Projekta ID
24-TA-1050Atzinuma sniedzējs
Satiksmes ministrija
Atzinums iesniegts
09.08.2024.
Saskaņošanas rezultāts
Saskaņots ar priekšlikumiem
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Priekšlikums
Lūdzam noteikumu projekta anotācijā vai noteikumu projekta tekstā, ja nepieciešams, noteikumu projekta prasības sasaistīt ar Nacionālās kiberdrošības likuma prasībām un Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (turpmāk - noteikumi Nr. 442) (kurus aizstās noteikumi https://tapportals.mk.gov.lv/legal_acts/c5fc4f2b-630e-4319-bdf6-bfea39deaa0a) un citiem normatīvajiem aktiem, ja tādi ir, norādot, kādas prasības tiks attiecinātas uz datu centriem, kuros būs nodrošināts valsts datu apstrādes mākoņa pakalpojums un uz mākoņdatošanas platformu pārziņiem, tai skaitā, vai tie ir būtisko pakalpojumu sniedzēji Nacionālās kiberdrošības likuma izpratnē un uz tiem attiecas visas attiecīgās likumā noteiktās prasības.
Šobrīd noteikumu projektā nav iekļautas prasības: par mākoņdatošanas platformu pārziņa pienākumu attiecībā uz regulāro platformas drošības auditu veikšanu un ievainojamību pārvaldību, iekļaujot prasību par periodiskām platformas drošības pārbaudēm un ievainojamību skenēšanu; detalizētas prasības attiecībā uz pieejamības monitoringu, piemēram, noteiktu laika periodu un intervālu monitoringa veikšanai; prasības par incidentu klasifikāciju, reaģēšanas laiku un informēšanu; detalizētas piekļuves tiesību pārvaldības prasības PIM PAM (privileģēto lietotāju piekļuve un kontrole), MFA (multi-factor authentication) un regulāras piekļuves pārskatīšanas prasības; prasības attiecībā uz auditācijas pierakstu uzglabāšanas laiku un to aizsardzību; šifrēšanas prasību nodrošināšanu atbilstoši jaunākajiem standartiem (piemēram, AES-256, TLS 1.3); prasība par datu un pakalpojumu pārnesamības testa veikšanu regulāros intervālos, lai varētu praktiski realizēt pārnesamību, kad ir nepieciešams; prasības, ka mākoņdatošanas platformas lietotājs veic drošības auditu un ievainojamību pārvaldību, kā arī regulāri ziņo par šiem pasākumiem mākoņdatošanas platformas pārzinim.
Ņemot vērā minēto, lūdzam papildināt anotāciju ar attiecīgu informāciju vai paredzēt atsauces uz normatīvajiem aktiem noteikumu projekta tekstā, lai ir nepārprotami skaidrs, kur augstāk minētās prasības ir noteiktas, bet, ja kādas no augstāk minētajām prasībām nav noteiktas normatīvajos aktos, izvērtēt to iekļaušanu noteikumu projektā vai citā normatīvajā aktā.
Šobrīd noteikumu projektā nav iekļautas prasības: par mākoņdatošanas platformu pārziņa pienākumu attiecībā uz regulāro platformas drošības auditu veikšanu un ievainojamību pārvaldību, iekļaujot prasību par periodiskām platformas drošības pārbaudēm un ievainojamību skenēšanu; detalizētas prasības attiecībā uz pieejamības monitoringu, piemēram, noteiktu laika periodu un intervālu monitoringa veikšanai; prasības par incidentu klasifikāciju, reaģēšanas laiku un informēšanu; detalizētas piekļuves tiesību pārvaldības prasības PIM PAM (privileģēto lietotāju piekļuve un kontrole), MFA (multi-factor authentication) un regulāras piekļuves pārskatīšanas prasības; prasības attiecībā uz auditācijas pierakstu uzglabāšanas laiku un to aizsardzību; šifrēšanas prasību nodrošināšanu atbilstoši jaunākajiem standartiem (piemēram, AES-256, TLS 1.3); prasība par datu un pakalpojumu pārnesamības testa veikšanu regulāros intervālos, lai varētu praktiski realizēt pārnesamību, kad ir nepieciešams; prasības, ka mākoņdatošanas platformas lietotājs veic drošības auditu un ievainojamību pārvaldību, kā arī regulāri ziņo par šiem pasākumiem mākoņdatošanas platformas pārzinim.
Ņemot vērā minēto, lūdzam papildināt anotāciju ar attiecīgu informāciju vai paredzēt atsauces uz normatīvajiem aktiem noteikumu projekta tekstā, lai ir nepārprotami skaidrs, kur augstāk minētās prasības ir noteiktas, bet, ja kādas no augstāk minētajām prasībām nav noteiktas normatīvajos aktos, izvērtēt to iekļaušanu noteikumu projektā vai citā normatīvajā aktā.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Priekšlikums
Lūdzam izvērtēt, vai uz mākoņdatošanas platformas pārzini, nodrošinot mākoņdatošanas platformas darbību un uzturēšanu, būtu attiecināms publisko iepirkumu tiesiskais regulējums, ņemot vērā valsts drošības apsvērumus, kā arī valstij nozīmīgās informācijas aizsardzību, un vai nevar mākoņdatošanas platformas darbību un uzturēšanu nodrošināt Valsts elektronisko sakaru pakalpojumu centra ietvaros.
Piedāvātā redakcija
-