Atzinums

Lūdzu skatīt ZM priekšlikumus/ iebildumus par noteikumu projektu.

-

Uzskatām, ka piekļuve internetam izmantojot no iekšējā tīkla fiziski atdalītu tīklu ir pārmērīga.  Piedāvājam realizēt piekļuvi ar  tām pašām fiziskām iekārtām, kuras tiek izmantotas iestādē jau iekšējam tīklam.   Viesu  tīklam ir jābūt  loģiski nodalītam no iestādes tīkla un izeja uz internetu tiktu nodrošināta  uz konkrētiem tīkla portiem ar atsevišķu reālo IP adresi. 

-

Noteikumu projekta 14.Pielikuma 0905.punktā svītrot "2 gadi".

Subjekts ir nodrošinājis, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija: A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša un gada; B kategorijas informācijas sistēmai – pirms nedēļas, mēneša un gada; C kategorijas informācijas sistēmai – pirms mēneša un gada:

Ņemot vērā, ka Noteikumu projekts nosaka darbības, kas veicamas būtisko un svarīgo pakalpojumu sniedzējiem, bet šie statusi ir definēti un aprakstīti citā normatīvajā aktā (Nacionālās kiberdrošības likumā), ierosinām Noteikumos lietoto terminu sadaļu papildināt ar attiecīgo informāciju.

Būtisko pakalpojumu sniedzējs - saskaņā ar Nacionālā kiberdrošības likuma 20. pantu.
Svarīgo pakalpojumu sniedzējs - saskaņā ar Nacionālā kiberdrošības likuma 21. pantu.

Noteikt pienākumu aktualizēt kiberrisku pārvaldības plānu iestādes risku vadības struktūrvienībai. Savukārt tās stukrtūrvienību risku vadītāji atbildētu par risku pārvaldību savā jomā - ievieš riskus mazinošos pasākumus. 

-

Ierosinām visām pārvaldes iestādēm ieviest centralizētu kiberrisku pārvaldības sistēmu, kurā tiktu uzturētas iestāžu IKT vēsturiskie un aktuālie kiberriski, to statusi , atbildīgie par kiberrisku pārvaldību un cita svarīga informācija. Prakse rāda, ka iestādes IKT kiberriskus bieži pārbaudes nolūkos pieprasa CERT, Valsts kontrole, drošības iestādes. Tādēļ, lai nodrošinātu vienotu pieeju risku izveides reģistram un to saturam, nepieciešams šim nolūkam centralizēts reģistrs.  

-

Punktā minētie termini RPO, RTO un MTD būtu jāiekļauj arī šo noteikumu terminu sadaļā, kur šie jēdzieni tiek nedaudz sīkāk aprakstīti.

-

Ierosinām no formulējuma dzēst terminu "izstrādā", jo tas biežāk tiek izmantots programminženierijā un rada iespaidu, ka Subjektam jāveic kādas jaunas informācijas sistēmas izstrāde.
Papildus norādām, ka daudzas institūcijas izmanto dažādus incidentu reģistrēšanas rīkus un tehnoloģijas (JIRA, SCSM u.c.), kuros jau pašlaik tiek reģistrēti kiberincidenti. Tādējādi ierosinām Noteikumos noteikt, ka žurnāls var būt kādas incidentu reģistrēšanas sistēmas sastāvdaļa vai modulis.

Subjekts uztur kiberinicidentu žurnālu, kurā reģistrē ziņas par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Kiberincidentu žurnāls var būt Subjekta incidentu reģistrēšanas sistēmas sastāvdaļa vai neatkarīga sistēma vai reģistrs. Subjekts nodrošina ziņu reģistrēšanu žurnālā ne vēlāk kā 24 stundu laikā no kiberincidenta konstatēšanas brīža vai pēc jebkādām izmaiņām iepriekš žurnālā norādītajās ziņās.

Lūdzu definēt termiņu, cik ilgi būtu iestādēm nepieciešams glabāt incidentu žurnālā esošo informāciju – vismaz minot minimālo termiņu? Parasti iestādēs visiem šāda vai līdzīgiem žurnāliem tiek definēti termiņi un tie tiek iekļauti arī iestāžu nomenklatūrās.

-

Lūdzu sniegt skaidrojošu informāciju, kas tiek ietverts stingrā autentifikācijā? 

-

Lūdz sniegt informāciju, kādus bezvadu drošības protokoli un datu pārraides drošības protokolus nepieciešams izmantot?

-

Rezerves kopiju periodiskums un uzglabāšana ir resursietlipīga kā arī rada finanšu izmaksas. Lūdzu pamatot rezerves kopiju glabāšanas ilgumu.

-

Minētā punkta izpildei nepieciešams ieviest noteiktu sistēmu, kurā nodarbinātajam tiek nodrošināta regulāra zināšanu pārbaude. Parasti iestādēs iegādājas risinājumus vai ievieš programmas, ko pielāgo savām vajadzībām. Abos gadījumos ir jāvelta administratīvie, kā arī finanšu resursi mācību programmas uzturēšanai. Mācību programmas ar iebūvētu  zināšanu pārbaudes funkcionalitāti, ko var iegādāties tirgū,  lēšamas ap 7 eur par vienu lietotāju gadā. Ja iestādē ir 300 lietotāji, tie būtu 2100 eur katru gadu. Tādēļ lūdzam izskatīt iespēju, ka apmācības valsts iestādēm nodrošina Valsts administratīvās skola. Ieguvumi -
1.VAS būtu nodrošināta centralizēta apmācāmo uzskaite, kā arī iespēja pārbaudīt apmācāmo zināšanas;
2. Centralizēts finansējums apmācību programmu uzturēšanai;
3. Kvalificētu instruktāžas veicēju piesaiste;
4. Vienota apmācību programma;
 

-

Apmeklētāju uzskaiti var vest izmantojot papīra žurnālu kā arī izmantojot tehniskās ierīces vai programmatūru, kurā fiksējas laiks, apmeklējuma mērķis un cita svarīga informācija. Tādēļ būtu pieļaujams fiksēt apmeklējumu ar jebkādiem pieejamiem resursiem. 

Piedāvājām šādu redakciju 66.2. katrai telpai vai statnei, kurā ir izvietota aparatūra , tiek nodrošināta apmeklētāju uzskaite.

Vai  minētais nosacījums attiecībā uz to, kas ir nozīmīgs kiberincidents nav pārāk plaši definēts – manuprāt, gandrīz jebkura IS, kurā jaautentificējas, tajā atrodas kāda daļa no iestādes ierobežotas pieejamības informācijas, līdz ar to, piemēram, katrs piekļuves minēšanas gadījums no interneta vai saņemts pikšķerēšanas e-pasts var tikt klasificēts zem šī nosacījuma, kas nozīmē, ka šeit ir jau jāziņo pildot un sūtot speciālos ziņojumu formas. Manuprāt, tad kiberdrošības pārvaldnieks lielāko daļu sava laika to vien darīs kā pildīs šos ziņojumus. 

-