“Par drošību!” regulāri saskaras ar gadījumiem, kad organizācijas iegādājas produktus, kas patiesībā neatbilst MK442 – Ministru kabineta noteikumiem Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, tādi var būt gan Izraēlas kiberdrošības produkti, gan Ķīnas videonovērošanas kameru produkti – lai šo skaidrotu, ar biežākajiem gadījumiem vērsāmies vēstulē pie Aizsardzības ministrijas, kas ir koordinējošā institūcija Latvijā par Kiberdrošības politiku.
Biežākie iepirkumu gadījumi:
- IKT produkta piegādātājs paaugstinātas drošības sistēmai ir juridiska persona, kas dibināta ārpus Ziemeļatlantijas līguma organizācijas (turpmāk – NATO), Eiropas Savienības (turpmāk – ES) un Eiropas Ekonomikas zonas (turpmāk – EEZ) valstīm, nav reģistrēta NATO, ES vai EEZ valstī, un tās patiesā labuma guvējs nav NATO, ES vai EEZ valsts pilsonis vai Latvijas Republikas nepilsonis.
- IKT produkta piegādātājs paaugstinātas drošības sistēmai ir juridiska persona, kas dibināta ārpus NATO, ES un EEZ valstīm, tās filiāle ir reģistrēta NATO, ES vai EEZ valstī, un tās patiesā labuma guvējs nav NATO, ES vai EEZ valsts pilsonis vai Latvijas Republikas nepilsonis.
- IKT produkta piegādātājs paaugstinātas drošības sistēmai ir juridiska persona, kas dibināta kādā no NATO, ES un EEZ valstīm, taču tās patiesā labuma guvējs nav NATO, ES un EEZ valsts pilsonis vai Latvijas Republikas nepilsonis.
- IKT produkta piegādātājs ir juridiska persona, kas ir reģistrēta NATO, ES vai EEZ valstī, un kuras patiesā labuma guvējs ir NATO, ES vai EEZ valsts pilsonis vai Latvijas nepilsonis; juridiskā persona darbojas kā starpnieks, piegādājot IKT produktu – programmatūru, ko ir radījusi cita juridiska persona, kas nav reģistrēta NATO, ES vai EEZ dalībvalstī, un kuras patiesā labuma guvējs nav NATO, ES vai EEZ valsts pilsonis vai Latvijas Republikas nepilsonis.
Visos vēstulē aprakstītajos gadījumos līgumu par IKT produktu iegādi plāno slēgt paaugstinātas drošības sistēmas īpašnieks – valsts vai pašvaldības iestāde.
Aizsardzības ministrijas, CERT.LV un MIDD skaidrojums
Aizsardzības ministrija sadarbībā ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju (CERT.LV) un Militārās izlūkošanas un drošības dienestu ir izvērtējusi vēstulē minēto informāciju, un informē, ka saskaņā ar Noteikumu 36.1 1. apakšpunktu līgumu par IKT produktu iegādi paaugstinātas drošības sistēmām atļauts slēgt ar tādu juridisku personu,
- kas ir reģistrēta NATO, ES vai EEZ dalībvalstī;
- kuras patiesais labuma guvējs ir NATO, ES, EEZ valsts pilsonis vai Latvijas Republikas nepilsonis;
- kuras pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiska persona, kas reģistrēta NATO, ES vai EEZ dalībvalstī, vai fiziska persona, kas ir Latvijas Republikas valstspiederīgais, NATO, ES vai EEZ valsts pilsonis;
Gadījumā, ja vismaz viens no minētajiem kritērijiem netiek izpildīts, slēgt līgumu par IKT produktu iegādi paaugstinātas drošības sistēmām ir aizliegts. Jāuzsver, ka ar 2020. gada 11. augusta noteikumiem Nr. 497 “Grozījumi Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”” Noteikumu 36.1 1.2. apakšpunkta prasības attiecībā uz juridiskās personas patiesā labuma guvēju un 36.1 1.3. apakšpunkta prasības attiecībā uz pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotāju tika noteiktas kā papildu prasības pie tolaik jau spēkā esošās prasības slēgt līgumu par IKT produktu iegādi paaugstinātas drošības sistēmām ar juridisku personu, kas ir reģistrēta NATO, ES vai EEZ dalībvalstī, vai fizisku personu, kas ir Latvijas Republikas valstspiederīgais, NATO, ES vai EEZ valsts pilsonis.[1]
Vienlaikus jāatzīmē, ka saskaņā ar Noteikumu 36.3 punktu Noteikumu 36.1 punkta prasības nepiemēro, ja ir saņemts kompetentās valsts drošības iestādes atzinums, ka līgumu var slēgt, proti, ja kompetentā valsts drošības iestāde ir izvērtējusi konkrēto iepirkuma gadījumu un iespējamos drošības riskus un piekritusi, ka ir pietiekami droši slēgt iepirkuma līgumu ar konkrēto juridisko personu.[2]
Ņemot vērā, ka nevienā no vēstulē aprakstītajiem gadījumiem neizpildās Noteikumu 36.1 punkta prasības, kā arī nav saņemts pozitīvs kompetentās valsts drošības iestādes atzinums, secināms, ka nevienā no šiem gadījumiem nav atļauts slēgt līgumu par pakalpojumu, programmatūru vai iekārtu iegādi paaugstinātas drošības sistēmām.
Norāda Aizsardzības ministrija
Neattiecas tikai uz paaugstinātas drošības sistēmām
Tāpat vienlaikus jānorāda, ka prasības, kas minētas 36.1 pantā attiecas arī uz
- maršrutētāju,
- komutatoru,
- ārējo ugunsmūru,
- ielaušanās atklāšanas sistēmu,
- pretielaušanās sistēmu,
- antivīrusu programmatūru,
un pakalpojumu, programmatūras un citu iekārtu iegādi, kas nodrošina pamata drošības sistēmu aizsardzības un uzraudzības funkcijas.
Vienlaikus Aizsardzības ministrija norāda, ja Jūsu rīcībā ir informācija par jau noslēgtajiem vai plānotajiem līgumiem, kas pirmsšķietami neatbilst šīm Noteikumu prasībām, aicinām par to nekavējoties informēt kompetento valsts drošības iestādi:
- Satversmes aizsardzības biroju (tālr. 67025407, e-pasts info@sab.gov.lv),
- Valsts drošības dienestu (tālr. 67208964, e-pasts info@vdd.gov.lv) vai
- Militārās izlūkošanas un drošības dienestu (tālr. 67177877, e-pasts pasts@midd.gov.lv).
[1] skat. Ministru kabineta 2020. gada 11. augusta noteikumu Nr. 497 “Grozījumi Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”” anotāciju.
[2] turpat.
