Projekta ID
21-TA-447Atzinuma sniedzējs
Vides aizsardzības un reģionālās attīstības ministrija
Atzinums iesniegts
18.10.2021.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Informatīvais ziņojums
Iebildums
Informatīvajā ziņojumā nav skaidrs pamatojums vadlīniju (par KIAP pakļaujamo resursu izvēli) neesamībai. Vadlīnijas valsts pārvaldes iestādēm būtu ar ieteikuma raksturu, tās būtu palīdzošas un ļautu izvairīties no neskaidrībām un nepieciešamību CERT pastāvīgi konsultēt iestādes.
Apzināmies, ka katra iestāde pati nosaka, kādi resursi var tikt pakļauti KIAP un ka katra iestāde pati var izvirzīt papildus nosacījumus vai prasības, kuras ir jāņem vērā vērtētājam, kā arī rūpējas par šīs informācijas publicitāti. Tomēr zinot dažādo publiskajā sektorā esošo iestāžu drošības pārvaldības līmeni (drošības pārvaldības kompetences, veiktie darbi, risku vērtējumi, kā arī to, cik daudz un dažādi tiek risināti kompetentu speciālistu iesaiste šajā pārvaldībā), ja CERT kā vadošā kompetentā institūcija vadlīniju veidā nenoteiks principus, kas jāņem vērā pie šāda vērtējuma atvēršanas, jārēķinās ar šādām konsekvencēm:
- vērtēšana var skart vērtējamo resursu darba spēju, tajā skaitā spēju pildīt tiem paredzētās aktivitātes (resurss var tikt “nograuts”);
- vērtēšana par pieprasīt vērtējamo resursu darba spēju atjaunošanu (tātad paredzama administratoru pieejamība, lai šo resursu “paceltu darbā”);
- ne visām institūcijām ir 7x24 režīmā pieejami cilvēki un tehniskie resursi darbības atjaunošanai u.tml.
Rezultātā iestādes var neizvērtēt saistītos riskus un nepārdomāti atvērt resursus testēšanai vai arī tieši otrādi – izlemt nepamatoti nepiedalīties.
No šiem riskiem izriet arī nepieciešamie norādījumi testu veicējiem vadlīniju veidā, proti:
- kā komunicēt starp iestādēm pēc tam, kad serviss ir nograuts;
- kā arī izvērtēt, vai konkrētā personas darbība dod pienesumu;
- kā īstenojams pienākums informēt (brīdināt) testētāju par sekām, ja viņš nepilda nosacījumus (ne visi IT speciālisti zina par iespējamu kriminālatbildību - līdz ar to paredzams pienākums informēt testētāju).
Aicinām izvērtēt vadlīniju izstrādes iespēju vai informatīvajā ziņojumā izvērstāk skaidrot vadlīniju izstrādes nepamatotību.
Apzināmies, ka katra iestāde pati nosaka, kādi resursi var tikt pakļauti KIAP un ka katra iestāde pati var izvirzīt papildus nosacījumus vai prasības, kuras ir jāņem vērā vērtētājam, kā arī rūpējas par šīs informācijas publicitāti. Tomēr zinot dažādo publiskajā sektorā esošo iestāžu drošības pārvaldības līmeni (drošības pārvaldības kompetences, veiktie darbi, risku vērtējumi, kā arī to, cik daudz un dažādi tiek risināti kompetentu speciālistu iesaiste šajā pārvaldībā), ja CERT kā vadošā kompetentā institūcija vadlīniju veidā nenoteiks principus, kas jāņem vērā pie šāda vērtējuma atvēršanas, jārēķinās ar šādām konsekvencēm:
- vērtēšana var skart vērtējamo resursu darba spēju, tajā skaitā spēju pildīt tiem paredzētās aktivitātes (resurss var tikt “nograuts”);
- vērtēšana par pieprasīt vērtējamo resursu darba spēju atjaunošanu (tātad paredzama administratoru pieejamība, lai šo resursu “paceltu darbā”);
- ne visām institūcijām ir 7x24 režīmā pieejami cilvēki un tehniskie resursi darbības atjaunošanai u.tml.
Rezultātā iestādes var neizvērtēt saistītos riskus un nepārdomāti atvērt resursus testēšanai vai arī tieši otrādi – izlemt nepamatoti nepiedalīties.
No šiem riskiem izriet arī nepieciešamie norādījumi testu veicējiem vadlīniju veidā, proti:
- kā komunicēt starp iestādēm pēc tam, kad serviss ir nograuts;
- kā arī izvērtēt, vai konkrētā personas darbība dod pienesumu;
- kā īstenojams pienākums informēt (brīdināt) testētāju par sekām, ja viņš nepilda nosacījumus (ne visi IT speciālisti zina par iespējamu kriminālatbildību - līdz ar to paredzams pienākums informēt testētāju).
Aicinām izvērtēt vadlīniju izstrādes iespēju vai informatīvajā ziņojumā izvērstāk skaidrot vadlīniju izstrādes nepamatotību.
Piedāvātā redakcija
-