Rīgā

2014.gada __________________

Nr. _________________________

 

 

SAEIMAS PREZIDIJAM

 

 

 

Aizsardzības, iekšlietu un korupcijas novēršanas komisija saskaņā ar Saeimas kārtības ruļļa 39.pantā noteikto ierosina turpināt 11.Saeimā neizskatītā likumprojekta „Grozījumi Informācijas tehnoloģiju drošības likumā” (11.Saeimas reģ.nr.1276/Lp11) izskatīšanu 12.Saeimā.

Komisija lūdz grozīt Saeimas šā gada 27.novembra sēdes darba kārtību un iekļaut tajā likumprojektu „Grozījumi Informācijas tehnoloģiju drošības likumā” (11.Saeimas reģ.nr.1276/Lp11).

 

Pielikumā: likumprojekta „Grozījumi Informācijas tehnoloģiju drošības likumā” (Nr.1276/Lp11) teksts uz ___ lpp.

 

 

 

 

Cieņā

komisijas priekšsēdētājs

A.Latkovskis

 

 

 

 

 

Veinalds

67087276

 

 

 

 

Likumprojekts

 

 

 

Grozījumi Informācijas tehnoloģiju drošības likumā

 

          Izdarīt Informācijas tehnoloģiju drošības likumā (Latvijas Vēstnesis, 2010, 178.nr.; 2012, 179.nr.; 2013, 228.nr.) šādus grozījumus:

 

1.     Izteikt 8. panta ceturto daļu šādā redakcijā:

 

„(4) Katra valsts vai pašvaldības institūcija, ņemot vērā šo likumu, Ministru kabineta noteiktās informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldības institūcijas nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām drošības prasībām, un citos normatīvajos aktos noteikto, nodrošina, ka šajā institūcijā ir reglamentēti informācijas tehnoloģiju drošības noteikumi, kuros ietverti vismaz informācijas tehnoloģiju apraksti un shēmas, informācijas tehnoloģiju risku analīze, informācijas tehnoloģiju risku un drošības incidentu vadības plāns, noteikti informācijas tehnoloģiju uzturēšanā iesaistīto personu pienākumi, kā arī gādā par to, ka pastāvīgi tiek uzraudzīta un kontrolēta šo noteikumu izpilde.”

 

2.     Papildināt pārejas noteikumus ar 5. punktu šādā redakcijā:

 

„5. Ministru kabinets līdz 2015. gada 15. martam izdod šā likuma 8. panta ceturtajā daļā paredzētos noteikumus.”

 

 

 

 

komisijas priekšsēdētājs                                                            A. Latkovskis

 

 

 

Likumprojekta “Grozījumi Informācijas tehnoloģiju drošības likumā”

ANOTĀCIJA

 

 

1.     Kādēļ likums ir vajadzīgs?

Esošais Informācijas tehnoloģiju drošības likums (turpmāk – IT drošības likums) nosaka drošības prasību minimumu, kas ietver obligātu ziņošanu par incidentiem, par drošības pārvaldību atbildīgo personu iecelšanu institūcijās, par nepieciešamību apmeklēt apmācības, kā arī vismaz reizi gadā veikt institūcijas informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) drošības trūkumu novēršanu. Kopš likuma stāšanās spēkā 2011.gada 1.maijā tajā iestrādātās prasības ir sniegušas lielu ieguldījumu, lai kopumā IKT drošības situācija valsts un pašvaldību iestādēs uzlabotos. Tomēr situācija kiberdrošības jomā valsts pārvaldē vēl joprojām ir samērā zemā līmenī, tādēļ likumprojekts ierosina iestrādāt IT drošības likumā labojumus, kas noteiktu Ministru kabinetam izstrādāt noteikumus IKT drošības prasībām valsts un pašvaldību iestādēs, kas iekļautu gan vispārējās drošības, gan tehniskās prasības.

 

Nepieciešamību pēc šādiem IT drošības likuma labojumiem nosaka situācija, ka pašreiz nav izstrādāts regulējums, kas noteiktu vienotus standartus valsts un pašvaldību iestādēm IKT drošības jomā, līdz ar to drošības līmenis valsts un pašvaldību IKT resursos ļoti variē. Esošais Valsts informācijas sistēmu likums (turpmāk – VIS likums), un no tā izrietošie Ministru kabineta noteikumi „Valsts informācijas sistēmu vispārējās drošības prasības” un „Valsts informācijas sistēmu vispārējās tehniskās prasības”, attiecas tikai uz Valsts informācijas sistēmu reģistrā (turpmāk – Reģistrs) reģistrētām informācijas sistēmām (pašreiz – 175), kas ir ļoti maza daļa no kopējā valsts un pašvaldību resursu skaita. Būtiski, ka tajā nav iekļautas ļoti daudzas nozīmīgas sistēmas, kurās tiek apstrādāta, glabāta, pārsūtīta gan institūcijām, gan privātpersonām svarīga un sensitīva informācija. Iemesls saistāms ar to, ka pievienošanās Reģistram ir iestāžu brīva izvēlē, un, izvairoties no saistībām un pienākumiem, daudzas iestādes savas sistēmas Reģistrā nav iekļāvušas.

 

Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (turpmāk – CERT.LV) regulāri apkopo un analizē aktuālo situāciju IKT drošības jomā, informē sabiedrību un valsts pārvaldes iestādes par aktuālajiem apdraudējumiem, kā arī nepieciešamajiem drošības pasākumiem, tomēr, atbilstoši IT drošības likumā noteiktajam, pienākums rūpēties par IKT drošības pārvaldību ir katras iestādes atbildība. Taču, kā pierāda CERT.LV veiktie drošības testi, IKT riski un apdraudējumi vēl joprojām ir nepietiekami apzināti un nenovērtēti lielākajā daļā valsts un pašvaldību iestāžu. Institūcijās un atbildīgajām amatpersonām nav izveidojusies skaidra izpratne par nepieciešamību aizsargāt informāciju un it īpaši sistēmas un tīklus, pa kuriem tā tiek pārraidīta. Bet tā kā IKT pakalpojumu īpatsvars valsts pārvaldē aizvien turpina pieaugt, palielināsies arī IKT drošības draudu aktualitāte un sarežģītība. Tādēļ ir nepieciešams ieviest augstākas drošības prasības un standartus visām valsts un pašvaldību iestādēm. Tas palīdzētu nodrošināt maksimāli augstu izturību pret iespējamiem apdraudējumiem, ar kuriem varētu ļaunprātīgi izmantot sistēmu, veikt masveidīgu datu nopludināšanu trešo personu rīcībā, un kā rezultātā tiktu negatīvi ietekmēta gan konkrēto institūciju, gan visas valsts pārvaldes uzticamība un reputācija.

 

2.     Kāda var būt likuma ietekme uz sabiedrības un tautsaimniecības attīstību?

Likumprojekta ieviešana ļaus izstrādāt noteikumus, ar kuriem valsts un pašvaldību iestādēs būs iespējams paaugstināt IKT drošības standartus. Izmantojot valsts piedāvātos IKT pakalpojumus vai apmainoties ar informāciju pa valsts un pašvaldību informācijas sistēmām un tīkliem, gan juridisko, gan privātpersonu sniegtajai informācijai jābūt atbilstoši aizsargātai. Vienotu augstu drošības prasību ieviešana palīdzēs izvairīties no informācijas drošības incidentiem, mazināt to ietekmi un sekas, kā arī vairos uzticību ne tikai valsts pārvaldes spējām aizsargāt iestādei un Latvijas iedzīvotājiem svarīgu informāciju, bet arī digitālai videi kopumā. Drošības un uzticības trūkums digitālajai videi ir viens no nozīmīgākajiem iemesliem, kādēļ ir nepietiekami izmantots arī e-tirdzniecības potenciāls, kas varētu sniegt būtisku ieguldījumu ekonomikas izaugsmē. Līdz ar to paredzams, ka augstāki standarti valsts pārvaldē ļautu pieprasīt augstāku IKT drošības līmeni arī privātajam sektoram, kas palīdzētu attīstīt e-uzņēmējdarbību.

 

3.     Kāda var būt likuma ietekme uz valsts budžetu un pašvaldību budžetiem?

Likumprojekts neparedz tiešu ietekmi uz valsts budžetu un pašvaldību budžetiem, taču sagaidāms, ka uz likuma pamata izstrādājamajos Ministru kabineta noteikumos un tajos iekļauto prasību izpildei valsts un pašvaldību iestādes varētu pieprasīt papildus līdzekļus.  Tie, galvenokārt būs saistāmi ar iestādes esošo informācijas sistēmas un tīklu pielāgošanos jaunajām drošības prasībām (piemēram, tehnisko resursu atjaunināšanu, drošības programmatūru iegādi, par drošību atbildīgo personu kvalifikācijas celšanu u.tml.). Detalizēti aprēķini tiks veikti izstrādājot minētos Ministru kabineta noteikumus. 

 

4.     Kāda var būt likuma ietekme uz spēkā esošo tiesību normu sistēmu?

Likumprojekts iekļaujas spēkā esošo tiesību normu sistēmā.

 

5.     Kādām Latvijas starptautiskajām saistībām atbilst likumprojekts?

Likumprojekts šo jomu neskar.

 

6.     Kādas konsultācijas notikušas, sagatavojot likumprojektu?

Iniciatīva veikt izmaiņas IT drošības likumā tika apspriesta Informācijas tehnoloģiju drošības padomes (turpmāk – Padome) 2014.gada 4.jūlija sēdē. Padomes locekļiem – kopumā 18 institūciju pārstāvjiem – tika izklāsta ideja par Ministru kabineta līmeņa regulējumu, kuru būtu iespējams izstrādāt uz VIS likuma vai IT drošības likuma pamata. Padomes priekšsēdētāja vietnieks – Vides aizsardzības un reģionālās attīstības ministrijas valsts sekretāra vietnieks informācijas un komunikācijas tehnoloģiju jautājumos Arnis Daugulis – norādīja, ka VIS likumu nav lietderīgi labot, jo to plānots atcelt tiklīdz tiks izstrādāts un apstiprināts pašreiz izstrādes stadijā esošais Informācijas un komunikācijas tehnoloģiju pārvaldības likums. Padome izteica savu atbalstu veikt izmaiņas IT drošības likumā.

 

7.     Kā tiks nodrošināta likuma izpilde?

Likuma izpilde tiks nodrošināta saskaņā ar šajā likumprojektā un citos normatīvajos aktos noteikto kārtību un ar jau esošo valsts institūciju palīdzību. Jaunu institūciju dibināšana nav nepieciešama.