Atzinums

Nepieciešams uzskaitīt visus kiberdrošības pārvaldībai nepieciešamos dokumentus.
Pašvērtējuma ziņojumā (14.pielikums) 0711 punktā ir prasība pēc informācijas sistēmas lietošanas noteikumiem katrai informācijas sistēmai, taču šie noteikumi neuzliek par pienākumu izstrādāt sistēmas lietošanas noteikumus.

-

Avota MAC adreses fiksēšana ir iespējama tikai gadījumos, ja avots atrodas tajā pašā tīkla segmentā, kur galamērķis.

-

1) Nav skaidrs datu pārsūtīšanas sesijas ilguma fiksēšanas mērķis (drīzāk tiek analizēts pārsūtīto datu apjoms, nevis sesijas ilgums).
2) Ne visas iekārtas spēj fiksēt datu pārsūtīšanas sesijas ilgumu, kas rada papildus izmaksas iekārtu nomaiņai vai papildus funkcionalitātes iegādei, lai nodrošinātu atbilstību noteikumiem.

-

Tīkla plūsma šādu informāciju nesatur, šī informācija ir tīkla plūsmas analīzes rezultāts. Auditācijas pierakstu mērķis nav uzkrāt analīzes rezultātus, bet datus, lai šādu analīzi būtu iespējams veikt.

-

Ņemot vērā 48.2. punktā noteikto, ka tehnisko resursu konfigurāciju rezerves kopijas ir veidojamas, ja vien tas ir tehniski iespējams, informācijas resursu rezerves kopija var saturēt arī tikai informācijas sistēmā glabātos datus, jo atbalsta programmatūra, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes ir tehnisko resursu konfigurācija. Tādā gadījumā tehnisko resursu konfigurācija (izpildāmā koda un atbalsta programmatūras uzstādīšana, automatizēto darbību skriptu un tehniskajos resursos regulāri veicamo darbību, kā arī operētājsistēmas uzdevumu pārvaldnieka komandu un izpildāmo datņu konfigurēšana) tiek veikta manuāli.
Šis noteikumu punkts ir izpildāms tikai tad, ja rezerves kopija tiek veidota tehniskajam resursam kā kopumam, līdz ar ko nozīmi zaudē 48. punktā uzskaitītās rezerves kopijas.

-

Ņemot vērā 48.2. punktā noteikto, ka tehnisko resursu konfigurāciju rezerves kopijas ir veidojamas, ja vien tas ir tehniski iespējams, informācijas sistēmas rezerves kopijas versijai var nebūt pieejama saistītās informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas.

-

Nav skaidrs kādā veidā piederība pie nevalstiskās organizācijas, kas uzsākusi darbību (juridisko) pirms tās reģistrācijas vai turpina darboties pēc tam, kad tās darbība ir apturēta vai izbeigta ar tiesas nolēmumu, ietekmē fiziskās personas atbilstību kiberdrošības pārvaldnieka amatam, ja formāli (juridiski, bet ne faktiski) izstājoties no šādas organizācijas fiziskā persona var būt par kiberdrošības pārvaldnieku.
Turklāt jāņem vērā, ka jebkura organizācija uzsāk darbību pirms tās reģistrācijas, piemēram, organizējot dibināšanas sanāksmi, veicot pašu reģistrāciju u.c.

-

To kādi pakalpojumi vai lietojumprogrammas iesaistītas datu pārsūtīšanā norāda tikai galamērķa izmantotais tīkla ports, līdz ar to avota porta fiksēšana nav lietderīga.

galamērķa izmantotie tīkla porti, kas norāda, kādi pakalpojumi vai lietojumprogrammas bija iesaistītas datu pārsūtīšanā (piemēram, HTTP, HTTPS, FTP);

Ja pareizi saprasts konteksts, tad šajā punktā runa ir par informācijas sistēmas rezerves kopiju, nevis par rezerves kopiju informācijas sistēmu. Piedāvāju precizēt punkta redakciju.
 

informācijas sistēmas rezerves kopijas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:

Papildināt punktu ar to, ka prasības attiecināmas arī uz lietotāju gala iekārtu iegādi, apkalpošanu un remontu.

-

Punktu 1101, 1102, 1103, 1104 sākumā nepieciešams vārds "Subjekts" nominatīva locījumā.

-

0805 "Subjekts nodrošina, ka auditācijas pieraksti tiek uzglabāti vismaz 18 mēnešus no pēdējā ieraksta izdarīšanas" - šādai redakcijai ir uzbrūkošs raksturs - B un C kategorijas sistēmām ir īsāks auditācijas pierakstu glabāšanas termiņš, taču pēc atbilžu variantiem sanāk, ka subjektam jānorāda attaisnojums, par to, ka tiek pildītas noteikumu prasības.
Korektāk būtu vai nu piedāvāt vairākus atbilžu variantus (katrai kategorijai), vai norādīt konkrētu informācijas sistēmas kategoriju, par kuru nepieciešama atbilde.

-

0705 "Subjekts nodrošina, ka sistēmkontiem ir tikai tādas prasības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu"

0705 "Subjekts nodrošina, ka sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu"

Veidlapas 0304 punktā 2 pozīcijās ir minēts "Informācija par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām".
Ieteikums dzēst lieko pozīciju.

-