IT drošības seminārs "Esi drošs" 26. martā
Datums: 2024. gada 26. marts
Laiks: 13.00 – 17:10
Vieta: Konferenču centrs BU21, E. Birznieka-Upīša 21, Rīgā, kā arī tiešsaistē
Darba valoda: latviešu
Jautājumiem: menti.com (kods: 3432 4321)
Aptauja pasākuma dalībniekiem: https://www.menti.com/aljba41ijsau
Mērķauditorija: Valsts un pašvaldību iestāžu atbildīgās personas par IT drošību, pamatpakalpojumu sniedzēji, digitālo pakalpojumu sniedzēji, kā arī citi interesenti, kuri darbojas IT drošības jomā.
PROGRAMMA:
| 12:30 - 13:00 | Reģistrācija (klātienes dalībniekiem) |
| 13:00 - 13:05 | Atklāšana (PDF) (VIDEO) |
| 13:05 - 14:05 | NIS2 direktīva un Nacionālais kiberdrošības likums – kas mūs sagaida tuvākajos gados? - Edgars Kiukucāns, Aizsardzības ministrija (PDF) (VIDEO) |
| 14:05 - 14:25 | Par elektroniskās identifikācijas un uzticamības pakalpojumu kopīgo un atšķirīgo - Kristiāns Teters, CERT.LV (PDF) (VIDEO) |
| 14:25 - 15:05 | Lietotāju drošība skaitļos un praktiski risinājumi drošības uzlabošanai - Alise Gubene, Gints Mālkalnietis, CERT.LV (PDF) (VIDEO) |
| 15:05 - 15:30 | Pauze |
| 15:30 - 15:55 | NIS2 tehniskā puse: Papīri (politikas) vien jūs nepasargās no kiberuzbrukumiem - Jānis Giniborgs, Squalio (PDF) (VIDEO) |
| 15:55 - 16:25 | Drošības muskuļu treniņa pieredzes stāsti. Pikšķerēšanas uzbrukuma simulācija - Artūrs Filatovs, LVRTC (VIDEO) |
| 16:25 - 16:55 | Apmācību izstrāde kiberdrošības brieduma un kultūras pilnveidei - Mārtiņš Vecstaudžs, CERT.LV (PDF) (VIDEO) |
| 16:55 - 17:10 | Koordinētas ievainojamību atklāšanas process (CVD) - jaunumi un dalībnieku sumināšana - Sanita Vītola, CERT.LV (PDF) (VIDEO) |
| 17:10 | Semināra noslēgums |
ATBILDES UZ SEMINĀRA LAIKĀ NEATBILDĒTAJIEM JAUTĀJUMIEM
1. NIS2 ir direktīva nav obligāti ieviešama, kāpēc LV vienmēr cenšas ieviest direktīvas, kurām kaimiņu EU valstis pat nepievērš uzmanību?
Aizsardzības ministrija (AM): Skaidrojam, ka Līguma par Eiropas Savienības darbību 288. pantā ir noteikts, ka direktīvas tām dalībvalstīm, kurām tās adresētas (vienai, vairākām vai visām), uzliek saistības attiecībā uz sasniedzamo rezultātu, vienlaikus ļaujot valstu iestādēm noteikt šī rezultāta sasniegšanas formas un metodes.
Vienlaikus norādām, ka direktīva atšķiras no regulas vai lēmuma:
- atšķirībā no regulas, kas ir tieši piemērojama dalībvalstīs tūlīt pēc tās stāšanās spēkā, direktīva dalībvalstīs nav tieši piemērojama. Pirms to var piemērot katrā dalībvalstī, tā vispirms ir jātransponē (jāievieš) valsts tiesību aktos;
- atšķirībā no lēmuma direktīva ir vispārēji piemērojams dokuments.
Lai direktīva stātos spēkā valsts līmenī, dalībvalstīm ir jāpieņem tiesību akts tās transponēšanai. Šim valsts mēroga pasākumam ir jāsasniedz direktīvā noteiktie mērķi. Valsts iestādēm par šiem pasākumiem ir jāinformē Eiropas Komisija. Transponēšanai jeb direktīvas normu ieviešanai nacionālajos tiesību aktos ir jānotiek līdz termiņam, kas noteikts, pieņemot direktīvu (parasti divu gadu laikā).
Gadījumā, ja valsts direktīvu nav transponējusi, Eiropas Komisija var sākt pārkāpuma procedūru un ierosināt tiesvedību pret valsti Eiropas Savienības Tiesā (sprieduma neizpilde šajā gadījumā var izraisīt jaunu tiesvedību, kuras rezultātā var piemērot naudas sodus).
Līguma par Eiropas Savienības darbību 260. panta 3. punktā ir noteikts – ja dalībvalsts nav paziņojusi par pasākumiem direktīvas transponēšanai, Eiropas Komisija var likt attiecīgajai dalībvalstij maksāt naudas sodu.
Ņemot vērā minēto, norādām, ka NIS2 direktīva ir obligāti ieviešama nacionālajos tiesību aktos un tā ir saistoša visām ES dalībvalstīm.
2. Kad un kā var iepazīties ar “jaunajiem” MK442?
AM: Norādām, ka pašreiz notiek aktīvs darbs pie jauna noteikumu projekta izstrādes, kas aizstās pašreiz spēkā esošos Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs.
3. Vecā gada gājuma skolotāji īsti nesaprot tās "datoru lietas" un mēs kā datorspeciālisti paliekam nevēlami cilvēki skolai, jo padarām viņiem dzīvi grūtāku. Vai ir plānotas apmācības skolām un skolotājiem, vai arī viss būs jārealizē datorspeciālistiem, kā "viss strādā lietotājam neredzami"?
AM: Eiropas Savienības programmas “Digitālā Eiropa” ietvaros Aizsardzības ministrija sadarbībā ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju CERT.LV un Centrālo finanšu un līgumu aģentūru īsteno projektu “Nacionālais koordinācijas centrs – Latvija” (NCC-LV). Viens no projekta uzdevumiem ir tieši saistīts ar vispārizglītojošo mācību iestāžu pedagogu apmācību kiberdrošības jautājumos. Projekta ietvaros ir paredzēts izstrādāt mācību materiālus, ko skolotāji varētu izmantot, lai nodrošinātu projekta skolēnu apmācību kiberdrošības (kiberhigiēnas) jautājumos.
NCC-LV projektu atbalsta Eiropas Kiberdrošības kompetenču centrs, un to līdzfinansē Eiropas Savienība. Plašāka informācija par NCC-LV projektu ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs/projekts-nacionalais
4. Kādas jaunas kvalifikācijas prasības patreiz ir plānotas kiberdrošības pārvaldniekiem? Izglītība, kompetence, pieredze? Varbūt arī kādi sertifkāti?
AM: Skaidrojam, ka prasības kiberdrošības pārvaldniekiem tiks noteiktas izstrādes stadijā esošajā Ministru kabineta noteikumu projektā, kas aizstās pašreiz spēkā esošos Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” un, kas noteiks minimālās kiberdrošības prasības.
Ņemot vērā, ka darbs pie jauno noteikumu izstrādes vēl tikai notiek, indikatīvi norādām, ka par kiberdrošības pārvaldnieku varēs būt fiziska persona, kura ir pilngadīga, kurai ir Latvijas pilsonība, kurai ir augstākā vai vidējā speciālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā. Tāpat kiberdrošības pārvaldniekam jābūt pieredzei kiberdrošības pasākumu plānošanā vai īstenošanā, bez sodāmībām.
5. Kurā vietnē būs pieejams dokuments par minimālajām prasībām?
AM: Norādām, ka pašreiz notiek aktīvs darbs pie jauna noteikumu projekta izstrādes, kas aizstās pašreiz spēkā esošos 2015. gada 28. jūlija Ministru kabineta noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs.
6. Kā iegūt subjekta statusa atbilstības paziņojuma kritērijus? Kur var reģistrēt?
AM: Subjekts izvērtē savu atbilstību būtisko pakalpojumu vai svarīgo pakalpojumu sniedzēja statusam, pamatojoties uz likumprojekta “Nacionālās kiberdrošības likums” 18. un 19. pantā ietverto subjektu loku. Jāņem vērā ne tikai nozare/ joma, kādā uzņēmums darbojas, bet arī to, vai uzņēmums ir vidējs vai liels saimnieciskās darbības veicējs – respektīvi tā lielums, nodarbināto skaits, apgrozījums.
Atbilstoši likumprojekta “Nacionālās kiberdrošības likums” 20. panta pirmajā daļā noteiktajam, personai jāveic pašizvērtējums, nosakot savu atbilstību būtisko pakalpojumu vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā personai par to ir likumprojektā noteiktajā termiņā jāpaziņo par to Nacionālajam kiberdrošības centram.
Kārtība, kādā notiks subjektu reģistrācija, kā arī reģistrācijas anketas veidlapa būs iekļauta Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām. Pašlaik notiek aktīvs darbs pie šo noteikumu projekta izstrādes. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs
7. Kā mazi uzņēmumi, kuriem birojā ir līdz 10 cilvēki, šo visu var nodrošināt, ja nav atsevišķs IT speciālists? Kādi ir pareizākie darbības soļi?
AM: Vēršam uzmanību, ka likumprojekta “Nacionālās kiberdrošības likums” 18. un 19. pantā ir ietverts detalizēts likumprojekta subjektu loks. Likumprojekta 18. pantā ir noteikti būtisko pakalpojumu sniedzēju loks, savukārt 19. pantā – svarīgo pakalpojumu sniedzēju loks. Likumprojekta 18. panta 1)-7) punktā noteikti subjekti, kas uzskatāmi par būtisko pakalpojumu sniedzējiem neatkarīgi no to lieluma, savukārt 8) punktā uzskaitītas jomas, kuras uzskatāmas par būtisko pakalpojumu sniedzējiem, ja subjekts ir liels saimnieciskās darbības veicējs.
Savukārt likumprojekta 19. panta pirmās daļas 1) punktā noteikts, ka svarīgo pakalpojumu sniedzējs likumprojekta izpratnē ir persona, kura nav būtisko pakalpojumu sniedzējs un ir vidējs saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no likumprojekta 18. panta pirmās daļas 8. punktā minētajām jomām vai vidējs vai liels saimnieciskās darbības veicējs, kurš darbojas kādā no likumprojekta 19. panta pirmās daļas 2. punktā noteiktajām jomām.
Līdz ar to, likumprojekts pamatā neskar mazos uzņēmumus, ja vien tie nedarbojas kādā ļoti specifiskā, drošībai nozīmīgā jomā.
Tāpat vēršam uzmanību, ka likumprojekts nenosaka, ka kiberdrošības pārvaldniekam obligāti jābūt uzņēmuma darbiniekam. Tā var būt jebkura fiziska persona, kurai ir nepieciešamās zināšanas kiberdrošības jomā, un kura atbilst Ministru kabineta noteiktajām prasībām, tostarp arī ārpakalpojuma sniedzējs.
Minimālās kiberdrošības prasības subjektiem, tostarp prasības kiberdrošības pārvaldniekam, tiks noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām. Pašlaik notiek aktīvs darbs pie šo noteikumu projekta izstrādes. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs.
8. Ieceltais kiberdrošības pārvaldnieks būs amatpersona?
AM: Kiberdrošības pārvaldnieks var būt jebkura fiziska persona, kurai ir nepieciešamās zināšanas kiberdrošības jomā, un kura atbilst Ministru kabineta noteiktajām prasībām. Kiberdrošības pārvaldnieka amata statuss ir atkarīgs no konkrētās organizācijas, piemēram, valsts pārvaldes iestādē kiberdrošības pārvaldnieks var būt ierēdnis (valsts amatpersona), bet privātuzņēmumā – darbinieks vai ārpakalpojuma sniedzējs.
Konkrētas prasības kiberdrošības pārvaldniekam tiks noteiktas Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām. Pašlaik notiek aktīvs darbs pie šo noteikumu projekta izstrādes. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs.
9. Vai ir minimālās prasības arī uz apmācībām?
AM: Skaidrojam, ka pašreiz spēkā esošajos Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” ir noteikts, ka iekšējie sistēmas drošības noteikumi nosaka, ka jāveic institūcijas darbinieku apmācības un zināšanu pārbaudes kārtību sistēmas drošības jomā.
Jaunajos noteikumos, kas aizstās pašreiz spēkā esošos Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” paredzēts noteikt, ka kiberdrošības pārvaldniekam būs pienākums vismaz reizi gadā organizēt subjekta nodarbinātā personāla apmācību kiberdrošības jautājumos. Tāpat noteikumu projektā būs ietverti vispārīgi noteikumi par personāla apmācību jautājumiem, taču konkrētās prasības attiecībā uz apmācību formātu un saturu būs katra subjekta pārziņā.
10. Uz kuru e-pasta adresi var uzdot jautājumus, vai uz uzņēmumu ir attiecināmas NIS2 prasības?
AM: Jautājumu vai neskaidrību gadījumā laipni aicinām ar mums sazināties uz NIS2 kontaktpunkta e-pastu NIS2@mod.gov.lv
11. Pašvaldībām arī jālieto iestade.gov.lv domēna vārdi?
AM: Lai arī pašlaik Ministru kabineta 2020. gada 14. jūlija noteikumi Nr. 445 “Kārtība, kādā iestādes ievieto informāciju internetā” nosaka obligātu otrā līmeņa domēna gov.lv izmantošanu tikai tiešās pārvaldes iestādēm, Aizsardzības ministrijas skatījumā otrā līmeņa domēns gov.lv būtu jāizmanto arī pašvaldībām (vismaz pašvaldību domēm). Tas ļautu mazināt dezinformācijas un krāpšanas riskus un sekmētu pašvaldību IKT resursu noturību pret kiberdraudiem. Aizsardzības ministrija ir gatava tuvāko mēnešu laikā sagatavot grozījumus Ministru kabineta noteikumos Nr. 445, lai ieviestu attiecīgās izmaiņas.
12. Vai NIS2 ieviešanai ir paredzēts arī valsts finansējums, metodiskais atbalsts?
AM: Eiropas Savienības programmas “Digitālā Eiropa” ietvaros ir pieejams finansējums ar kiberdrošības stiprināšanu saistīto projektu īstenošanai, tostarp vairāki projektu konkursu uzsaukumi ir tieši vērsti uz atbalstu NIS2 direktīvas prasību ieviešanai. Aicinām sekot līdzi informācijai Eiropas Komisijas Finansējuma un iepirkumu (Funding & Tenders) portālā: https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/home.
Tāpat mazajiem un vidējiem uzņēmumiem ir pieejams Eiropas Kiberdrošības kompetenču centra grantu līdzfinansējums inovatīvu kiberdrošības risinājumu izstrādes un ieviešanas projektiem. Šo grantu projektu īsteno Aizsardzības ministrija sadarbībā ar Centrālo finanšu un līgumu NCC-LV projekta ietvaros. Plašāka informācija par grantu programmu ir pieejama Aizsardzības ministrijas mājaslapā: https://www.cfla.gov.lv/lv/kiberdrosibas-kompetencu-kopienas-finansejums.
13. Cik drastiski būs jāmainās Latvijas datu centriem? Kā vienu no momentiem var minēt, ka visi datu centri ir Rīgā.
AM: Pašlaik Aizsardzības ministrija izstrādā Ministru kabineta noteikumus par prasībām datu centriem. Pašlaik notiek aktīvs darbs pie šo noteikumu projekta izstrādes. Līdz ko tas tiks sagatavots un saskaņots ar visām iesaistītajām institūcijām, tas tiks nodots sabiedrības līdzdalībai Tiesību aktu projektu (TAP) publiskajā portālā https://tapportals.mk.gov.lv.
Tāpat ar noteikumu projektu iepazīstināsim nacionālās kiberdrošības kompetenču kopienas dalībniekus. Plašāka informācija par dalības iespējām kiberdrošības kompetenču kopienā ir pieejama Aizsardzības ministrijas mājaslapā: https://www.mod.gov.lv/lv/nozares-politika/kiberdrosiba/eccc-nacionalais-koordinacijas-centrs.
14. Vai ISO27000 atbilstība joprojām būs pareizs un kaut cik pietiekams virziens NIS2 atbilstībai?
AM: Jā, organizācijas atbilstība ISO/IEC 27000 sērijas standartam nozīmē, ka tā ir veikusi pareizus soļus, lai stiprinātu tās kiberdrošību. Jaunajos Ministru kabineta noteikumos par minimālajām kiberdrošības prasībām noteiktie atbilstības pienākumi subjektam tiek izstrādāti, balstoties uz nozares ekspertu ieteikumiem un analīzi, kā arī, ņemot vērā nozarei aktuālos starptautiskos standartus, īpaši ISO/IEC 27001:2022.
15. Vai pareizi saprotu, joprojām jāseko līdzi NIS2 direktīvas prasībām, jo visa direktīva netiks pārņemta LV likumdošanā?
AM: Likumprojektā “Nacionālās kiberdrošības likums” ir transponētas prasības, kas obligāti ir jāievieš nacionālajos tiesību aktos, savukārt daļā prasību ir noteikta dalībvalstu rīcības brīvība. Subjektiem ir jāvadās pēc nacionālajos tiesību aktos noteiktajām prasībām.
16. Vai plānojat veidot sarakstu ar uzņēmumiem, kas būs kvalificēti veikt outsourcing cybersecurity?
AM: Pašlaik Aizsardzības ministrija neplāno veidot šādu sarakstu. Vienlaikus jāatzīmē, ka pašreiz Eiropas Savienībā notiek darbs pie kiberdrošības sertifikācijas shēmu izstrādes. Gadījumā, ja dalībvalstīm tiks uzlikts par pienākumu veikt kiberdrošības ārpakalpojumu sniedzēju sertifikāciju, šāds saraksts varētu tikt izstrādāts.
17. Mēs Latvijā esam naski uz drošības noteikumu, likumu izstrādi, bet kā paliek ar IT infrastruktūras pārvaldību? Ja tā nav sakārtota, tad drošības nodrošināšana paliek arvien izaicinošāka!
AM: Skaidrojam, ka likumprojekts “Nacionālās kiberdrošības likums” ir izstrādāts pamatojoties uz pārskatītajā Eiropas Savienības Tīklu un informācijas sistēmu direktīvā (NIS2) noteikto. Līdz ar likumprojektu tiek izstrādāti vairāki noteikumu projekti, tostarp noteikumi, kas noteiks minimālās kiberdrošības prasības. Tie aizstās pašreiz spēkā esošos Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”.
Minētie noteikumi noteiks prasības IKT infrastruktūras pārvaldībai, tostarp subjektiem būs jāizstrādā un jāaktualizē kiberdrošības politika un kiberrisku pārvaldības un darbības nepārtrauktības plāns, jāīsteno kiberrisku mazināšanas pasākumi un jāievieš procedūras rīcībai kiberincidenta gadījumā, jānodrošina žurnālfailu un rezerves veidošana, kā arī jāievēro noteiktas drošības prasības, veicot iepirkumus IKT jomā.
18: Kad CERT.LV nodrošinās saziņai e-pasta adresi, kas ir noteikta 2020. gada 14.jūlija Ministru kabineta noteikumos nr. 445.?
CERT.LV: Ja jautājums skar e-adaresi, tad saziņai ar CERT.LV tā ir pieejama LU MII mājaslapā lumii.lv
19. Kāpēc Smart-ID nav paaugstinātas drošības elektroniskās identifikācijas līdzekļa statuss?
CERT.LV: Smart ID neatbilst atsevišķām prasībam, kas noteiktas kavlificētam, paaugstinātam elektroniskās identifikācijas līdzeklim. (smallprintā vai kā izskaidrojums: atbilstoši MK noteikumiem Nr. 560 Noteikumi par kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja un tā sniegtā pakalpojuma tehniskajām un organizatoriskajām prasībām 5.punktam. Kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs elektroniskās identifikācijas shēmā izmantotos tehniskos resursus, programmatūras un cilvēkresursus izvieto un elektroniskās identifikācijas shēmā iekļautos fiziskās personas datus un neizmantotos identifikācijas līdzekļus glabā Latvijas Republikas jurisdikcijā esošajā teritorijā.
Šajā gadījumā runa ir par šo aspektu. Smart-ID nevar būt kvalificēts paaugstinātas drošības rīks, jo pēc LR normatīvajiem aktiem, infrastruktūrai ir jāatrodas LV. Mūsu gadījumā tā atrodas EE.
20. Ko eID plāno kontekstā ar kvantu tehnoloģiju laikmeta sākumu, vai tiek plānots izmantot kvantu kriptācijas risinājumus?
CERT.LV: Notiek pakāpeniska pāreja uz ECC šifrēšanas algoritmiem.
21. Vai DNSMuris darbosies arī publiskajos tīklos ārpus Latvijas?
CERT.LV: Ja lieto NIC DNS, tad arī ārzemēs vajadzētu darboties DNS ugunsmūrim. Var būt situācija, ka drošās piezemēšanas lapa (landing page) tobrīd nebūs pieejama, bet uz identificēto kaitīgo resursu lietotājs netiks pārvirzīts.
22. Minējāt, ka lietotājam nav jādomā par kiberdrošību, vai varat precizēt ko Jūs ar to domājāt? Vai lietotājs var spiest uz visu un IT risinājumiem jāspēj visu uzķer?
Squalio: Prezentācijas laikā tika minēts, nevis, ka lietotājs var nedomāt par kiberdrošību, bet, ka lietotājam nedomāt par kiberdrošību ikdienā ir normāla situācija. Viņa pamata darba uzdevumi ir citi, tāpēc kiberdrošības profesionāļiem ir ar šo apstākli vienmēr jārēķinās un no savas puses jādara viss iespējamais, lai lietotāju pasargātu. Tas ir gan ar tehniskiem līdzekļiem, gan regulāri atgādinot, ka kiberdrošība ir svarīga. Regulāri te būs ievērojami biežāk nekā reizi gadā.
___________
Pieteikšanās: dalībai klātienē - līdz 20. martam, dalībai tiešsaistē - līdz 25. martam. Ierobežoto vietu skaita dēļ dalība klātienē tiks apstiprināta, priekšroku dodot valsts un pašvaldību iestāžu atbildīgajiem par IT drošību. Apstiprinājumu saņemsiet divu darba dienu laikā pēc pieteikuma iesniegšanas. Dalībai tiešsaistē 26. martā saņemsiet e-pastu ar pasākuma saiti.
Reģistrētie dalībnieki saņems apliecinājumu par dalību seminārā. Pasākums atbilst IT drošības likuma prasībām par CERT.LV organizētajiem IT drošības semināriem.
Jautājumu gadījumā aicinām rakstīt uz kursi.
