Suvestinė redakcija nuo 2024-10-18
Nutarimas paskelbtas: TAR 2023-12-22, i. k. 2023-25180
Nauja redakcija nuo 2024-10-18:
Nr. TN-678, 2024-10-10, paskelbta TAR 2024-10-11, i. k. 2024-17847
LIETUVOS RESPUBLIKOS
RYŠIŲ REGULIAVIMO TARNYBOS
TARYBA
NUTARIMAS
DĖL PRANEŠIMŲ APIE PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMUS PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO
2023 m. gruodžio 21 d. Nr. TN-708
Vilnius
Vadovaudamasi Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 41 straipsnio 2 dalies 6 punktu ir 185 straipsnio 1 dalimi, Lietuvos Respublikos ryšių reguliavimo tarnybos taryba nutaria:
Patvirtinti Pranešimų apie prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašą (pridedama).
PATVIRTINTA
Lietuvos Respublikos ryšių reguliavimo
tarnybos tarybos 2023 m. gruodžio 21 d.
nutarimu Nr. TN-708
(Lietuvos Respublikos ryšių reguliavimo
tarnybos tarybos 2024 m. spalio 10 d.
nutarimo Nr. TN-678 redakcija)
PRANEŠIMŲ APIE PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMUS PATEIKIMO TVARKOS APRAŠAS
1. Pranešimų apie prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašas (toliau – Aprašas) reglamentuoja kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – elektroninės atpažinties paslauga) teikėjų pranešimų apie saugumo ir (ar) vientisumo pažeidimus (toliau – pažeidimai) teikimo Lietuvos Respublikos ryšių reguliavimo tarnybai (toliau – Tarnyba) tvarką.
2. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, ir Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme (toliau – Įstatymas).
3. Elektroninės atpažinties paslaugos teikėjai privalo:
3.1. Įstatymo 183 straipsnio 7 dalyje nustatytu terminu informuoti Tarnybą elektroninio pašto adresu incidentai@rrt.lt apie elektroninės atpažinties paslaugos teikėjo teikiamos prižiūrimos elektroninės atpažinties priemonės (toliau – atpažinties priemonė) pažeidimą ir pateikti tuo metu turimą informaciją apie atpažinties priemonės pažeidimą;
3.2. Įstatymo 183 straipsnio 7 dalyje nustatytu terminu, skaičiuojamu nuo atpažinties priemonės pažeidimo suvaldymo momento, pateikti Tarnybai elektroninio pašto adresu incidentai@rrt.lt detalią informaciją apie įvykusį atpažinties priemonės pažeidimą. Kai įvyksta Aprašo 2 priede nurodytas atpažinties priemonės pažeidimas, turėjęs didelį poveikį atpažinties priemonei arba ją teikiant naudojamiems asmens duomenims, detali informacija pateikiama užpildant Aprašo 1 priede nustatytos formos pranešimą.
4. Elektroninės atpažinties paslaugos teikėjai privalo:
4.1. ne vėliau kaip prieš 5 darbo dienas informuoti elektroninės atpažinties paslaugos gavėjus ir Tarnybą apie numatomus planinius darbus, kuriuos atliekant yra tikimybė sutrikdyti nepertraukiamą elektroninės atpažinties paslaugos teikimą;
4.2. pateikti Tarnybai atsakingo asmens, su kuriuo būtų galima susisiekti, siekiant operatyviai apsikeisti informacija apie pažeidimus ir jų valdymo priemones tarp Tarnybos ir elektroninės atpažinties paslaugos teikėjų, kontaktinę informaciją (vardą, pavardę, ryšio numerį, elektroninio pašto adresą). Pasikeitus atsakingam asmeniui ar jo kontaktinei informacijai, Tarnybai turi būti pateikta atnaujinta informacija ne vėliau kaip kitą darbo dieną nuo duomenų pasikeitimo.
5. Elektroninės atpažinties paslaugos teikėjai turi teisę informuoti Tarnybą ir apie kitus, jų nuomone, svarbius įvykius, susijusius su atpažinties priemonių saugumu ir (ar) vientisumu.
6. Tarnyba užtikrina gautos konfidencialios informacijos apsaugą nuo neteisėto šios informacijos paviešinimo, taip pat užtikrina, kad ši informacija nebūtų atskleista, kopijuojama ar naudojama kitiems tikslams, kurie gali sukelti neigiamų padarinių konfidencialią informaciją pateikusiam asmeniui, išskyrus teisės aktuose numatytus atvejus.
7. Elektroninės atpažinties paslaugos teikėjai, pažeidę Aprašo reikalavimus, atsako Lietuvos Respublikos administracinių nusižengimų kodekso nustatyta tvarka.
Pranešimų apie prižiūrimų elektroninės
atpažinties priemonių saugumo ir (ar)
vientisumo pažeidimus pateikimo tvarkos
aprašo
1 priedas
(Pranešimo apie prižiūrimos elektroninės atpažinties priemonės saugumo ir (ar) vientisumo pažeidimą forma)
(juridinio asmens pavadinimas arba fizinio asmens vardas ir pavardė) |
(kontaktinis asmuo, ryšio numeris, el. pašto adresas) |
Lietuvos Respublikos ryšių reguliavimo tarnybai
Mortos g. 14, 03219 Vilnius
Tel. +370 800 200 30
El. paštas incidentai@rrt.lt
PRANEŠIMAS APIE PRIŽIŪRIMOS ELEKTRONINĖS ATPAŽINTIES PRIEMONĖS SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMĄ
___________Nr._________
(data)
______________
(sudarymo vieta)
1. Prižiūrimos elektroninės atpažinties priemonės saugumo ir (ar) vientisumo pažeidimo (toliau – pažeidimas) apibūdinimas |
|
2. Prižiūrimos elektroninės atpažinties priemonės (toliau – priemonė) neveikimo laikotarpis (valandomis) |
|
3. Pažeidimo pradžios ir pabaigos data ir laikas (minučių tikslumu) |
|
4. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos gavėjų, kuriuos paveikė pažeidimas, skaičius |
|
5. Pažeidimo poveikis asmens duomenims |
|
6. Pažeidimo ryšys su kitais pažeidimais, jei toks yra |
7. Ar yra tarpvalstybinis poveikis?
Jei taip, nurodyti valstybes |
Taip Ne
___________________________________ |
||||
8. Paveiktos priemonės pavadinimas ir saugumo užtikrinimo lygis |
___________________________________ |
||||
Žemas |
Pakankamas |
Aukštas |
|||
9. Paveiktos platformos |
Registravimo tarnybos (angl. Registration Authority) platforma Sertifikavimo tarnybos (angl. Certification Authority) platforma Sertifikatų galiojimo patvirtinimo tarnybos (OCSP/CRL) platforma Tinklo platforma Archyvas Fiziniai įrenginiai Programinė įranga Kita (įrašykite)___________________________________ |
||||
10. Paveikta savybė ir poveikio mastas (nurodoma pagal Aprašo 2 priedo III skyrių) |
Konfidencialumas |
Vientisumas |
Prieinamumas |
||
Mažas Vidutinis Didelis |
Mažas Vidutinis Didelis |
Mažas Vidutinis Didelis |
|||
11. Pažeidimo priežasčių kategorijos |
Žmogiška klaida Sistemos klaida Nenugalimos jėgos (force majeure) aplinkybės Tyčiniai kenkėjiški veiksmai (virusai, kibernetinės atakos ir pan.) Trečiųjų šalių klaidos Kita (įrašykite)__________________________________ |
||||
12. Detalios pažeidimo priežastys |
Paslaugos trikdymo ataka (angl. DOS) Virusai, sistemos užvaldymas Vagystė ar duomenų praradimas Elektros gedimas Fizinių įrenginių gedimas Programinės įrangos spraga Sugedusių fizinių įrenginių keitimas Programinės įrangos spragos šalinimas Asmens duomenų klastojimas Kriptoanalizė Sistemų per didelis apkrovimas (angl. Overload) Politikos ar procedūrų trūkumas Sistemos išjungimas saugumo tikslais Kita (įrašykite) ___________________________________ |
||||
13. Veiksmai, kurių imtasi siekiant suvaldyti pažeidimą |
|||||
14. Pritaikyti (planuojami taikyti) veiksmai, kurių imtasi (arba planuojama imtis), siekiant išvengti panašių pažeidimų ateityje (angl. lessons learned) |
|||||
15. Saugumo veiksmai, pritaikyti siekiant sušvelninti pažeidimo pasekmes |
|||||
16. Asmenys, kurie buvo informuoti apie pažeidimą |
Mazgo operatorius Valstybinė duomenų apsaugos inspekcija Nacionalinis kibernetinio saugumo centras Nukentėję paslaugos gavėjai Visuomenė Kita (įrašykite)________________ |
||||
__________________ ____________________ ___________________
(pareigos)1 (parašas) (vardas pavardė)
_____________________
1 Nurodoma, jei pranešimą teikia juridinis asmuo.
Pranešimų apie prižiūrimų elektroninės
atpažinties priemonių saugumo ir (ar)
vientisumo pažeidimus pateikimo tvarkos
aprašo
2 priedas
PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMŲ, TURĖJUSIŲ DIDELĮ POVEIKĮ PRIŽIŪRIMAI ELEKTRONINĖS ATPAŽINTIES PRIEMONEI ARBA JĄ TEIKIANT NAUDOJAMIEMS ASMENS DUOMENIMS, APRAŠYMAS
I SKYRIUS
PAŽEIDIMŲ SĄRAŠAS
A. PAŽEIDIMAI, TURINTYS POVEIKIO KONKREČIAI PRIŽIŪRIMAI ELEKTRONINĖS ATPAŽINTIES PRIEMONEI |
||||
A.1. Prižiūrimos elektroninės atpažinties priemonės (toliau – atpažinties priemonė) išdavimas |
||||
A.1.1. Išdavimo procesas |
||||
A.1.1.1. Prašymas išduoti atpažinties priemonę |
||||
A.1.1.1.1. Apsimetimas kitu asmeniu |
|
|||
A.1.1.1.2. Neigimas, kad buvo teiktas prašymas išduoti atpažinties priemonę |
|
|||
A.1.1.2. Atpažinties priemonės išdavimas |
|
|||
A.1.1.2.1. Atskleidimas |
|
|||
A.1.1.2.2. Klastojimas |
|
|||
A.1.1.2.3. Neteisėtas išdavimas |
|
|||
A.1.2. Įtaisai (elektroninės atpažinties paslaugos teikėjų įrenginiai) |
|
|||
A.1.2.1. Vagystė |
|
|||
A.1.2.2. Atskleidimas |
|
|||
A.1.2.3. Kopijavimas |
|
|||
A.1.2.4. Slaptažodžio atskleidimas |
|
|||
A.1.2.5. Įtaiso pažeidimas neprisijungus |
|
|||
A.1.2.6. Sukčiavimas ar apgaudinėjimas |
|
|||
A.1.2.7. Apgaule įgytas pasitikėjimas |
|
|||
A.1.3. Sertifikatų, įtaisų ir autentifikavimo duomenų valdymas |
|
|||
A.1.3.1. Autentifikavimo duomenų saugojimas |
|
|||
A.1.3.1.1. Atskleidimas |
|
|||
A.1.3.1.2. Klastojimas |
|
|||
A.1.3.1.3. Kopijavimas |
|
|||
A.1.3.2. Tikrinimas |
|
|||
A.1.3.2.1. Atskleidimas |
|
|||
A.1.3.2.2. Klastojimas |
|
|||
A.1.3.2.3. Nepasiekiamumas |
|
|||
A.1.3.3. Išdavimas, atnaujinimas, pakartotinis išdavimas |
|
|||
A.1.3.3.1. Atskleidimas |
|
|||
A.1.3.3.2. Klastojimas |
|
|||
A.1.3.3.3. Neteisėtas išdavimas |
|
|||
A.1.3.3.4. Pažeidžiamo protokolo naudojimas |
|
|||
A.1.3.4. Sertifikatų, įtaisų ir autentifikavimo duomenų atšaukimas |
|
|||
A.1.3.4.1. Uždelstas sertifikatų galiojimo atšaukimas, sustabdymas |
|
|||
A.1.3.4.2. Įtaiso naudojimas po jo autentifikavimo duomenų atšaukimo arba galiojimo pabaigos |
|
|||
A.1.4. Sertifikatų galiojimo patvirtinimas |
|
|||
|
|
A.1.4.1. Neteisingas atsakymas patvirtinant sertifikatų galiojimą |
|
|
|
|
A.1.4.2. Neatitikimas tarp CRL ir OCSP |
|
|
|
|
A.1.4.3. Pakartotinė ataka |
|
|
|
|
A.1.4.4. Nepasiekiamumas |
|
|
B. KITI PAŽEIDIMAI, TURINTYS POVEIKIO ATPAŽINTIES PRIEMONĖMS |
||||
B.1. Autentifikavimas |
|
|||
B.1.1. Bandymai prisijungti spėjimo būdu |
|
|||
B.1.2. Sukčiavimas ar apgaudinėjimas |
|
|||
B.1.3. Įsiterpimas (angl. eavesdropping) |
|
|||
B.1.4. Pakartojimai (angl. replay attacks) |
|
|||
B.1.5. Sesijos užgrobimas (angl. session hijacking) |
|
|||
B.1.6. Tarpininkavimas (angl. man in the middle) |
|
|||
B.2. Poveikis programinei įrangai |
|
|||
B.3. Sukompromituotas privatus raktas |
|
|||
B.4. Netinkamas algoritmų naudojimas |
|
|||
B.5. Netyčinis atpažinties priemonės naudojimas kitiems tikslams |
|
|||
B.6. Pažeidimas įtaisuose su kriptografiniais raktais |
|
|||
B.7. Archyvavimo problemos |
|
|||
B.8. Tinklo įrangos sutrikimai |
|
II SKYRIUS
PAŽEIDIMŲ APRAŠYMAS
A. PAŽEIDIMAI, TURINTYS POVEIKIO KONKREČIAI ATPAŽINTIES PRIEMONEI
A.1. Atpažinties priemonės išdavimas
A.1.1. Išdavimo procesas
A.1.1.1. Prašymas išduoti atpažinties priemonę
A.1.1.1.1. Apsimetimas kitu asmeniu. Asmuo, norintis gauti atpažinties priemonę, kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – elektroninės atpažinties paslauga) teikėjui pateikia suklastotus asmens tapatybę patvirtinančius dokumentus.
A.1.1.1.2. Neigimas, kad buvo teiktas prašymas išduoti atpažinties priemonę. Asmuo neigia, kad prašė elektroninės atpažinties paslaugos teikėjo išduoti atpažinties priemonę ir (ar) kad ta atpažinties priemone naudojosi.
A.1.1.2. Atpažinties priemonės išdavimas
A.1.1.2.1. Atskleidimas. Nukopijuojamas asmens privatus kriptografinis raktas.
A.1.1.2.2. Klastojimas. Suklastojamas asmens naudojamos atpažinties priemonės slaptažodis išdavimo ar atnaujinimo metu.
A.1.1.2.3. Neteisėtas išdavimas. Asmeniui išduodama atpažinties priemonė kito asmens vardu.
A.1.2. Įtaisai (elektroninės atpažinties paslaugos teikėjų įrenginiai)
A.1.2.1. Vagystė. Įtaisas pavagiamas.
A.1.2.2. Atskleidimas. Įtaise naudojami nesaugūs kriptografiniai algoritmai (pavyzdžiui, atsakymai į įtaiso užklausas yra lengvai gaunami ieškant įvairiuose duomenų šaltiniuose, naudojami pasenę ar savadarbiai šifravimo algoritmai).
A.1.2.3. Kopijavimas. Įtaisas ir (arba) jame esanti informacija yra neteisėtai nukopijuojama, suklastojama arba kitaip perimama be elektroninės atpažinties paslaugos gavėjo žinios.
A.1.2.4. Slaptažodžio atskleidimas. Įtaiso informacija arba autentifikavimo duomenys atskleidžiami asmeniui, kuris neturi teisės jų gauti, kol elektroninės atpažinties paslaugos gavėjas tokią informaciją ar duomenis siunčia per tinklą.
A.1.2.5. Įtaiso pažeidimas neprisijungus. Įtaiso informacija atskleidžiama nenaudojant įtaiso (pavyzdžiui, įtaiso saugumas yra pažeidžiamas fizinio arba programinio manipuliavimo būdu, nenaudojant įtaiso įprastinėms funkcijoms ar neprisijungus prie tinklo).
A.1.2.6. Sukčiavimas ar apgaudinėjimas. Įtaiso informacija arba autentifikavimo duomenys yra gaunami automatizuotu būdu apgavus elektroninės atpažinties paslaugos gavėją, kai asmuo apsimeta trečiąja šalimi (angl. phishing and pharming).
A.1.2.7. Apgaule įgytas pasitikėjimas. Asmuo elektroninės atpažinties paslaugos gavėją priverčia pasitikėti juo ir įtikina atskleisti įtaiso informaciją arba autentifikavimo duomenis, apsimesdamas teisėtu subjektu.
A.1.3. Sertifikatų, įtaisų ir autentifikavimo duomenų valdymas
A.1.3.1. Autentifikavimo duomenų saugojimas
A.1.3.1.1. Atskleidimas. Atskleidžiami elektroninės atpažinties paslaugos gavėjo prisijungimo duomenys, saugomi elektroninės atpažinties paslaugos teikėjo sistemose.
A.1.3.1.2. Klastojimas. Pakeičiami saugomi elektroninės atpažinties paslaugos gavėjų slaptažodžiai.
A.1.3.1.3. Kopijavimas. Asmens autentifikavimo duomenys nukopijuojami neteisėtai.
A.1.3.2. Tikrinimas
A.1.3.2.1. Atskleidimas. Užklausos ir atsakymai tarp sertifikavimo tarnybos ir sertifikatų galiojimo patvirtinimo tarnybos yra matomi neturintiems teisės matyti asmenims.
A.1.3.2.2. Klastojimas. Asmuo, apsimetęs sertifikavimo tarnyba, siunčia klaidingus atsakymus į sertifikatų galiojimo patvirtinimo tarnybos užklausas, taip pažeisdamas duomenų vientisumą.
A.1.3.2.3. Nepasiekiamumas1. Slaptažodžių failas arba elektroninės atpažinties paslaugos teikėjo sistemos tampa nepasiekiami, todėl nėra galimybės susieti elektroninės atpažinties paslaugos gavėjo vardą su slaptažodžiu.
A.1.3.3. Išdavimas, atnaujinimas, pakartotinis išdavimas
A.1.3.3.1. Atskleidimas. Slaptažodis, kurį elektroninės atpažinties paslaugos teikėjas atnaujino elektroninės atpažinties paslaugos gavėjui, neteisėtai nukopijuojamas, kai jis yra perduodamas iš elektroninės atpažinties paslaugos teikėjo elektroninės atpažinties paslaugos gavėjui.
A.1.3.3.2. Klastojimas. Atnaujintas slaptažodis, sukurtas elektroninės atpažinties paslaugos gavėjo, neteisėtai pakeičiamas, kai jis teikiamas elektroninės atpažinties paslaugos teikėjui, siekiant pakeisti pasibaigusio galiojimo slaptažodį.
A.1.3.3.3. Neteisėtas išdavimas. Elektroninės atpažinties paslaugos teikėjo sistema pažeidžiama per neteisėtą fizinę ar loginę prieigą ir dėl to sukuriami suklastoti autentifikavimo duomenys.
A.1.3.3.4. Pažeidžiamo protokolo naudojimas. Neteisėtai pasinaudojama pažeidžiamu autentifikavimo duomenų išdavimo, atnaujinimo protokolu.
A.1.3.4. Sertifikatų, įtaisų ir autentifikavimo duomenų atšaukimas
A.1.3.4.1. Uždelstas sertifikatų galiojimo atšaukimas, sustabdymas. Laiku neatnaujintas sertifikatų atšaukimo sąrašas (angl. certificate revocation list) (toliau – CRL) leidžia pasinaudoti sertifikatais, kurie turėjo būti atšaukti.
A.1.3.4.2. Įtaiso naudojimas po jo autentifikavimo duomenų atšaukimo arba galiojimo pabaigos. Autentifikavimui skirtas įtaisas, pavyzdžiui, kodų generatorius, naudojamas po to, kai atitinkami įtaiso autentifikavimo duomenys buvo atšaukti arba pasibaigė jų galiojimo laikas.
A.1.4. Sertifikatų galiojimo patvirtinimas
A.1.4.1. Neteisingas atsakymas patvirtinant sertifikatų galiojimą. Pateikiama klaidinga informacija apie sertifikato galiojimą.
A.1.4.2. Neatitikimas tarp CRL ir OCSP. Neatitikimas tarp CRL esančios ir OCSP (angl. Online Certificate Status Protocol) teikiamos informacijos apie sertifikato galiojimą.
A.1.4.3. Pakartotinė ataka. Asmuo sugeba apgaulingai pakartoti arba atidėti duomenų apie sertifikato galiojimą perdavimą.
A.1.4.4. Nepasiekiamumas1. OCSP laikinai nepasiekiama, o tai sukelia elektroninės atpažinties paslaugos gavėjų programų neveikimą dėl to, kad negaunama reikalinga informacija.
B. KITI PAŽEIDIMAI, TURINTYS POVEIKIO ATPAŽINTIES PRIEMONĖMS
Pažeidimai iš šios grupės nurodomi tuomet, kai pažeidimas neatitinka A incidentų grupėje nurodytų pažeidimų.
B.1. Autentifikavimas
B.1.1. Bandymai prisijungti spėjimo būdu. Asmuo, neturintis teisės prisijungti, atlieka pakartotinius prisijungimo bandymus, bandydamas atspėti autentifikavimo duomenis.
B.1.2. Sukčiavimas ar apgaudinėjimas:
· Iš elektroninės atpažinties paslaugos gavėjo apgaulės būdu išviliojama jo įtaisų informacija, asmeniniai duomenys ar autentifikavimo duomenys (angl. phishing).
· Elektroninės atpažinties paslaugos gavėjas nukreipiamas į apgaulingą svetainę, manipuliuojant DNS arba maršrutizavimo lentelėmis (angl. pharming).
B.1.3. Įsiterpimas (angl. eavesdropping). Asmuo neteisėtai įsiterpia į autentifikavimo protokolą, norėdamas perimti informaciją, kuri gali būti panaudota vėlesnėje aktyvioje atakoje apsimetant teisėtu elektroninės atpažinties paslaugos gavėju.
B.1.4. Pakartojimai (angl. replay attacks). Asmuo neteisėtai pakartoja anksčiau užfiksuotus tinklo paketus, kurie atpažįstami kaip pateikti teisėto elektroninės atpažinties paslaugos gavėjo.
B.1.5. Sesijos užgrobimas (angl. session hijacking). Asmuo neteisėtai įsiterpia į sėkmingą autentifikaciją tarp abiejų šalių.
B.1.6. Tarpininkavimas (angl. man in the middle). Asmuo neteisėtai perima ir (ar) keičia autentifikavimo protokolo pranešimų turinį.
B.2. Poveikis programinei įrangai
Šis pažeidimas apima visą įmanomą poveikį programinei įrangai, naudojamai elektroninės atpažinties paslaugos teikėjo, ir apima sertifikatų sudarymo, atpažinties priemonės programinės įrangos galimus pažeidimus.
B.3. Sukompromituotas privatus raktas
Šis pažeidimas apima privataus rakto slaptumo pažeidimą, kuomet juo gali neteisėtai pasinaudoti asmenys, neturintys teisės to daryti. Privataus rakto slaptumas yra ypač svarbus kiekvienai asimetrinei kriptografinei sistemai. Bet koks privataus rakto atskleidimas stipriai paveikia elektroninės atpažinties paslaugą, kuri priklauso nuo šio rakto. Prarastas raktas gali būti atkuriamas atsižvelgiant į elektroninės atpažinties paslaugos teikėjo taikomas procedūras, bet rakto praradimas gali turėti kritinį poveikį teikiamai elektroninės atpažinties paslaugai.
B.4. Netinkamas algoritmų naudojimas
Netinkamais laikomi nebeaktualūs, silpni arba pasenę algoritmai. Netinkamai parinkti algoritmai daro įtaką kriptografinių raktų generavimui, sertifikatų sudarymui ir atpažinties priemonei.
B.5. Netyčinis atpažinties priemonės naudojimas kitiems tikslams
Atpažinties priemonės panaudojimas ne pagal paskirtį, kuri nurodyta elektroninės atpažinties paslaugos teikėjo dokumentuose ir sutartyje su elektroninės atpažinties paslaugos gavėju.
B.6. Pažeidimas įtaisuose su kriptografiniais raktais
Pažeidimas įtaisuose, turinčiuose kriptografinius raktus, pavyzdžiui, HSM (aparatiniuose saugumo moduliuose), lustinėse kortelėse, USB kriptografiniuose raktuose. Tai reiškia, kad įtaisas yra prarastas, pavogtas, užblokuotas, nėra galimybės naudoti, susigrąžinti ar atšaukti kriptografinius duomenis įtaise.
B.7. Archyvavimo problemos
Pažeidimai, susiję su elektroninės atpažinties paslaugos teikėjo atliktų veiksmų įrašų (angl. log) saugojimu, valdymu ir prieinamumu. Tai apima neteisėtą arba netyčinį įrašų pakeitimą, praradimą ar sunaikinimą.
B.8. Tinklo įrangos sutrikimai
Tinklo infrastruktūros, įskaitant techninę įrangą, pavyzdžiui, ugniasienes, maršrutizatorius, kabelius, taip pat programinę įrangą, pavyzdžiui, aparatinės įrangos tvarkykles (angl. firmware), neveikimas.
III SKYRIUS
POVEIKIO ELEKTRONINĖS ATPAŽINTIES PASLAUGAI MASTO ĮVERTINIMAS
Turtas |
Poveikis |
||||
Prieinamu-mas |
Vientisumas |
Konfidencialu-mas |
|||
Sertifikavimo tarnybos (angl. certification authority) platforma |
Techninė įranga |
Šakninės sertifikavimo tarnybos (angl. root certification authority) tarnybinė stotis |
Didelis |
Netaikoma |
Netaikoma |
Šakninės sertifikavimo tarnybos aparatinis saugumo modulis (HSM) |
Didelis |
Netaikoma |
Netaikoma |
||
Sertifikavimo tarnybos tarnybinė stotis |
Didelis |
Netaikoma |
Netaikoma |
||
Sertifikavimo tarnybos aparatinis saugumo modulis |
Didelis |
Netaikoma |
Netaikoma |
||
Kita sertifikavimo tarnybos techninė įranga |
Didelis |
Netaikoma |
Netaikoma |
||
Programinė įranga |
Šakninės sertifikavimo tarnybos sertifikatas |
Vidutinis |
Didelis |
Mažas |
|
Aparatinio saugumo modulio, saugančio šakninės sertifikavimo tarnybos privatų raktą, programinė įranga |
Didelis |
Didelis |
Didelis |
||
Sertifikavimo tarnybos sertifikatas |
Vidutinis |
Didelis |
Mažas |
||
Aparatinio saugumo modulio, saugančio sertifikavimo tarnybos privatų raktą, programinė įranga |
Didelis |
Didelis |
Didelis |
||
Šakninės sertifikavimo tarnybos ir sertifikavimo tarnybos programinė įranga |
Vidutinis |
Didelis |
Vidutinis |
||
Registravimo tarnybos (angl. registration authority) platforma |
Techninė įranga |
Registravimo tarnybos techninė įranga |
Didelis |
Netaikoma |
Netaikoma |
Registravimo tarnybos darbuotojų naudojama techninė įranga |
Vidutinis |
Netaikoma |
Netaikoma |
||
Programinė įranga |
Registravimo tarnybos programinė įranga |
Vidutinis |
Didelis |
Vidutinis |
|
Registravimo tarnybos operatoriaus sertifikatas |
Vidutinis |
Didelis |
Mažas |
||
Sertifikatų galiojimo patvirtinimo tarnybos (angl. validation authority) platforma |
Techninė įranga |
Galiojimo patvirtinimo tarnybos tarnybinė stotis |
Didelis |
Netaikoma |
Netaikoma |
Galiojimo patvirtinimo tarnybos aparatinis saugumo modulis |
Didelis |
Netaikoma |
Netaikoma |
||
Programinė įranga |
Galiojimo patvirtinimo tarnybos programinė įranga |
Vidutinis |
Didelis |
Vidutinis |
|
Galiojimo patvirtinimo tarnybos sertifikatas |
Vidutinis |
Didelis |
Mažas |
||
Aparatinio saugumo modulio, saugančio galiojimo patvirtinimo tarnybos privatų raktą, programinė įranga |
Didelis |
Didelis |
Didelis |
||
Atšauktų sertifikavimo tarnybos sertifikatų sąrašas (angl. certification authority revocation list) |
Didelis |
Didelis |
Mažas |
||
Atšauktų sertifikatų sąrašas (angl. certification revocation list) |
Didelis |
Didelis |
Mažas |
||
Laiko žymų tarnybos sertifikatas |
Vidutinis |
Didelis |
Mažas |
||
Aparatinio saugumo modulio, saugančio laiko žymos tarnybos privatų raktą, programinė įranga |
Didelis |
Didelis |
Didelis |
||
Archyvas |
Dokumentacija |
Vidutinis |
Didelis |
Didelis |
|
Tinklo platforma |
Ryšio linijos, ugniasienės ir kita |
Didelis |
Didelis |
Didelis |
|
Elektroninės atpažinties paslaugos gavėjų įtaisai |
Lustinės kortelės, USB laikmenos, mobilieji telefonai |
Didelis |
Netaikoma |
Netaikoma |
|
Elektroninės atpažinties paslaugos gavėjo sertifikatai |
Vidutinis |
Didelis |
Vidutinis |
||
Elektroninės atpažinties paslaugos gavėjo privatus raktas |
Didelis |
Didelis |
Didelis |
||
Elektroninės atpažinties paslaugos gavėjų nuotoliniai įtaisai |
Aparatinis saugumo modelis arba tarnybinė stotis, sauganti privačius raktus ir sertifikatus |
Didelis |
Didelis |
Didelis |
|
Atpažinties priemonės platforma |
Atpažinties priemonės programinė įranga |
Vidutinis |
Didelis |
Vidutinis |
|
Įtaisai (pavyzdžiui, lustinės kortelės, USB kriptografinė laikmena ir kita) |
Vidutinis |
Didelis |
Netaikoma |
Pakeitimai:
1.
Lietuvos Respublikos ryšių reguliavimo tarnyba, Nutarimas
Nr. TN-678, 2024-10-10, paskelbta TAR 2024-10-11, i. k. 2024-17847
Dėl Lietuvos Respublikos ryšių reguliavimo tarnybos tarybos 2023 m. gruodžio 21 d. nutarimo Nr. TN-708 „Dėl Pranešimų apie patikimumo užtikrinimo paslaugų ir prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašo patvirtinimo“ pakeitimo