Kibernetinio saugumo reikalavimų aprašas (KSRA)
Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
40. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo užtikrinimo tvarką, kuri apimtų:
- 40.1. tinklų ir informacinių sistemų įsigijimo ir diegimo reikalavimus
- 40.2. saugumo sistemų, skirtų tinklams ir informacinėms sistemoms nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) apsaugoti, naudojimo nuostatas ir atnaujinimo reikalavimus
- 40.3. kompiuterių tinklo filtravimo įrangos (saugasienių, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindines naudojimo nuostatas
- 40.4. duomenų perdavimo tinklo saugumo užtikrinimo priemones
- 40.5. elektroninio pašto saugaus naudojimo nuostatas
- 40.6. leistinos programinės įrangos sąrašo tvirtinimo, peržiūrėjimo reguliarumo ne rečiau kaip kartą per metus ir atnaujinimo nuostatas
- 40.7. kitas priemones, naudojamas kibernetiniam saugumui užtikrinti.
41. Programinę įrangą diegia tik kibernetinio saugumo subjekto įgalioti asmenys. Sistemų naudotojai negali būti įgaliojami diegti programinę įrangą savarankiškai.
42. Kibernetinio saugumo subjektas turi nustatyti tinklų ir informacinių sistemų pokyčių (toliau – pokyčiai) valdymo tvarką, apimančią planavimą, pokyčių identifikavimą, skirstymą į kategorijas pagal pokyčio tipą, įtakos vertinimą ir pokyčių prioritetų nustatymą.
43. Visi pokyčiai, galintys sutrikdyti ar sustabdyti kibernetinio saugumo subjekto veiklą, turi būti suderinti su kibernetinio saugumo subjekto vadovu ar jo įgaliotu asmeniu ir turi būti patikrinti bandomojoje aplinkoje.
44. Kibernetinio saugumo subjektas turi nustatyti pataisų valdymo tvarką. Saugos pataisos turi būti testuojamos prieš jas diegiant produkcinėje aplinkoje. Turi būti diegiamos oficialių gamintojų saugos pataisos, prieš pataisų diegimą turi būti atliekamas jų vientisumo tikrinimas. Saugos pataisos nediegiamos, jei jose aptinkama spragų, kurios gali daryti didesnę žalą, nei jų diegimo nauda.
45. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi patvirtinti spragų valdymo ir atskleidimo nuostatas, kuriose turi būti nustatyta:
- 45.1. spragų, galinčių turėti įtakos kibernetiniam saugumui, nustatymas ir vertinimas
- 45.2. už spragų nustatymą atsakingų asmenų teisės ir pareigos
- 45.3. spragų nustatymo plano rengimas
- 45.4. spragų nustatymo programinės įrangos naudojimas
- 45.5. spragų nustatymo rezultatų klasifikavimas
- 45.6. spragų nustatymo ataskaitų rengimas ir nustatytų trūkumų šalinimas
- 45.7. reikalavimas nedelsiant pašalinti spragą, įvertintą kaip itin reikšmingą tinklų ir informacinių sistemų veiklai
- 45.8. reikalavimas reguliariai vertinti spragas, o visą tinklų informacinės sistemos spragų skenavimą atlikti ne rečiau kaip kas 6 mėnesius
- 45.9. spragų, apie kurias informacija gauta pagal Kibernetinio saugumo įstatymo 25 straipsnį, tyrimas ir informacijos teikimas.
46. Spragų tvarkymas turi būti suderintas su kibernetinio saugumo subjekto pokyčių ir incidentų valdymo nuostatomis.
47. Kibernetinio saugumo subjektams taikomi techniniai reikalavimai nurodyti 3 lentelėje.
Visiems kibernetinio saugumo subjektams
21. Kibernetinio saugumo subjektas turi turėti aktualią tinklų ir informacinių sistemų infrastruktūros loginę schemą ir visų tinklų ir informacinių sistemų schemas (atnaujinti joms pasikeitus).
<...>
23. Serveriuose (įskaitant ir virtualias mašinas) ir darbo stotyse turi būti įjungtos ir sukonfigūruotos saugasienės, kurios kontroliuoja visą įeinantį ir išeinantį srautą.
24. Iš išorės gaunami elektroniniai laiškai turi būti filtruojami, siekiant aptikti ir blokuoti kenksmingą turinį.
25. Techninės ir programinės įrangos, kuri skirta kibernetiniams incidentams aptikti, konfigūracijos taisyklės turi būti saugomos elektronine forma atskirai nuo tinklų ir informacinių sistemų techninės įrangos (kartu nurodant atitinkamas datas atsakingus asmenis, taikymo periodus).
26. Prisijungiant prie belaidžio tinklo (jeigu jungiamasi prie tinklų ir informacinės sistemos vidinio tinklo), turi būti taikomas tinklų ir informacinių sistemų naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas arba naujesnis protokolas, visuotinai pripažįstamas saugiu.
27. Tinklui valdyti turi būti naudojami saugūs tinklo protokolai.
28. Turi būti uždrausti / išjungti visi nebūtini protokolai ir atviri prievadai (angl. port).
<...>
30. Turi būti diegiami naudojamos programinės įrangos gamintojų ir operacinių sistemų rekomenduojami atnaujinimai.
31. Tinklų ir informacinės sistemos, dėl objektyvių priežasčių naudojančios nepalaikomas operacinių sistemų ir kitos programinės įrangos versijas, turi veikti atskirame tinklo segmente, atskirtame nuo pagrindinių kibernetinio saugumo subjekto veiklos funkcijų.
32. Vidinis kibernetinio saugumo subjekto kompiuterių tinklas turėtų būti segmentuotas, jame atskiriant bent:
- 32.1. tinklų ir informacinių sistemų valdymo ir administravimo potinklį;
- 32.2. atskirą potinklį kiekvienai trečiajai šaliai arba kitais būdais užtikrinant trečiųjų šalių prieigą tik prie tai šaliai reikalingų resursų, kur įmanoma taikant kelių veiksnių prisijungimo autentifikaciją. Prisijungimas turi būti atliekamas naudojant saugų virtualųjį privatų tinklą (angl. Virtual private network, VPN). Prisijungimas registruojamas įvykių registravimo žurnaluose;
- 32.3. tinklinių daugiafunkcių įrenginių bei spausdintuvų ir skenerių potinklį;
- 32.4. IP telefonijos potinklį;
- 32.5. darbo vietų potinklį;
- 32.6. testavimo potinklį.
33. Mobiliuosiuose įrenginiuose ir kompiuterinėse darbo vietose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, kuriomis apribojamas neleistino vykdomojo kodo naudojimas ar informuojamas administratorius apie neleistino vykdomojo kodo naudojimą.
34. Turi būti parengti ir įdiegti kompiuterinių darbo vietų (įskaitant nešiojamuosius įrenginius) operacinių sistemų atvaizdai ir (arba) kitos priemonės su integruotomis saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų spragų ar atakų. Pagal parengtus atvaizdus į kompiuterines darbo vietas (įskaitant nešiojamuosius įrenginius) turi būti įdiegiama operacinė sistema su saugumo nuostatomis.
35. Draudžiama svetainės serveriuose saugoti sesijos duomenis (identifikatorių) prisijungimo tikslams, pasibaigus susijungimo sesijai.
36. Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojama svetainės saugasienė (angl. Web Application Firewall).
37. Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų remiantis OWASP (angl. The Open Web Application Security Project) Top 10 geriausiomis praktikomis (www.owasp.org).
38. Žiniatinklio (angl. Web) formose turi būti naudojama svetainės naudotojo įvedamų duomenų kontrolė (angl. Input validation).
39. Internetu prieinamos tinklų ir informacinės sistemos neturi rodyti naudotojui klaidų pranešimų apie tinklų ir informacinės sistemos ir programinį kodą ar serverį.
40. Internetu naudojant HTTPS protokolą (angl. HyperText Transfer Protocol Secure, HTTPS) prieinamos tinklų ir informacinės sistemos saugumo priemonės turi leisti tik jų funkcionalumui užtikrinti reikalingus protokolo metodus.
41. Kibernetinio saugumo subjekto serveriuose ir kompiuterinėse darbo vietose turi būti naudojamos (jei įmanoma, centralizuotai) valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.
42. Naudojama tik legali ir leistina (pagal kibernetinio saugumo subjekto patvirtintą sąrašą) programinė įranga.
43. Nuolatos turi būti stebimas tinklų ir informacinių sistemų įrangos laisvos atminties ar vietos diske kiekis, stebima apkrova, resursų naudojimas. Pasiekus nustatytas ribines reikšmes, apie tai turi būti informuojami atsakingi asmenys.
Papildomai tik Esminiams kibernetinio saugumo subjektams
22. Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu kibernetinio saugumo subjekto sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio kibernetinio saugumo subjekto veiklai vertinimas (testavimas).
29. Kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungtas lygiarangis (angl. peer to peer) funkcionalumas, jei tai nėra reikalinga darbo funkcijoms atlikti.