniegšanu Satversmes aizsardzības birojam tādā pat veidā bija ietvertas Noteikumu nr. 94 4.4.punktā. Noteikumu nr. 94 30.1. punktā bijā noteikts, ka šī prasība ir jāizpilda 6 mēnešu laikā pēc minēto noteikumu spēkā stāšanās. Noteikumi nr. 94 stājās spēkā 2023. gada 28. februārī. Tādējādi komersantiem, uz kuriem šī prasība atteicās tā jau bija jāizpilda līdz 2023. gada 28. augustam. Būtu nesamērīgi prasīt komersantiem, kuri šo prasību jau vienreiz ir izpildījuši, uzlikt par pienākumu to izpildīt vēlreiz. Aicinām Noteikumu projektā precizēt tos subjektus, uz kuriem šī prasība attiecas.
1. Pienākums identificēt publiskā elektronisko sakaru tīkla kritiskās daļas atbilstoši Noteikumu projekta pielikumā noteiktajai informācijai [Skat. Noteikumu projekta 67.1. punktu un 6.pielikumu un Noteikumu nr. 94 4.3. punktu un 1. pielikumu]
2. Pienākums informēt Satversmes aizsardzības biroju, iesniedzot tam publiskā elektronisko sakaru tīkla kritiskajā daļā lietoto iekārtu, programmatūras un ārpakalpojumu sarakstu, kā arī informēt par izmaiņām tajā [Skat. Noteikumu projekta 67.2. un 67.3. punktu un Noteikumu nr. 94 4.4.punktu]
3. Noteikti izņēmuma gadījumi, kad Satversmes aizsardzības birojs nav jāinformē:
1) ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā ekspluatācijā esoša iekārta;
2) tiek uzstādīti esošās programmatūras atjauninājumi;
3) tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām;
4) kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. [Skat. Noteikumu projekta 67.3. punktu un Noteikumu nr. 94 5. punktu]
4. Noteikts aizliegums lietot publiskā elektronisko sakaru tīkla kritiskajās daļās iekārtas, kuras Satversmes aizsardzības birojs atzinis par neatbilstošām. [Skat. Noteikumu projekta 68. punktu un Noteikumu nr. 94 10. punktu].
5. Noteiktas Satversmes aizsardzības biroja pilnvaras iekārtu un programmatūras novērtējuma veikšanā nosakot pazīmes, pēc kurām Satversmes aizsardzības birojs veic novērtējumu. [Skat. Noteikumu projekta 69. punktu un Noteikumu 94. 11. punktu]
6. Noteiktas Satversmes aizsardzības biroja pilnvaras noteikumos noteikto prasību izpildes uzraudzībā. [Skat. Noteikumu projekta 70. punktu un Noteikumu 94. 27. punktu]
[12] Neraugoties uz to, ka Noteikumu projektā pārņemta lielākā daļa būtisko prasību, kas iepriekš bija atspoguļotas Noteikumos nr. 94, Noteikumu projektā nav saglabātas dažas būtiskas regulējuma daļas, un nav arī sniegts nekāds skaidrojums vai pamatojums šādam regulējuma izmaiņām. Proti, Noteikumu nr. 94 3. punktā bija noteikts, ka tie neattiecas uz:
1) kabeļtelevīzijas tīkliem; (3.1. punkts)
2) publiskajos elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija; (3.2.punkts)
3) publisko elektronisko sakaru tīklu gala iekārtām pie klienta un citām galalietotāja iekārtām, izņemot gadījumus, ja gala iekārta ir publiskā elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā.(3.3.punkts)
Aicinām saglabāt iepriekš paredzētos regulējuma izņēmumus
[13] Noteikumu projektā iepriekš minētie izņēmumi regulējuma tvērumam nav saglabāti. Noteikumu projekta anotācija nesatur apsvērumus, kas skaidrotu atteikšanos no šiem izņēmumiem. Mūsu ieskatā būtu racionāli šos izņēmumus saglabāt. Kabeļtelevīzijas pakalpojumā tiek nodrošināta vienvirziena datu plūsma, nevis informācijas apmaiņa (izņemot neliela apjoma ne–sensitīvus datus par lietotāja ievadītajām komandām interaktīvās televīzijas saskarnē). Pasīvās iekārtas — t.i., iekārtas, kas “neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija” — nerada būtiskus drošības riskus, jo tās nespēj veikt slēptas, grūti pamanāmas manipulācijas ar datiem. Visbeidzot, galalietotāja īpašumā esošo iekārtu pakļaušana tām prasībām, kas noteiktas publiskajiem elektronisko sakaru tīkliem, ir praktiski neīstenojama. Šo izņēmumu neiekļaušana topošajos noteikumus var izraisīt nelietderīgu administratīvā sloga un izdevumu pieaugumu gan uzraugošajām iestādēm, gan Nacionālās kiberdrošības likumam pakļautajiem “subjektiem”. Tāpēc aicinām Aizsardzības ministriju Noteikumu projektu papildināt ar to izņēmumu uzskaitījumu, kas patlaban atrodams Noteikumu nr. 94 3. punktā.
Aicinām precizēt atbilstības prasību regulējumu, balstoties uz prasībām par patieso labuma guvēju
Izņēmuma procedūras trūkums
[22] Noteikumu projekta 80. punkts dod tiesības “kompetentajai valsts drošības iestādei” atļaut līguma slēgšanu ar pakalpojuma vai preces piegādātāju, kas neatbilst punktā uzskaitītajām izcelsmes prasībām (mūsu izcēlums):
“80. […] atļauts slēgt tikai ar:
80.1. juridisku personu, kura […];
80.2. fizisku personu, kura […];
80.3. citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.”
[23] Tomēr Noteikumu projekts nepaskaidro, kas šī punkta izpratnē ir “kompetentā valsts drošības iestāde” un kas un kad var pieprasīt tās atļauju. Ja atļaujas izsniegšanas procedūrai nav pietiekami skaidra regulējuma, var prognozēt, ka tā izrādīsies praktiski nefunkcionējoša un arī nesavietojama ar iepirkuma regulējumu. Tāpēc aicinām Aizsardzības ministriju papildināt Noteikumu projekta 80.3. punktu ar norādi uz konkrētu iestādi un ar atļaujas izsniegšanas procedūras regulējumu.
Aicinām precizēt 67.2. punkta izpildes kārtību, lai novērstu nesamērīgu administratīvo slogu
[24] Noteikumu projekta 67.2. punktā paredzētās prasības par tīkla kritiskajā daļā izmantoto iekārtu saraksta sagatavošanu un iesniegšanu Satversmes aizsardzības birojam tādā pat veidā bija ietvertas Noteikumu nr. 94 4.4.punktā. Noteikumu nr. 94 30.1. punktā bijā noteikts, ka šī prasība ir jāizpilda 6 mēnešu laikā pēc minēto noteikumu spēkā stāšanās. Noteikumi nr. 94 stājās spēkā 2023. gada 28. februārī. Tādējādi komersantiem, uz kuriem šī prasība atteicās tā jau bija jāizpilda līdz 2023. gada 28. augustam. Būtu nesamērīgi prasīt komersantiem, kuri šo prasību jau vienreiz ir izpildījuši, uzlikt par pienākumu to izpildīt vēlreiz. Aicinām Noteikumu projektā precizēt tos subjektus, uz kuriem šī prasība attiecas.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
25. Iebilstam pret Noteikumu projekta 8.3. apakšpunktu.
Pamatojums:
Noteikumu projekta 8.3.apakšpunkts nosaka prasības kiberdrošības pārvaldniekam.
“8.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā”;
Uzskatām, ka kiberdrošības pārvaldība ir būtisks process un nav pieļaujams, ka kiberdrošības pasākumus organizē persona ar nepietiekošām zināšanām un pieredzes. Salīdzinoši ar citiem drošības virzieniem, piemēram darba aizsardzības, elektroaizsardzības, ugunsdrošības nepieciešami kvalifikāciju apstiprinoši sertifikāti, t.sk. personas datu aizsardzības speciālistiem ir jākārto kvalifikāciju apliecinošs eksāmens. Salīdzinājumam, lai varētu kļūt par darba aizsardzības speciālistu, tā kvalifikācijai ir noteiktas prasības MK 2010.gada 10.augusta noteikumu Nr.749 "Noteikumi par apmācību darba aizsardzības jautājumos" 4., 5., 6. punktos. Lai iegūtu augstākminētos starptautiskos sertifikātus, jākārto kvalifikācijas eksāmens un jābūt vismaz 5 gadu profesionālajai pieredzei. Lai iegūtu starptautisku sertifikātu, personai ir jābūt apliecinātai pieredzei jomā un ir pienākums, regulāri papildināt savas zināšanas, par ko noteiktos laika periodos ir jāsniedz informācija sertifikāta uzturētājiem. Divu gadu darba pieredze bez teorētisko un praktisko zināšanu apliecināšanas ir nepietiekoša, lai kļūtu par kiberdrošības pārvaldnieku. Esošā Noteikumu projekta redakcija neparedz kvalifikācijas uzturēšanu vai celšanu.
Pamatojums:
Noteikumu projekta 8.3.apakšpunkts nosaka prasības kiberdrošības pārvaldniekam.
“8.3.kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā”;
Uzskatām, ka kiberdrošības pārvaldība ir būtisks process un nav pieļaujams, ka kiberdrošības pasākumus organizē persona ar nepietiekošām zināšanām un pieredzes. Salīdzinoši ar citiem drošības virzieniem, piemēram darba aizsardzības, elektroaizsardzības, ugunsdrošības nepieciešami kvalifikāciju apstiprinoši sertifikāti, t.sk. personas datu aizsardzības speciālistiem ir jākārto kvalifikāciju apliecinošs eksāmens. Salīdzinājumam, lai varētu kļūt par darba aizsardzības speciālistu, tā kvalifikācijai ir noteiktas prasības MK 2010.gada 10.augusta noteikumu Nr.749 "Noteikumi par apmācību darba aizsardzības jautājumos" 4., 5., 6. punktos. Lai iegūtu augstākminētos starptautiskos sertifikātus, jākārto kvalifikācijas eksāmens un jābūt vismaz 5 gadu profesionālajai pieredzei. Lai iegūtu starptautisku sertifikātu, personai ir jābūt apliecinātai pieredzei jomā un ir pienākums, regulāri papildināt savas zināšanas, par ko noteiktos laika periodos ir jāsniedz informācija sertifikāta uzturētājiem. Divu gadu darba pieredze bez teorētisko un praktisko zināšanu apliecināšanas ir nepietiekoša, lai kļūtu par kiberdrošības pārvaldnieku. Esošā Noteikumu projekta redakcija neparedz kvalifikācijas uzturēšanu vai celšanu.
Piedāvātā redakcija
Priekšlikums Izteikt 8.3. apakšpunktu sekojošā redakcijā:
“8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas ir spēkā esošs un apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP) un kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā.”
“8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas ir spēkā esošs un apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP) un kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā.”
3.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 19.punktu un 4.pielikumu:
Noteikumu projekta 19.punkts nosaka, ka “subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai”. Savukārt 4.pielikuma A klases konfidencialitātes klases (a) pazīme nosaka, ka “informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus;”.
Nepieciešams precizēt Anotācijā, kā tiek noteikta aprēķināmo procentu bāze, jo komersanti neveic personas datu profilēšanu pēc valstspiederības, ja vien to īpaši neparedz likums (un lielākoties gadījumos to neparedz likums), savukārt citi personas datu apstrādes pamati (uz līguma pamata, leģitīmas intereses pamata, piekrišanas pamata), ko komersanti izmanto personas datu apstrādē, nepieprasa šādu datu vākšanu un apstrādi.
Noteikumu projekta 19.punkts nosaka, ka “subjekts nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) atbilstoši šo noteikumu 4. pielikumā ietvertajai metodikai katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai”. Savukārt 4.pielikuma A klases konfidencialitātes klases (a) pazīme nosaka, ka “informācijas resurss satur vismaz 70% Latvijas Republikas valstspiederīgo personas datus;”.
Nepieciešams precizēt Anotācijā, kā tiek noteikta aprēķināmo procentu bāze, jo komersanti neveic personas datu profilēšanu pēc valstspiederības, ja vien to īpaši neparedz likums (un lielākoties gadījumos to neparedz likums), savukārt citi personas datu apstrādes pamati (uz līguma pamata, leģitīmas intereses pamata, piekrišanas pamata), ko komersanti izmanto personas datu apstrādē, nepieprasa šādu datu vākšanu un apstrādi.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 20.punktu:
Noteikumu projekta 20.punkts paredz, ka “subjekts tā turējumā vai lietošanā esošās informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi saskaņo ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju”.
Nepieciešams skaidrot šīs prasības mērķi Anotācijā vai to dzēst, jo, ja jau ar Noteikumu projekta 19.punktu noteikts pienākums Subjektam noteikt informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi, tad nav saprotams, kāpēc tā būtu vēl skaņojama ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju un kāds ir šīs prasības izpildes ieguvums.
Noteikumu projekta 20.punkts paredz, ka “subjekts tā turējumā vai lietošanā esošās informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi saskaņo ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju”.
Nepieciešams skaidrot šīs prasības mērķi Anotācijā vai to dzēst, jo, ja jau ar Noteikumu projekta 19.punktu noteikts pienākums Subjektam noteikt informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi, tad nav saprotams, kāpēc tā būtu vēl skaņojama ar šīs informācijas sistēmas īpašnieku vai tiesisko valdītāju un kāds ir šīs prasības izpildes ieguvums.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 35.punktu:
Noteikumu projekta 33.punktā norādīts, ka “subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi”, ko varētu uzskatīt par lietotāju un piekļuves tiesību pārvaldības virsuzdevumu un mērķi, savukārt 35.punkts nosaka detalizētas prasības, kurām it kā būtu jākalpo, lai sasniegtu 33.punktā noteikto mērķi. 35.punktā minētās prasības ir šauri piemērojamas un tehnoloģiski ierobežojošas, ņemot vērā subjektu uzņēmējdarbības veidu un modeļu tīkla un informācijas sistēmu dažādības un vajadzību praksi. Vienveidīga 33.punktā noteiktā mērķa sasniegšana veicinās ne tikai ievainojamības riska paaugstināšanos, bet arī kavēs tehnoloģisko un tehnisko risinājumu inovācijas.
Aicinām no 35.punktā noteiktajām prasībām atteikties vai izteikt 35.punktu šādi:
“35. Subjekts nodrošina, ka IKT resursi ir aizsargāti ar drošu autentifikācijas un autorizācijas mehānismu, kas tiek izmantots lai novērstu neautorizētu piekļuvi IKT resursiem. Autentifikācijas un autorizācijas kontroles ietver un sistēmkonti un administratoru konti netiek izmantoti ikdienas darbā ar IKT resursiem, tostarp tiek veikta:
35.1. administratoru kontu nodalīšana no lietotāju kontiem un izmantošanas uzraudzība;
35.2. sistēmkontu nodalīšana no lietotāju kontiem, sistēmkontu piekļuves tiesību ierobežošana un uzraudzība”.
Noteikumu projekta 33.punktā norādīts, ka “subjekts nodrošina lietotāju piekļuves tiesību pārvaldību, lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi”, ko varētu uzskatīt par lietotāju un piekļuves tiesību pārvaldības virsuzdevumu un mērķi, savukārt 35.punkts nosaka detalizētas prasības, kurām it kā būtu jākalpo, lai sasniegtu 33.punktā noteikto mērķi. 35.punktā minētās prasības ir šauri piemērojamas un tehnoloģiski ierobežojošas, ņemot vērā subjektu uzņēmējdarbības veidu un modeļu tīkla un informācijas sistēmu dažādības un vajadzību praksi. Vienveidīga 33.punktā noteiktā mērķa sasniegšana veicinās ne tikai ievainojamības riska paaugstināšanos, bet arī kavēs tehnoloģisko un tehnisko risinājumu inovācijas.
Aicinām no 35.punktā noteiktajām prasībām atteikties vai izteikt 35.punktu šādi:
“35. Subjekts nodrošina, ka IKT resursi ir aizsargāti ar drošu autentifikācijas un autorizācijas mehānismu, kas tiek izmantots lai novērstu neautorizētu piekļuvi IKT resursiem. Autentifikācijas un autorizācijas kontroles ietver un sistēmkonti un administratoru konti netiek izmantoti ikdienas darbā ar IKT resursiem, tostarp tiek veikta:
35.1. administratoru kontu nodalīšana no lietotāju kontiem un izmantošanas uzraudzība;
35.2. sistēmkontu nodalīšana no lietotāju kontiem, sistēmkontu piekļuves tiesību ierobežošana un uzraudzība”.
Piedāvātā redakcija
-
6.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 35.1. apakšpunktu.
Pamatojums:
Iebilstam pret Noteikumu projekta 35.1. apakšpunkta redakciju, kas nosaka lietotāju un piekļuves tiesību pārvaldību. “35.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, vienlaikus nodrošinot katra lietotāja veikto darbību informācijas sistēmā uzskaiti citā veidā (piemēram, manuāli veicot ierakstus žurnālā)”.
Piemēram, apsardzes darbinieka postenī videonovērošanas sistēmai tiek izmantots koplietošanas konts. Sistēma nodrošina auditācijas pierakstu veidošanu par veiktajām darbībām ar sistēmu. Nav nepieciešamības manuāli pierakstīt darbinieka veiktās darbības sistēmā, pietiek identificēt darbinieku, kurš attiecīgajā laika posmā atradās dežūrpostenī.
Pamatojums:
Iebilstam pret Noteikumu projekta 35.1. apakšpunkta redakciju, kas nosaka lietotāju un piekļuves tiesību pārvaldību. “35.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams pēc veiksmīgas autentifikācijas informācijas sistēmā izmantot kopīgu kontu vairākiem lietotājiem, vienlaikus nodrošinot katra lietotāja veikto darbību informācijas sistēmā uzskaiti citā veidā (piemēram, manuāli veicot ierakstus žurnālā)”.
Piemēram, apsardzes darbinieka postenī videonovērošanas sistēmai tiek izmantots koplietošanas konts. Sistēma nodrošina auditācijas pierakstu veidošanu par veiktajām darbībām ar sistēmu. Nav nepieciešamības manuāli pierakstīt darbinieka veiktās darbības sistēmā, pietiek identificēt darbinieku, kurš attiecīgajā laika posmā atradās dežūrpostenī.
Piedāvātā redakcija
Priekšlikums Izteikt 35.1. apakšpunktu sekojošā redakcijā:
“35.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams izmantot, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā, piemēram maiņu grafiks, videonovērošana”.
“35.1. lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas darbības nepārtrauktības dēļ aktīvā lietotāja konta nomaiņa tās lietošanas laikā nav iespējama), pieļaujams izmantot, ja tiek nodrošināta iespēja identificēt lietotāju citā veidā, piemēram maiņu grafiks, videonovērošana”.
7.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 35.4. apakšpunktu.
Pamatojums:
Iebilstam pret Noteikumu projekta 35.4. apakšpunkta redakciju, kas nosaka lietotāju un piekļuves tiesību pārvaldību. “35.4.standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības), tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;
Priekšlikums:
Lūdzam skaidrot Noteikumu projekta 35.4.apakšpunktu precīzāk, neizmantojot noliegumus.
Pamatojums:
Iebilstam pret Noteikumu projekta 35.4. apakšpunkta redakciju, kas nosaka lietotāju un piekļuves tiesību pārvaldību. “35.4.standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai. Ja tas nav tehniski iespējams (piemēram, ja informācijas sistēmas tehniskais risinājums ļauj droši veikt administrēšanu, piešķirot (eskalējot) standarta lietotāja kontam administratora tiesības), tad uzskatāms, ka standarta lietotāja konts ar administratora tiesībām ir administratora lietotāja konts;
Priekšlikums:
Lūdzam skaidrot Noteikumu projekta 35.4.apakšpunktu precīzāk, neizmantojot noliegumus.
Piedāvātā redakcija
-
8.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 36.punktu:
Noteikumu projekta 36.punkts nosaka, ka “ja vien tas ir tehniski iespējams, subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu: A un B kategorijas informācijas sistēmas administratora lietotāja kontam; A kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai no lietotāja privātās ierīces.”.
Nepieciešams skaidrot Anotācijā, kas tiek saprasts ar atrunu “ja vien tas ir tehniski iespējams” šī punkta kontekstā, kā arī kas tiek saprasts ar jēdzienu kopumu “piekļuve kontam” un vai tas ietver arī konta piekļuvi tīkla un informācijas sistēmām.
Noteikumu projekta 36.punkts nosaka, ka “ja vien tas ir tehniski iespējams, subjekts nodrošina obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu, lai piekļūtu: A un B kategorijas informācijas sistēmas administratora lietotāja kontam; A kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai no lietotāja privātās ierīces.”.
Nepieciešams skaidrot Anotācijā, kas tiek saprasts ar atrunu “ja vien tas ir tehniski iespējams” šī punkta kontekstā, kā arī kas tiek saprasts ar jēdzienu kopumu “piekļuve kontam” un vai tas ietver arī konta piekļuvi tīkla un informācijas sistēmām.
Piedāvātā redakcija
-
9.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 37.punktu:
(1) Noteikumu projekta 37.punkts paredz, ka “subjekts nodrošina, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus”, tostarp nosaka detalizētas prasības attiecībā uz informēšanu, informācijas sistēmas lietošanas noteikumu pieejamību un apmācībām.
Pirmkārt, vienā uzņēmumā var būt desmitiem IS un katrai no IS atkarībā no nozīmīguma un funkcijas var nebūt savi, atsevišķi lietošanas noteikumi, bet uz tās lietošanu tiek attiecināti vispārīgi noteikumi, kas jāievēro informācijas sistēmas lietotājiem. Prasība izstrādāt katrai IS savus lietošanas noteikumu nav lietderīga un radīs tikai administratīvo slogu kiberdrošības pārvaldības procesā, tāpēc aicinām precizēt Anotācijā, ka IS var būt piemērojami centralizēti lietošanas noteikumi, kamēr tie visaptveroši pilda informēšanas funkciju lietotājiem attiecībā uz to pienākumiem un tiesībām IS lietošanas gaitā.
(2) Noteikumu projekta 37.3.apakšpunkts paredz “vismaz reizi gadā organizēt apmācību visiem reģistrētiem informācijas sistēmas lietotājiem par informācijas sistēmas lietošanas noteikumiem”.
Prasība ir dzēšama no Noteikumu projekta, ņemot vērā, ka Noteikumu projekta 3.11.sadaļā Kiberhigiēnas pasākumi ir ietverts Subjektam pienākums organizēt sākotnējas, kārtējas un ārkārtas apmācības instruktāžas formā atbilstoši nodarbinātā un Subjekta darbības specifikai, kas nepārprotami ietver arī IS lietošanu. No resursu pārvaldības un lietderības skatupunkta organizēt atsevišķas apmācības visiem lietotājiem (nodarbinātajiem) tikai par informācijas sistēmu lietošanas noteikumiem nav pamatoti.
(1) Noteikumu projekta 37.punkts paredz, ka “subjekts nodrošina, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus”, tostarp nosaka detalizētas prasības attiecībā uz informēšanu, informācijas sistēmas lietošanas noteikumu pieejamību un apmācībām.
Pirmkārt, vienā uzņēmumā var būt desmitiem IS un katrai no IS atkarībā no nozīmīguma un funkcijas var nebūt savi, atsevišķi lietošanas noteikumi, bet uz tās lietošanu tiek attiecināti vispārīgi noteikumi, kas jāievēro informācijas sistēmas lietotājiem. Prasība izstrādāt katrai IS savus lietošanas noteikumu nav lietderīga un radīs tikai administratīvo slogu kiberdrošības pārvaldības procesā, tāpēc aicinām precizēt Anotācijā, ka IS var būt piemērojami centralizēti lietošanas noteikumi, kamēr tie visaptveroši pilda informēšanas funkciju lietotājiem attiecībā uz to pienākumiem un tiesībām IS lietošanas gaitā.
(2) Noteikumu projekta 37.3.apakšpunkts paredz “vismaz reizi gadā organizēt apmācību visiem reģistrētiem informācijas sistēmas lietotājiem par informācijas sistēmas lietošanas noteikumiem”.
Prasība ir dzēšama no Noteikumu projekta, ņemot vērā, ka Noteikumu projekta 3.11.sadaļā Kiberhigiēnas pasākumi ir ietverts Subjektam pienākums organizēt sākotnējas, kārtējas un ārkārtas apmācības instruktāžas formā atbilstoši nodarbinātā un Subjekta darbības specifikai, kas nepārprotami ietver arī IS lietošanu. No resursu pārvaldības un lietderības skatupunkta organizēt atsevišķas apmācības visiem lietotājiem (nodarbinātajiem) tikai par informācijas sistēmu lietošanas noteikumiem nav pamatoti.
Piedāvātā redakcija
-
10.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 39.6. apakšpunktu.
Pamatojums:
Noteikumu projekta 39.6. apakšpunkts regulē tīklu pārvaldības jautājumu un nosaka: “39.6. ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi”.
Lūdzam precizēt vai tiešām viesu piekļuvei internetam ir jābūt atsevišķi ierīkotai kā fiziskam tīklam - iekšējā tīklā atsevišķiem rūteriem, vadiem un wi-fi antenām. Tas rada situāciju, ka nepieciešams uzturēt 2 paralēlas infrastruktūras ikkatrā iestādē kurā jānodrošina viesu tīkls. Viesu piekļuvi internetam var organizēt dažādos veidos, tajā skaitā loģiski nodalot, piemēram, ar 802.1x autentifikāciju. Neautentificētās iekārtas saņem Guest tīklu un tiešu izeju uz internetu.
Aicinām aizstāt saikli “un” ar “vai”.
Pamatojums:
Noteikumu projekta 39.6. apakšpunkts regulē tīklu pārvaldības jautājumu un nosaka: “39.6. ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi”.
Lūdzam precizēt vai tiešām viesu piekļuvei internetam ir jābūt atsevišķi ierīkotai kā fiziskam tīklam - iekšējā tīklā atsevišķiem rūteriem, vadiem un wi-fi antenām. Tas rada situāciju, ka nepieciešams uzturēt 2 paralēlas infrastruktūras ikkatrā iestādē kurā jānodrošina viesu tīkls. Viesu piekļuvi internetam var organizēt dažādos veidos, tajā skaitā loģiski nodalot, piemēram, ar 802.1x autentifikāciju. Neautentificētās iekārtas saņem Guest tīklu un tiešu izeju uz internetu.
Aicinām aizstāt saikli “un” ar “vai”.
Piedāvātā redakcija
Priekšlikums Izteikt 39.6. apakšpunktu sekojošā redakcijā:
“39.6.ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi”.
“39.6.ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi”.
11.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 41.4. apakšpunktu.
Pamatojums:
Noteikumu projekta 41.4. apakšpunkts nosaka kādu informāciju informācijas sistēmas auditācijas pierakstos ietver. “41.4.datu pievienošanu, izmaiņām un dzēšanu”.
Salīdzinot ar spēkā esošo regulējumu (Ministru kabineta noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunkts.) ir vājināti nosacījumi, nav iekļauta datu atlase. Ja netiek iekļauta informācija par datu atlasi, ir neiespējami izpildīt Vispārīgās datu aizsardzības regulas Eiropas Parlamenta un Padomes Regula (ES) 2016/679 prasību par tiesībām uz dzēšanu (tiesības "tikt aizmirstam").
Papildināt Noteikumu projekta 41.4.apakšpunktu, ņemot vērā spēkā esošo Ministru kabineta noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunktu par auditācijas pierakstiem datu atlasei.
Pamatojums:
Noteikumu projekta 41.4. apakšpunkts nosaka kādu informāciju informācijas sistēmas auditācijas pierakstos ietver. “41.4.datu pievienošanu, izmaiņām un dzēšanu”.
Salīdzinot ar spēkā esošo regulējumu (Ministru kabineta noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunkts.) ir vājināti nosacījumi, nav iekļauta datu atlase. Ja netiek iekļauta informācija par datu atlasi, ir neiespējami izpildīt Vispārīgās datu aizsardzības regulas Eiropas Parlamenta un Padomes Regula (ES) 2016/679 prasību par tiesībām uz dzēšanu (tiesības "tikt aizmirstam").
Papildināt Noteikumu projekta 41.4.apakšpunktu, ņemot vērā spēkā esošo Ministru kabineta noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10.apakšpunktu par auditācijas pierakstiem datu atlasei.
Piedāvātā redakcija
Priekšlikums Izteikt 41.4. apakšpunktu sekojošā redakcijā:
“41.4.datu pievienošanu, izmaiņām, dzēšanu un datu atlasi”.
“41.4.datu pievienošanu, izmaiņām, dzēšanu un datu atlasi”.
12.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 51.2.apakšpunktu:
Noteikumu projekta 51.2.apakšpunkts paredz, ka “51.2.rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija: 51.2.1.A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša, gada un diviem gadiem; 51.2.2. B kategorijas informācijas sistēmai – pirms nedēļas, mēneša, gada un diviem gadiem; 51.2.3. C kategorijas informācijas sistēmai – pirms mēneša, gada un diviem gadiem.”.
Šādu termiņu noteikšana nav pamatota un lietderīga – katrai IS var būt dažādas rezerves kopiju sagatavošanas vajadzības atkarībā no IS mērķa un pielietojuma. Rezerves kopiju veidošanas periodiskums nebūtu jāstandartizē, jo subjektu dažādība un to informācijas sistēmu un tīkla vajadzības atšķiras, tāpēc subjekta kiberdrošības pārvaldniekam ir jānosaka un jāpamato IS rezerves kopiju periodiskums kiberrisku pārvaldības plānā un no tā izrietošajos dokumentos.
Noteikumu projekta 51.2.apakšpunkts paredz, ka “51.2.rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija: 51.2.1.A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša, gada un diviem gadiem; 51.2.2. B kategorijas informācijas sistēmai – pirms nedēļas, mēneša, gada un diviem gadiem; 51.2.3. C kategorijas informācijas sistēmai – pirms mēneša, gada un diviem gadiem.”.
Šādu termiņu noteikšana nav pamatota un lietderīga – katrai IS var būt dažādas rezerves kopiju sagatavošanas vajadzības atkarībā no IS mērķa un pielietojuma. Rezerves kopiju veidošanas periodiskums nebūtu jāstandartizē, jo subjektu dažādība un to informācijas sistēmu un tīkla vajadzības atšķiras, tāpēc subjekta kiberdrošības pārvaldniekam ir jānosaka un jāpamato IS rezerves kopiju periodiskums kiberrisku pārvaldības plānā un no tā izrietošajos dokumentos.
Piedāvātā redakcija
Aicinām precizēt apakšpunktu šādi:
“51.2.rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku, kas ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija, nosaka subjekta kiberdrošības pārvaldnieks”.
“51.2.rezerves kopiju veidošanas periodiskumu un uzglabāšanas laiku, kas ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija, nosaka subjekta kiberdrošības pārvaldnieks”.
13.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 55. punktu.
Pamatojums:
Noteikumu projekta 55.punkts nosaka kiberhigiēnas pasākumus.
“55.Subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:”
Noteikumu projektā nav noteikts, kas izstrādās un atjauninās kiberdrošības apmācību materiālus un veiks pārbaudes.
Priekšlikums:
Papildināt 55. punktu ar jaunu apakšpunktu.
“Subjekts ieceļ atbildīgo personu par kiberhigiēnas pasākumiem”.
Pamatojums:
Noteikumu projekta 55.punkts nosaka kiberhigiēnas pasākumus.
“55.Subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, izvēloties tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Apmācību kopums ietver:”
Noteikumu projektā nav noteikts, kas izstrādās un atjauninās kiberdrošības apmācību materiālus un veiks pārbaudes.
Priekšlikums:
Papildināt 55. punktu ar jaunu apakšpunktu.
“Subjekts ieceļ atbildīgo personu par kiberhigiēnas pasākumiem”.
Piedāvātā redakcija
-
14.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 57. punktu.
Pamatojums:
Apmācības atkarībā no organizācijas izmēra, kiberdrošības pārvaldnieka atrašanās organizācijā vai ārpakalpojumā var tikt organizētas dažādā veidā.
Aicinām noteikt, ka mācības organizē atbildīgā persona par kiberdrošības apmācībām.
Pamatojums:
Apmācības atkarībā no organizācijas izmēra, kiberdrošības pārvaldnieka atrašanās organizācijā vai ārpakalpojumā var tikt organizētas dažādā veidā.
Aicinām noteikt, ka mācības organizē atbildīgā persona par kiberdrošības apmācībām.
Piedāvātā redakcija
Priekšlikums Izteikt Noteikumu projekta 57.punktu šādā redakcijā:
“57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē atbildīgo personu par mācību organizēšanu un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža”.
“57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē atbildīgo personu par mācību organizēšanu un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža”.
15.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 85. punktu.
Pamatojums:
Noteikumu projekta 85.punkts nosaka īpašās ārpakalpojumu prasības. “85.Slēdzot ārpakalpojuma līgumu par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, subjekts paredz, ka:
85.1.auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst šo noteikumu 80. punkta prasībām;
85.2.auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību;
85.3.auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā”.
Mūsu ieskatā ir jānosaka, ka auditors nevar būt kāds, kas ir jau līguma attiecībās ar subjektu, ir piedalījies sistēmas izstrādē, testēšanā, uzturēšanā vai kam ir interešu konflikts vai citu apstākļu dēļ nevar nodrošināt objektivitāti un neatkarību.
Priekšlikums:
Papildināt 85. punktu ar jauniem apakšpunktiem:
“85.4. pēdējo trīs gadu laikā auditors nav piedalījies auditējamās informācijas sistēmas vai tās daļas izstrādē, uzturēšanā, testēšanā;
85.5. auditoram nav interešu konflikts vai citi apstākļi, kuru dēļ nav nodrošināma objektivitāte un neatkarība”.
Pamatojums:
Noteikumu projekta 85.punkts nosaka īpašās ārpakalpojumu prasības. “85.Slēdzot ārpakalpojuma līgumu par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, subjekts paredz, ka:
85.1.auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst šo noteikumu 80. punkta prasībām;
85.2.auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību;
85.3.auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā”.
Mūsu ieskatā ir jānosaka, ka auditors nevar būt kāds, kas ir jau līguma attiecībās ar subjektu, ir piedalījies sistēmas izstrādē, testēšanā, uzturēšanā vai kam ir interešu konflikts vai citu apstākļu dēļ nevar nodrošināt objektivitāti un neatkarību.
Priekšlikums:
Papildināt 85. punktu ar jauniem apakšpunktiem:
“85.4. pēdējo trīs gadu laikā auditors nav piedalījies auditējamās informācijas sistēmas vai tās daļas izstrādē, uzturēšanā, testēšanā;
85.5. auditoram nav interešu konflikts vai citi apstākļi, kuru dēļ nav nodrošināma objektivitāte un neatkarība”.
Piedāvātā redakcija
-
16.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 92.4.apakšpunktu:
Noteikumu projekta 92.4.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm: kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;”.
Uzņēmumiem, kas ir šī likuma subjekti, lielākā daļa no informācijas, it īpaši informācija, kas skar biznesa procesus, cenošanu, piegādes ķēdi, u.tml., tiek kategorizēta kā ierobežotas pieejamības informācija, jo tā nav publiski pieejama informācija. Vienlaikus kiberincidents, kas skars šīs informācijas pieejamību, integritāti vai konfidencialitāti, nebūs tāds, kam būs ietekme uz pakalpojuma nepārtrauktību vai sabiedrības interesēm (nozīmīga kiberincidenta pamata pazīme). Šajā apakšpunktā noteiktā pazīme ir pārāk plaša un ievērojami paplašina likumā sniegtās definīcijas tvērumu.
Aicinām apakšpunktu dzēst vai sašaurināt uz noteiktām ierobežotas pieejamības vai klasificētas informācijas kategorijām, vienlaikus nodrošinot Anotācijā skaidrojumu, kāpēc konkrētās kategorijas būtu attiecināmas un sasaistāmas ar kiberincidenta nozīmīgumu.
Noteikumu projekta 92.4.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm: kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;”.
Uzņēmumiem, kas ir šī likuma subjekti, lielākā daļa no informācijas, it īpaši informācija, kas skar biznesa procesus, cenošanu, piegādes ķēdi, u.tml., tiek kategorizēta kā ierobežotas pieejamības informācija, jo tā nav publiski pieejama informācija. Vienlaikus kiberincidents, kas skars šīs informācijas pieejamību, integritāti vai konfidencialitāti, nebūs tāds, kam būs ietekme uz pakalpojuma nepārtrauktību vai sabiedrības interesēm (nozīmīga kiberincidenta pamata pazīme). Šajā apakšpunktā noteiktā pazīme ir pārāk plaša un ievērojami paplašina likumā sniegtās definīcijas tvērumu.
Aicinām apakšpunktu dzēst vai sašaurināt uz noteiktām ierobežotas pieejamības vai klasificētas informācijas kategorijām, vienlaikus nodrošinot Anotācijā skaidrojumu, kāpēc konkrētās kategorijas būtu attiecināmas un sasaistāmas ar kiberincidenta nozīmīgumu.
Piedāvātā redakcija
-
17.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 92.5.apakšpunktu:
Noteikumu projekta 92.5.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;”.
Šāda pazīme neatbilst nozīmīga kiberincidenta jēdziena tvērumam, jo aptver jebkuru traucējumu, kas ietekmē vai var ietekmēt subjekta pakalpojuma vai IKT kritiskās infrastruktūras funkcionēšanas procesu. Konceptuāli pazīmes virziens ir atbalstāms, bet būtu nosakāmi specifiski kritēriji, kā novērtēt traucējumu būtiskumu un sasaisti ar pakalpojuma nepārtrauktību vai sabiedrības interesēm, kā piemēram, tas ir noteikts Ministru kabineta noteikumos Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu” 2.punktā.
Līdzīga pieeja attiecībā uz būtiska incidenta novērtēšanu iestrādāta Finanšu un kapitāla tirgus komisijas normatīvajos noteikumos Nr. 93 Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem.
Aicinām 92.5.apakšpunktu dzēst un izstrādāt precīzas subjekta pakalpojuma saņemšanas un IKT kritiskās infrastruktūras funkcionēšanas traucējumu pazīmes, pēc kuru summas vai kopsummas kiberincidents var tikt uzskatīts par būtisku.
Noteikumu projekta 92.5.apakšpunkts nosaka, ka “(Kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst vismaz vienai no šādām pazīmēm:) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;”.
Šāda pazīme neatbilst nozīmīga kiberincidenta jēdziena tvērumam, jo aptver jebkuru traucējumu, kas ietekmē vai var ietekmēt subjekta pakalpojuma vai IKT kritiskās infrastruktūras funkcionēšanas procesu. Konceptuāli pazīmes virziens ir atbalstāms, bet būtu nosakāmi specifiski kritēriji, kā novērtēt traucējumu būtiskumu un sasaisti ar pakalpojuma nepārtrauktību vai sabiedrības interesēm, kā piemēram, tas ir noteikts Ministru kabineta noteikumos Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu” 2.punktā.
Līdzīga pieeja attiecībā uz būtiska incidenta novērtēšanu iestrādāta Finanšu un kapitāla tirgus komisijas normatīvajos noteikumos Nr. 93 Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem.
Aicinām 92.5.apakšpunktu dzēst un izstrādāt precīzas subjekta pakalpojuma saņemšanas un IKT kritiskās infrastruktūras funkcionēšanas traucējumu pazīmes, pēc kuru summas vai kopsummas kiberincidents var tikt uzskatīts par būtisku.
Piedāvātā redakcija
-
18.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 8.3.sadaļu:
Noteikumu 8.3.sadaļā aprakstīta kārtība, kādā tiek veikta subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšana. Kārtībā iztrūkst noteikums, ka drošības skenēšana, kas ir nošķirama no 102.3.apakšpunktā norādītā ielaušanās testa, ko var veikt iestādes pārbaudes ietvaros, ir saskaņojama ar subjektu un subjekts ir iepazīstināms ar drošības skenēšanas rezultātiem, ja tiek atklāj kādu ievainojamību.
Aicinām papildināt 8.3.sadaļu ar 107.prim punktu:
“Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs iepriekš saskaņo drošības skenēšanu ar subjektu un informē par drošības skenēšanas rezultātiem, ja vien tas nav pretrunā ar nacionālās drošības interesēm”.
Noteikumu 8.3.sadaļā aprakstīta kārtība, kādā tiek veikta subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšana. Kārtībā iztrūkst noteikums, ka drošības skenēšana, kas ir nošķirama no 102.3.apakšpunktā norādītā ielaušanās testa, ko var veikt iestādes pārbaudes ietvaros, ir saskaņojama ar subjektu un subjekts ir iepazīstināms ar drošības skenēšanas rezultātiem, ja tiek atklāj kādu ievainojamību.
Aicinām papildināt 8.3.sadaļu ar 107.prim punktu:
“Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs iepriekš saskaņo drošības skenēšanu ar subjektu un informē par drošības skenēšanas rezultātiem, ja vien tas nav pretrunā ar nacionālās drošības interesēm”.
Piedāvātā redakcija
-
19.
Noteikumu projekts
Iebildums
Iebilstam pret Noteikumu projekta 116.punktu.
Pamatojums:
Noteikumu projekta 116.punkts nosaka kā subjekts veic pašnovērtējumu. “116.Subjekts veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:
116.1.reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma;
116.2.reizi trijos gados – subjekts, kura īpašumā, valdījumā, turējumā un lietošanā nav nevienas A kategorijas informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk’.
Nepieciešams precizēt Noteikumu projektu attiecībā uz pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
Piemēram, ja kāds subjekts kļūs par svarīgo pakalpojumu sniedzēju 2026.gadā un tam nebūs neviena A kategorijas sistēma, tad pirmais pašvērtējums jāiesniedz līdz 2029.gada pirmajam oktobrim, kas ir nesamērīgi tāls termiņš.
Priekšlikums:
Papildināt Noteikumu projektu attiecībā uz pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
Pamatojums:
Noteikumu projekta 116.punkts nosaka kā subjekts veic pašnovērtējumu. “116.Subjekts veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām:
116.1.reizi gadā – subjekts, kurš ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma;
116.2.reizi trijos gados – subjekts, kura īpašumā, valdījumā, turējumā un lietošanā nav nevienas A kategorijas informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk’.
Nepieciešams precizēt Noteikumu projektu attiecībā uz pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
Piemēram, ja kāds subjekts kļūs par svarīgo pakalpojumu sniedzēju 2026.gadā un tam nebūs neviena A kategorijas sistēma, tad pirmais pašvērtējums jāiesniedz līdz 2029.gada pirmajam oktobrim, kas ir nesamērīgi tāls termiņš.
Priekšlikums:
Papildināt Noteikumu projektu attiecībā uz pirmreizējo pašvērtējuma ziņojuma iesniegšanas kārtību un termiņiem attiecībā uz subjektiem, kuriem atbilstība būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam iestāsies pēc 2025.gada 1.aprīļa.
Piedāvātā redakcija
-