Projekta ID
22-TA-3183Atzinuma sniedzējs
Drošības profesionāļu asociācija
Atzinums iesniegts
02.10.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pasākumu plānošanā vai īstenošanā;
Iebildums
Atšķirībā no citām drošības nozarēm, - fizisko drošību, ugunsdrošību, darba aizsardzību vai personas datu aizsardzību, lai kļūtu par būtisko vai svarīgo pakalpojumu sniedzēja kiberdrošības pārvaldnieku, pietiek arī ar neskaidri definētu divu gadu pieredzi, bez formālu zināšanu un prasmju apgūšanas. Lai risinātu kvalificēta personāla nepietiekamības jautājumu, papildus profesionālās, augstākās izglītības vai starptautisko sertifikātu apliecinājumiem, aicinām izveidot profesionālās pilnveides kursus kiberdrošības pārvaldības jomā, līdzvērtīgi kā tas ir citās drošības nozarēs - darba aizsardzības speciālistiem (60 stundas) , ugunsdrošības speciālistiem (160h), apsardzes darbiniekiem (160h).
Piedāvātā redakcija
8.3. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP) vai kura ir apguvusi profesionālās pilnveides izglītības programmu "Kiberdrošības pārvaldība" vismaz 80 stundu apjomā.
2.
Noteikumu projekts
39.6. ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski un loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;
Iebildums
Drošu viesu (apmeklētāju) piekļuvi internetam var izveidot arī ar loģiski atdalītu tīklu, nav nepieciešamības izbūvēt atsevišķu fizisku tīklu.
Piedāvātā redakcija
39.6. ja attiecināms, viesu (apmeklētāju) piekļuve internetam tiek nodrošināta, izmantojot no iekšējā tīkla fiziski vai loģiski atdalītu tīklu ar atsevišķu reālo IP adresi;
3.
Noteikumu projekts
39.8. iekšējos bezvadu tīklos tiek izmanoti bezvadu drošības protokoli un datu pārraides drošības protokoli.
Iebildums
Šāda noteikumu punta redakcija pieļauj izmantot jebkādus un arī ārkārtīgi vecus bezvadu drošības protokolus, piemēram WPA (Wi-Fi Protected Access) protokolu no 2003.gada.
Piedāvātā redakcija
dzēst 39.8 punktu
4.
Noteikumu projekts
57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē kiberdrošības pārvaldnieku un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža.
Iebildums
Atkarībā no organizācijas lieluma vai darbu pienākumu sadales, var būt situācijas, ka kiberdrošības instruktāžas organizē kāda cita persona, nevis kiberdrošības pārvaldnieks.
Piedāvātā redakcija
57. Šo noteikumu 55.1. apakšpunktā minētās instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tas informē atbildīgo par instruktāžu veikšanu un vienojas par instruktāžu citā piemērotā laikā un formātā. Kiberdrošības pārvaldnieks ir tiesīgs apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža.
5.
Noteikumu projekts
66.8. ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
Iebildums
Nav izprotams, kādēļ datu centru drošības prasībās ir izcelti tieši elektroapgādes pārtraukuma riski.Tīkla informācijas sistēmas ietemē daudzi riski, ne tikai elektroapgādes pārtraukums; turklāt daudz būtiskāk par risku izvērtēšanu ir veikt drošības pasākumus, lai samazinātu tos līdz pieņemamam līmenīm. Tā kā noteikumu projektā risku pārvaldībai ir atvēlēta sadaļa 3.5. "Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns", tad uzskatām, ka šis punkts ir dzēšams.
Piedāvātā redakcija
Dzēst :
66.8. ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
66.8. ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
6.
Noteikumu projekts
88. IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors.
Iebildums
Drošības profesionāļu asociācija vērš uzmanību, ka EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2022/2554
(2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 30.panta 2.punkta e) apakšpunkts nosaka prasības Finanšu institūcijas IKT pakalpojumu sniedzējiem i) "finanšu vienības vai ieceltas trešās personas un kompetentās iestādes neierobežotas tiesības piekļūt, pārbaudīt un veikt revīziju, kā arī tiesības uz attiecīgo dokumentu kopēšanu uz vietas, ja tiem ir būtiski svarīga nozīme trešo personu, kas sniedz IKT pakalpojumus, darbībās, un šo tiesību efektīvu īstenošanu nekavē un neierobežo citas līgumiskas vienošanās vai īstenošanas politika;
Piedāvātā noteikumu punkta redakcija liedz kritiskās IKT infrastruktūras īpašniekiem sniegt pakalpojumus bankām un apdrošināšanas sabiedrībām, jo varētu tikt pieprasītas tiesītas piekļūt, pārbaudīt un veikt revīziju regulā noteiktajā kārtībā.
Bez finašu institūciju IKT pakalpojumu sniedzēja atbilstības auditiem ir arī ISO27001, PCI-DSS , SOC-2 un citu sertifikāciju auditi.
(2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 30.panta 2.punkta e) apakšpunkts nosaka prasības Finanšu institūcijas IKT pakalpojumu sniedzējiem i) "finanšu vienības vai ieceltas trešās personas un kompetentās iestādes neierobežotas tiesības piekļūt, pārbaudīt un veikt revīziju, kā arī tiesības uz attiecīgo dokumentu kopēšanu uz vietas, ja tiem ir būtiski svarīga nozīme trešo personu, kas sniedz IKT pakalpojumus, darbībās, un šo tiesību efektīvu īstenošanu nekavē un neierobežo citas līgumiskas vienošanās vai īstenošanas politika;
Piedāvātā noteikumu punkta redakcija liedz kritiskās IKT infrastruktūras īpašniekiem sniegt pakalpojumus bankām un apdrošināšanas sabiedrībām, jo varētu tikt pieprasītas tiesītas piekļūt, pārbaudīt un veikt revīziju regulā noteiktajā kārtībā.
Bez finašu institūciju IKT pakalpojumu sniedzēja atbilstības auditiem ir arī ISO27001, PCI-DSS , SOC-2 un citu sertifikāciju auditi.
Piedāvātā redakcija
88. IKT kritiskās infrastruktūras Nacionālas kiberdrošības likuma atbilstības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors.
7.
Noteikumu projekts
8.1. Atbilstības audits
Iebildums
Sadaļas nosaukums neatbilst saturam, priekšlikums mainīt uz "Auditoru reģstrācijas kārtība".
Piedāvātā redakcija
8.1. Auditoru reģistrācijas kārtība
8.
Noteikumu projekts
102.1. A kategorijas informācijas sistēmai:
Iebildums
Ņemot vērā to, ka arī B kategorijas sistēmas satur svarīgus datus vai ir būtiskas pakalpojumu saņemšanai, uzskatām, ka prasība veikt periodiskus ielaušanās testus ir jāattiecina arī uz B kategorijas informācijas sistēmām, kuras ir pieejamas no interneta.
Piedāvātā redakcija
102.1. A kategorijas informācijas sistēmai un B kategorijas sitēmai, kura ir pieejama no inerneta:
9.
Noteikumu projekts
108. Drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
Iebildums
Šāda redakcija nepieļauj subjektam pašam veikt savu tīklu un informācijas sistēmu skanēšanu ar mērķi pārliecināties par savu drošību, kā arī apgrūtinās "Payment Card Industry Data Security Standards" atbilstības uzturēšanu, kurā drošības skanēšanu dŗīkst veikt tikai standarta izdevēja organizācijas apstiprināti uzņēmumi. Tā kā tīklu un informācijas sistēmu skanēšanu 24/7 režīmā jau veic hakeri un drošības uzņēmumi, uzskatām, ka šis punts no noteikumu projekta ir jāizslēdz.
Piedāvātā redakcija
Dzēst : 108. Drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
10.
Noteikumu projekts
116.2. reizi trijos gados – subjekts, kura īpašumā, valdījumā, turējumā un lietošanā nav nevienas A kategorijas informācijas sistēmas, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk.
Iebildums
Lūdzu precizēt kādos termiņos ir iesniedzams pirmais pašnovērtējuma ziņojums subjekam, kura atbilstība NKDL ir iestājusies pēc 2025.gada 1.oktobra.
Piedāvātā redakcija
-
11.
Noteikumu projekts
4.4.1. Vispārīgās ārpakalpojumu prasības
Priekšlikums
Lai atvieglotu kompetento institūciju un kiberdrošības pārvaldnieka pienākumu izpildi, subjektiem būtu jānosaka pienākums uzturēt ārpakalpojumu sniedzēju reģistru. Iespējams, to var veikt kopā at IKT un IS katalogu, precizējot uzturamās informācijas apjomu noteikumu projekta anotācijā, piemēram, pakalpojuma sniedzēja nosaukums, reģistrācijas numurs, valsts, kontatinformācija, kiberdrošības pārvaldnieka kontakinformācija, datu aizsardzības speciālista kontakinformācija un tml.
Piedāvātā redakcija
-
12.
Noteikumu projekts
Pielikuma saturu skatīt dokumentā
Priekšlikums
Iespējams, tabula/uzskaitījums ir papildināma ar "piegādātāju ķēdes" kiberuzbrukumiem. Pēdējā gada laikā ir bijuši vairāki sekmīgi gadījumi ar iejaukšanos TV saturā.
Piedāvātā redakcija
-