Kibernetinio saugumo reikalavimų aprašas (KSRA)
Kriptografijos ir šifravimo naudojimo politika ir procedūros
55. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti kriptografijos ir šifravimo naudojimo tvarką, apimančią:
- 55.1. kibernetinio saugumo subjekto kriptografijos ir šifravimo priemonių naudojimo nuostatas, atsižvelgiant į kibernetinio saugumo subjekto nustatytus informacijos klasifikavimo ir tvarkymo reikalavimus
- 55.2. raktų valdymą (generavimas, sunaikinimas, archyvavimas ir kt.).
56. Praradus kriptografinį raktą turi būti informuojamas atsakingas asmuo.
57. Kibernetinio saugumo subjektams taikomi techniniai reikalavimai nurodyti 4 lentelėje.
Visiems kibernetinio saugumo subjektams
44. Viešaisiais elektroninių ryšių tinklais perduodamos kibernetinio saugumo subjektui jautrios informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą ar virtualųjį privatų tinklą (angl. Virtual private network, VPN).
45. Belaidis ryšys turi būti šifruojamas pagal gerąją saugumo praktiką rekomenduojamu šifravimo ilgio raktu. Naudoti visuotinai saugiais pripažįstamus raktus ir protokolų versijas. Belaidės prieigos stotelėje turi būti pakeisti standartiniai gamintojo raktai.
46. Duomenys, perduodami tarp mobiliojo įrenginio ir tinklų ir informacinės sistemos, turi būti šifruojami taikant virtualaus privataus tinklo (VPN) technologiją su TLS / SSL sertifikatu arba naudojama privataus prieigos taško (angl. Access Point Name, APN) per mobiliojo ryšio operatorių technologija, taikant perduodamų duomenų šifravimą sraute su TLS / SSL sertifikatu, kai VPN technologija nėra palaikoma mobiliųjų įrenginių.
47. Mobiliųjų įrenginių laikmenose ir išorinėse kompiuterinėse laikmenose laikomi tinklų ir informacinių sistemų duomenys turi būti šifruojami.
48. Turi būti įgyvendinti svetainės kriptografijos reikalavimai:
- 48.1. turi būti naudojami oficialiai pripažinti saugus ilgio raktai;
- 48.2. atliekant svetainės administravimo darbus, ryšys turi būti šifruojamas;
- 48.3. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų;
<...>
- 48.5. svetainės kriptografinės funkcijos turi būti įdiegtos serverio, kuriame yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module);
<...>
49. Duomenys atsarginėse kopijose turi būti užšifruoti (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų informacijai neteisėtai atkurti.
50. Turi būti saugomi ir stebimi audito įrašai, susiję su kriptografinių raktų valdymo veikla (generavimas, sunaikinimas, archyvavimas, naudotojų veiksmai).
Papildomai tik Esminiams kibernetinio saugumo subjektams
48. Turi būti įgyvendinti svetainės kriptografijos reikalavimai:
- 48.4. turi būti naudojamas TLS standartas (1.3 versija arba naujesnė);
- 48.6. visi kriptografiniai moduliai turi gebėti saugiai sutrikti (angl. fail securely).