Kibernetinio saugumo reikalavimų aprašas (KSRA)
Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
65. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti prieigos valdymo tvarką, apimančią:
- 65.1. kibernetinio saugumo subjekto naudotojų, administratorių, paslaugų teikėjų grupių sudarymą, teisių ir prieigos prie kibernetinio saugumo subjekto tinklų ir informacinių sistemų suteikimą ir valdymą
- 65.2. administratoriaus (administratorių) prieigos prie tinklų ir informacinės sistemos lygius ir juose taikomus kibernetinio saugumo reikalavimus (duomenų skaitymas, kūrimas, atnaujinimas, naikinimas, tinklų ir informacinės sistemos naudotojų informacijos, prieigos teisių redagavimas ir panašiai)
- 65.3. tinklų ir informacinių sistemų naudotojų registravimo ir išregistravimo reikalavimus ir už šių veiksmų atlikimą atsakingo asmens paskyrimą
- 65.4. priemones tinklų ir informacinių sistemų naudotojų tapatybei nustatyti
- 65.5. tinklų ir informacinės sistemos naudotojų ir administratorių slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimus:
- 65.5.1. reikalavimą, kad slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai ir panašiai)
- 65.5.2. reikalavimą, kad slaptažodis negali būti sudarytas iš pasikartojančių arba nuoseklių simbolių (pvz., „aaaaaaaaaaaa“ arba „0123456789“) ar įprastos klaviatūros sekos (pvz., „Qwerty“)
- 65.5.3. draudimą techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti vadovaujantis šiame skyriuje nustatytais reikalavimais
- 65.6. draudimą slaptažodžius atskleisti kitiems asmenims
- 65.7. sąlygas ir atvejus, kada panaikinama tinklų ir informacinės sistemos naudotojų ir administratorių teisė dirbti su konkrečia informacija
- 65.8. leistinus nuotolinio naudotojų ir administratorių prisijungimo prie tinklų ir informacinės sistemos būdus
- 65.9. kelių veiksnių tapatumo priemonių naudojimo būdus.
66. Kibernetinio saugumo subjektas turi patvirtinti asmenų, kuriems suteiktos administratoriaus teisės prisijungti prie tinklų ir informacinių sistemų, sąrašą, kuris periodiškai turi būti peržiūrimas už kibernetinį saugumą atsakingo asmens. Sąrašas turi būti peržiūrėtas, kai administratorius nušalinamas arba pasibaigia jo darbo (tarnybos) santykiai.
67. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jeigu naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio ar nėra techninių galimybių naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.
68. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi patvirtinti kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimo nuostatas.
69. Kibernetinio saugumo subjektams taikomi techniniai reikalavimai nurodyti 7 lentelėje.
Visiems kibernetinio saugumo subjektams
58. Administratoriaus funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms naudotojo funkcijoms atlikti.
59. Naudotojams negali būti suteikiamos administratoriaus teisės.
60. Kiekvienas naudotojas turi būti unikaliai atpažįstamas.
61. Naudotojas ir administratorius turi patvirtinti savo tapatybę slaptažodžiu ir papildoma tapatumo nustatymo priemone (kelių veiksnių tapatumo nustatymo priemonės).
62. Naudotojo teisė dirbti su konkrečia tinklų ir informacine sistema turi būti sustabdoma, kai naudotojas nesinaudoja tinklų ir informacine sistema ilgiau kaip 3 mėnesius.
63. Administratoriaus teisė dirbti su tinklų ir informacine sistema turi būti sustabdoma, kai administratorius nesinaudoja tinklų ir informacine sistema ilgiau kaip 2 mėnesius.
64. Kai naudotojas ar administratorius nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų naudotojo ar administratoriaus kvalifikacinių reikalavimų, taip pat pasibaigia jo darbo (tarnybos) santykiai, jis praranda patikimumą, jo teisė naudotis tinklų ir informacine sistema turi būti panaikinta nedelsiant, bet ne vėliau kaip per kibernetinio saugumo subjekto nustatytą terminą.
65. Nereikalingos ar nenaudojamos tinklų ir informacinių sistemų paskyros turi būti blokuojamos nedelsiant, bet ne vėliau kaip per kibernetinio saugumo subjekto nustatytą terminą ir ištrinamos praėjus žurnalinių įrašų saugojimo terminui (ne trumpiau kaip 90 kalendorinių dienų).
66. Baigus darbą arba pasitraukiant iš darbo vietos, turi būti atsijungiama nuo tinklų ir informacinių sistemų, įjungiama ekrano užsklanda su slaptažodžiu.
67. Tinkluose ir informacinėse sistemose neatliekant jokių veiksmų, darbo stotis turi užsirakinti (ne ilgiau nei po 15 minučių), kad toliau naudotis tinklų ir informacine sistema būtų galima tik pakartotinai patvirtinus savo tapatybę.
68. Tinklų ir informacinės sistemos dalys, tarp jų ir svetainės ir naršyklės, patvirtinančios naudotojo tapatumą, turi drausti išsaugoti slaptažodžius, išskyrus specializuotą slaptažodžių tvarkymo programinę įrangą.
69. Slaptažodis turi būti sudarytas iš didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių.
70. Turi būti nustatytas maksimalus leistinas naudotojų mėginimų prisijungti prie tinklų ir informacinių sistemų skaičius – ne daugiau negu 5 kartai iš eilės. Po numatyto bandymų skaičiaus prisijungti prie tinklų ir informacinių sistemų paskyra turi užsiblokuoti. Atblokuoti gali tik įgalioti asmenys.
71. Papildomi naudotojo slaptažodžių reikalavimai:
- 71.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 6 mėnesius;
- 71.2. slaptažodį turi sudaryti ne mažiau kaip 10 simbolių;
- 71.3. keičiamo slaptažodžio neturi būti leidžiama sudaryti iš buvusių 6 paskutinių slaptažodžių;
- 71.4. pirmąkart jungiantis prie tinklų ir informacinių sistemų, turi būti reikalaujama, kad naudotojas pakeistų slaptažodį;
- 71.5. naudotojas turi turėti galimybę bet kuriuo metu pasikeisti slaptažodį.
72. Papildomi administratorių slaptažodžių reikalavimai:
- 72.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 6 mėnesius;
- 72.2. slaptažodį turi sudaryti ne mažiau kaip 15 simbolių;
- 72.3. keičiant slaptažodį, neturi būti leidžiama naudoti slaptažodžio iš buvusių 8 paskutinių slaptažodžių.
<...>
75. Lokalios naudotojų ir administratorių paskyros turi atitikti reikalavimus, nurodytus šiame skirsnyje.
76. Papildomi atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai (kibernetinio saugumo subjekto svetainėms, pasiekiamoms iš viešųjų elektroninių ryšių tinklų):
- 76.1. programiniame kode draudžiama išsaugoti duomenis (vardą, slaptažodį, aplikacijų programavimo sąsajas (angl. Application programming interface) raktus / ženklus (angl. Token) ir kt.), kuriuos atskleidus gali būti pasinaudota prieiga prie įrenginių, resursų, paskyrų ar valdiklių.
Papildomai tik Esminiams kibernetinio saugumo subjektams
73. Turi būti vykdoma administratorių paskyrų kontrolė:
<...>
- 73.2. naudojamos administratorių paskyrų kontrolės priemonės, kurios periodiškai tikrina administratoriaus paskyras. Apie administratoriaus paskyras, kurios neatitinka šiame skirsnyje nustatytų reikalavimų, turi būti pranešama įgaliotam asmeniui.
74. Vykdoma naudotojų paskyrų kontrolė:
<...>
- 74.2. naudojamos naudotojų paskyrų kontrolės priemonės, kurios periodiškai tikrina naudotojų paskyras. Apie naudotojų paskyras, kurios neatitinka šiame skirsnyje nustatytų reikalavimų, turi būti pranešama įgaliotam asmeniui.
Papildomai tik Svarbiems kibernetinio saugumo subjektams
73. Turi būti vykdoma administratorių paskyrų kontrolė:
- 73.1. reguliariai, ne rečiau kaip kartą per metus, tikrinama, ar administratoriaus paskyros atitinka šiame skyriuje nustatytus reikalavimus, ir pranešama įgaliotam atsakingam asmeniui apie administratorių paskyras, kurios neatitinka šiame skirsnyje nustatytų reikalavimų;
74. Vykdoma naudotojų paskyrų kontrolė:
- 74.1. reguliariai tikrinama, ar naudotojų paskyros atitinka šiame skirsnyje nustatytus reikalavimus. Apie naudotojų paskyras, kurios neatitinka šiame skirsnyje nustatytų reikalavimų, turi būti pranešama įgaliotam asmeniui;