Suvestinė redakcija nuo 2024-10-18

 

Nutarimas paskelbtas: TAR 2023-12-22, i. k. 2023-25180

 

Nauja redakcija nuo 2024-10-18:

Nr. TN-678, 2024-10-10, paskelbta TAR 2024-10-11, i. k. 2024-17847

 

LIETUVOS RESPUBLIKOS

RYŠIŲ REGULIAVIMO TARNYBOS

TARYBA

 

NUTARIMAS

DĖL PRANEŠIMŲ APIE PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMUS PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO

 

2023 m. gruodžio 21 d.  Nr. TN-708

Vilnius

 

Vadovaudamasi Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 41 straipsnio 2 dalies 6 punktu ir 185 straipsnio 1 dalimi, Lietuvos Respublikos ryšių reguliavimo tarnybos taryba nutaria:

Patvirtinti Pranešimų apie prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašą (pridedama).

 

 

 

Tarybos pirmininkė                                                                                    Jūratė Šovienė

 

 

PATVIRTINTA

Lietuvos Respublikos ryšių reguliavimo

tarnybos tarybos 2023 m. gruodžio 21 d.

nutarimu Nr. TN-708

(Lietuvos Respublikos ryšių reguliavimo

tarnybos tarybos 2024 m. spalio 10 d.

nutarimo Nr. TN-678 redakcija)

 

PRANEŠIMŲ APIE PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMUS PATEIKIMO TVARKOS APRAŠAS

 

1. Pranešimų apie prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašas (toliau – Aprašas) reglamentuoja kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – elektroninės atpažinties paslauga) teikėjų pranešimų apie saugumo ir (ar) vientisumo pažeidimus (toliau – pažeidimai) teikimo Lietuvos Respublikos ryšių reguliavimo tarnybai (toliau – Tarnyba) tvarką.

2. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, ir Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme (toliau – Įstatymas).

3. Elektroninės atpažinties paslaugos teikėjai privalo:

3.1. Įstatymo 183 straipsnio 7 dalyje nustatytu terminu informuoti Tarnybą elektroninio pašto adresu incidentai@rrt.lt apie elektroninės atpažinties paslaugos teikėjo teikiamos prižiūrimos elektroninės atpažinties priemonės (toliau – atpažinties priemonė) pažeidimą ir pateikti tuo metu turimą informaciją apie atpažinties priemonės pažeidimą;

3.2. Įstatymo 183 straipsnio 7 dalyje nustatytu terminu, skaičiuojamu nuo atpažinties priemonės pažeidimo suvaldymo momento, pateikti Tarnybai elektroninio pašto adresu incidentai@rrt.lt detalią informaciją apie įvykusį atpažinties priemonės pažeidimą. Kai įvyksta Aprašo 2 priede nurodytas atpažinties priemonės pažeidimas, turėjęs didelį poveikį atpažinties priemonei arba ją teikiant naudojamiems asmens duomenims, detali informacija pateikiama užpildant Aprašo 1 priede nustatytos formos pranešimą.

4. Elektroninės atpažinties paslaugos teikėjai privalo:

4.1. ne vėliau kaip prieš 5 darbo dienas informuoti elektroninės atpažinties paslaugos gavėjus ir Tarnybą apie numatomus planinius darbus, kuriuos atliekant yra tikimybė sutrikdyti nepertraukiamą elektroninės atpažinties paslaugos teikimą;

4.2. pateikti Tarnybai atsakingo asmens, su kuriuo būtų galima susisiekti, siekiant operatyviai apsikeisti informacija apie pažeidimus ir jų valdymo priemones tarp Tarnybos ir elektroninės atpažinties paslaugos teikėjų, kontaktinę informaciją (vardą, pavardę, ryšio numerį, elektroninio pašto adresą). Pasikeitus atsakingam asmeniui ar jo kontaktinei informacijai, Tarnybai turi būti pateikta atnaujinta informacija ne vėliau kaip kitą darbo dieną nuo duomenų pasikeitimo.

5. Elektroninės atpažinties paslaugos teikėjai turi teisę informuoti Tarnybą ir apie kitus, jų nuomone, svarbius įvykius, susijusius su atpažinties priemonių saugumu ir (ar) vientisumu.

6. Tarnyba užtikrina gautos konfidencialios informacijos apsaugą nuo neteisėto šios informacijos paviešinimo, taip pat užtikrina, kad ši informacija nebūtų atskleista, kopijuojama ar naudojama kitiems tikslams, kurie gali sukelti neigiamų padarinių konfidencialią informaciją pateikusiam asmeniui, išskyrus teisės aktuose numatytus atvejus.

7. Elektroninės atpažinties paslaugos teikėjai, pažeidę Aprašo reikalavimus, atsako Lietuvos Respublikos administracinių nusižengimų kodekso nustatyta tvarka.

 

_________________

 

Pranešimų apie prižiūrimų elektroninės

atpažinties priemonių saugumo ir (ar)

vientisumo pažeidimus pateikimo tvarkos

aprašo

1 priedas

 

 

(Pranešimo apie prižiūrimos elektroninės atpažinties priemonės saugumo ir (ar) vientisumo pažeidimą forma)

 

 

(juridinio asmens pavadinimas arba fizinio asmens vardas ir pavardė)

(kontaktinis asmuo, ryšio numeris, el. pašto adresas)

 

Lietuvos Respublikos ryšių reguliavimo tarnybai

Mortos g. 14, 03219 Vilnius

Tel. +370 800 200 30

El. paštas incidentai@rrt.lt

 

 

PRANEŠIMAS APIE PRIŽIŪRIMOS ELEKTRONINĖS ATPAŽINTIES PRIEMONĖS SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMĄ

 

___________Nr._________

(data)                 

______________

(sudarymo vieta)

 

 

1. Prižiūrimos elektroninės atpažinties priemonės saugumo ir (ar) vientisumo pažeidimo (toliau – pažeidimas) apibūdinimas

2. Prižiūrimos elektroninės atpažinties priemonės (toliau – priemonė) neveikimo laikotarpis

(valandomis)

3. Pažeidimo pradžios ir pabaigos data ir laikas (minučių tikslumu)

4. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos gavėjų, kuriuos paveikė pažeidimas, skaičius

5. Pažeidimo poveikis asmens duomenims

6. Pažeidimo ryšys su kitais pažeidimais, jei toks yra


 

7. Ar yra tarpvalstybinis poveikis?

 

Jei taip, nurodyti valstybes

 

   Taip        Ne

 

 

___________________________________

8. Paveiktos priemonės pavadinimas ir saugumo užtikrinimo lygis

 

___________________________________

    Žemas

   Pakankamas

    Aukštas

9. Paveiktos platformos

    Registravimo tarnybos (angl. Registration Authority) platforma

    Sertifikavimo tarnybos (angl. Certification Authority) platforma

    Sertifikatų galiojimo patvirtinimo tarnybos (OCSP/CRL) platforma

    Tinklo platforma

    Archyvas

    Fiziniai įrenginiai

    Programinė įranga

    Kita (įrašykite)___________________________________

10. Paveikta savybė ir poveikio mastas (nurodoma pagal Aprašo 2 priedo III skyrių)

Konfidencialumas

Vientisumas

Prieinamumas

    Mažas

    Vidutinis

    Didelis

    Mažas

    Vidutinis

    Didelis

    Mažas

    Vidutinis

    Didelis

11. Pažeidimo priežasčių kategorijos

    Žmogiška klaida

    Sistemos klaida

    Nenugalimos jėgos (force majeure) aplinkybės

    Tyčiniai kenkėjiški veiksmai (virusai, kibernetinės atakos ir pan.)

    Trečiųjų šalių klaidos

    Kita (įrašykite)__________________________________

12. Detalios pažeidimo priežastys

    Paslaugos trikdymo ataka (angl. DOS)

    Virusai, sistemos užvaldymas

    Vagystė ar duomenų praradimas

    Elektros gedimas

    Fizinių įrenginių gedimas

    Programinės įrangos spraga

    Sugedusių fizinių įrenginių keitimas

    Programinės įrangos spragos šalinimas

    Asmens duomenų klastojimas

    Kriptoanalizė

    Sistemų per didelis apkrovimas (angl. Overload)

    Politikos ar procedūrų trūkumas

    Sistemos išjungimas saugumo tikslais

    Kita (įrašykite) ___________________________________

13. Veiksmai, kurių imtasi siekiant suvaldyti pažeidimą

14. Pritaikyti (planuojami taikyti) veiksmai, kurių imtasi (arba planuojama imtis), siekiant išvengti panašių pažeidimų ateityje (angl. lessons learned)

15. Saugumo veiksmai, pritaikyti siekiant sušvelninti pažeidimo pasekmes

16. Asmenys, kurie buvo informuoti apie pažeidimą

   Mazgo operatorius

   Valstybinė duomenų apsaugos inspekcija

   Nacionalinis kibernetinio saugumo centras

   Nukentėję paslaugos gavėjai

   Visuomenė

   Kita (įrašykite)________________

 

 

__________________                          ____________________                  ___________________

 

(pareigos)1                                                   (parašas)                                          (vardas pavardė)

 

 

_____________________

 

 

 

 


1 Nurodoma, jei pranešimą teikia juridinis asmuo.

 

Pranešimų apie prižiūrimų elektroninės

atpažinties priemonių saugumo ir (ar)

vientisumo pažeidimus pateikimo tvarkos

aprašo

2 priedas

 

PRIŽIŪRIMŲ ELEKTRONINĖS ATPAŽINTIES PRIEMONIŲ SAUGUMO IR (AR) VIENTISUMO PAŽEIDIMŲ, TURĖJUSIŲ DIDELĮ POVEIKĮ PRIŽIŪRIMAI ELEKTRONINĖS ATPAŽINTIES PRIEMONEI ARBA JĄ TEIKIANT NAUDOJAMIEMS ASMENS DUOMENIMS, APRAŠYMAS

 

I SKYRIUS

PAŽEIDIMŲ SĄRAŠAS

 

A. PAŽEIDIMAI, TURINTYS POVEIKIO KONKREČIAI PRIŽIŪRIMAI ELEKTRONINĖS ATPAŽINTIES PRIEMONEI

A.1. Prižiūrimos elektroninės atpažinties priemonės (toliau – atpažinties priemonė) išdavimas

A.1.1. Išdavimo procesas

A.1.1.1. Prašymas išduoti atpažinties priemonę

A.1.1.1.1. Apsimetimas kitu asmeniu

 

A.1.1.1.2. Neigimas, kad buvo teiktas prašymas išduoti  atpažinties priemonę

 

A.1.1.2. Atpažinties priemonės išdavimas

 

A.1.1.2.1. Atskleidimas

 

A.1.1.2.2. Klastojimas

 

A.1.1.2.3. Neteisėtas išdavimas

 

A.1.2. Įtaisai (elektroninės atpažinties paslaugos teikėjų įrenginiai)

 

A.1.2.1. Vagystė

 

A.1.2.2. Atskleidimas

 

A.1.2.3. Kopijavimas

 

A.1.2.4. Slaptažodžio atskleidimas

 

A.1.2.5. Įtaiso pažeidimas neprisijungus

 

A.1.2.6. Sukčiavimas ar apgaudinėjimas

 

A.1.2.7. Apgaule įgytas pasitikėjimas

 

A.1.3. Sertifikatų, įtaisų ir autentifikavimo duomenų valdymas

 

A.1.3.1. Autentifikavimo duomenų saugojimas

 

A.1.3.1.1. Atskleidimas

 

A.1.3.1.2. Klastojimas

 

A.1.3.1.3. Kopijavimas

 

A.1.3.2. Tikrinimas

 

A.1.3.2.1. Atskleidimas

 

A.1.3.2.2. Klastojimas

 

A.1.3.2.3. Nepasiekiamumas

 

A.1.3.3. Išdavimas, atnaujinimas, pakartotinis išdavimas

 

A.1.3.3.1. Atskleidimas

 

A.1.3.3.2. Klastojimas

 

A.1.3.3.3. Neteisėtas išdavimas

 

A.1.3.3.4. Pažeidžiamo protokolo naudojimas

 

A.1.3.4. Sertifikatų, įtaisų ir autentifikavimo duomenų atšaukimas

 

A.1.3.4.1. Uždelstas sertifikatų galiojimo atšaukimas, sustabdymas

 

A.1.3.4.2. Įtaiso naudojimas po jo autentifikavimo duomenų atšaukimo arba galiojimo pabaigos

 

A.1.4. Sertifikatų galiojimo patvirtinimas

 

 

 

A.1.4.1. Neteisingas atsakymas patvirtinant sertifikatų galiojimą

 

 

 

A.1.4.2. Neatitikimas tarp CRL ir OCSP

 

 

 

A.1.4.3. Pakartotinė ataka

 

 

 

A.1.4.4. Nepasiekiamumas

 

B. KITI PAŽEIDIMAI, TURINTYS POVEIKIO ATPAŽINTIES PRIEMONĖMS

B.1. Autentifikavimas

 

B.1.1. Bandymai prisijungti spėjimo būdu

 

B.1.2. Sukčiavimas ar apgaudinėjimas

 

B.1.3. Įsiterpimas (angl. eavesdropping)

 

B.1.4. Pakartojimai (angl. replay attacks)

 

B.1.5. Sesijos užgrobimas (angl. session hijacking)

 

B.1.6. Tarpininkavimas (angl. man in the middle)

 

B.2. Poveikis programinei įrangai

 

B.3. Sukompromituotas privatus raktas

 

B.4. Netinkamas algoritmų naudojimas

 

B.5. Netyčinis atpažinties priemonės naudojimas kitiems tikslams

 

B.6. Pažeidimas įtaisuose su kriptografiniais raktais

 

B.7. Archyvavimo problemos

 

B.8. Tinklo įrangos sutrikimai

 

 

II SKYRIUS

PAŽEIDIMŲ APRAŠYMAS

 

APAŽEIDIMAI, TURINTYS POVEIKIO KONKREČIAI ATPAŽINTIES PRIEMONEI

 

A.1. Atpažinties priemonės išdavimas

 

A.1.1. Išdavimo procesas

A.1.1.1. Prašymas išduoti atpažinties priemonę

A.1.1.1.1. Apsimetimas kitu asmeniu. Asmuo, norintis gauti atpažinties priemonę, kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos (toliau – elektroninės atpažinties paslauga) teikėjui pateikia suklastotus asmens tapatybę patvirtinančius dokumentus.

A.1.1.1.2. Neigimas, kad buvo teiktas prašymas išduoti atpažinties priemonę. Asmuo neigia, kad prašė elektroninės atpažinties paslaugos teikėjo išduoti atpažinties priemonę ir (ar) kad ta atpažinties priemone naudojosi.

A.1.1.2. Atpažinties priemonės išdavimas

A.1.1.2.1. Atskleidimas. Nukopijuojamas asmens privatus kriptografinis raktas.

A.1.1.2.2. Klastojimas. Suklastojamas asmens naudojamos atpažinties priemonės slaptažodis išdavimo ar atnaujinimo metu.

A.1.1.2.3. Neteisėtas išdavimas. Asmeniui išduodama atpažinties priemonė kito asmens vardu.

 

A.1.2. Įtaisai (elektroninės atpažinties paslaugos teikėjų įrenginiai)

A.1.2.1. Vagystė. Įtaisas pavagiamas.

A.1.2.2. Atskleidimas. Įtaise naudojami nesaugūs kriptografiniai algoritmai (pavyzdžiui, atsakymai į įtaiso užklausas yra lengvai gaunami ieškant įvairiuose duomenų šaltiniuose, naudojami pasenę ar savadarbiai šifravimo algoritmai).

A.1.2.3. Kopijavimas. Įtaisas ir (arba) jame esanti informacija yra neteisėtai nukopijuojama, suklastojama arba kitaip perimama be elektroninės atpažinties paslaugos gavėjo žinios.

A.1.2.4. Slaptažodžio atskleidimas. Įtaiso informacija arba autentifikavimo duomenys atskleidžiami asmeniui, kuris neturi teisės jų gauti, kol elektroninės atpažinties paslaugos gavėjas tokią informaciją ar duomenis siunčia per tinklą.

A.1.2.5. Įtaiso pažeidimas neprisijungus. Įtaiso informacija atskleidžiama nenaudojant įtaiso (pavyzdžiui, įtaiso saugumas yra pažeidžiamas fizinio arba programinio manipuliavimo būdu, nenaudojant įtaiso įprastinėms funkcijoms ar neprisijungus prie tinklo).

A.1.2.6. Sukčiavimas ar apgaudinėjimas. Įtaiso informacija arba autentifikavimo duomenys yra gaunami automatizuotu būdu apgavus elektroninės atpažinties paslaugos gavėją, kai asmuo apsimeta trečiąja šalimi (angl. phishing and pharming).

A.1.2.7. Apgaule įgytas pasitikėjimas. Asmuo elektroninės atpažinties paslaugos gavėją priverčia pasitikėti juo ir įtikina atskleisti įtaiso informaciją arba autentifikavimo duomenis, apsimesdamas teisėtu subjektu. 

 

A.1.3. Sertifikatų, įtaisų ir autentifikavimo duomenų valdymas

A.1.3.1. Autentifikavimo duomenų saugojimas

A.1.3.1.1. Atskleidimas. Atskleidžiami elektroninės atpažinties paslaugos gavėjo prisijungimo duomenys, saugomi elektroninės atpažinties paslaugos teikėjo sistemose.

A.1.3.1.2. Klastojimas. Pakeičiami saugomi elektroninės atpažinties paslaugos gavėjų slaptažodžiai.

A.1.3.1.3. Kopijavimas. Asmens autentifikavimo duomenys nukopijuojami neteisėtai. 

A.1.3.2. Tikrinimas

A.1.3.2.1. Atskleidimas. Užklausos ir atsakymai tarp sertifikavimo tarnybos ir sertifikatų galiojimo patvirtinimo tarnybos yra matomi neturintiems teisės matyti asmenims.

A.1.3.2.2. Klastojimas. Asmuo, apsimetęs sertifikavimo tarnyba, siunčia klaidingus atsakymus į sertifikatų galiojimo patvirtinimo tarnybos užklausas, taip pažeisdamas duomenų vientisumą.

A.1.3.2.3. Nepasiekiamumas1. Slaptažodžių failas arba elektroninės atpažinties paslaugos teikėjo sistemos tampa nepasiekiami, todėl nėra galimybės susieti elektroninės atpažinties paslaugos gavėjo vardą su slaptažodžiu.

A.1.3.3. Išdavimas, atnaujinimas, pakartotinis išdavimas

A.1.3.3.1. Atskleidimas. Slaptažodis, kurį elektroninės atpažinties paslaugos teikėjas atnaujino elektroninės atpažinties paslaugos gavėjui, neteisėtai nukopijuojamas, kai jis yra perduodamas iš elektroninės atpažinties paslaugos teikėjo elektroninės atpažinties paslaugos gavėjui.

A.1.3.3.2. Klastojimas. Atnaujintas slaptažodis, sukurtas elektroninės atpažinties paslaugos gavėjo, neteisėtai pakeičiamas, kai jis teikiamas elektroninės atpažinties paslaugos teikėjui, siekiant pakeisti pasibaigusio galiojimo slaptažodį.

A.1.3.3.3. Neteisėtas išdavimas. Elektroninės atpažinties paslaugos teikėjo sistema pažeidžiama per neteisėtą fizinę ar loginę prieigą ir dėl to sukuriami suklastoti autentifikavimo duomenys.

A.1.3.3.4. Pažeidžiamo protokolo naudojimas. Neteisėtai pasinaudojama pažeidžiamu autentifikavimo duomenų išdavimo, atnaujinimo protokolu.

A.1.3.4. Sertifikatų, įtaisų ir autentifikavimo duomenų atšaukimas

A.1.3.4.1. Uždelstas sertifikatų galiojimo atšaukimas, sustabdymas. Laiku neatnaujintas sertifikatų atšaukimo sąrašas (angl. certificate revocation list) (toliau – CRL) leidžia pasinaudoti sertifikatais, kurie turėjo būti atšaukti.

A.1.3.4.2. Įtaiso naudojimas po jo autentifikavimo duomenų atšaukimo arba galiojimo pabaigos. Autentifikavimui skirtas įtaisas, pavyzdžiui, kodų generatorius, naudojamas po to, kai atitinkami įtaiso autentifikavimo duomenys buvo atšaukti arba pasibaigė jų galiojimo laikas.

 

A.1.4. Sertifikatų galiojimo patvirtinimas

A.1.4.1. Neteisingas atsakymas patvirtinant sertifikatų galiojimą. Pateikiama klaidinga informacija apie sertifikato galiojimą.

A.1.4.2. Neatitikimas tarp CRL ir OCSP. Neatitikimas tarp CRL esančios ir OCSP (angl. Online Certificate Status Protocol) teikiamos informacijos apie sertifikato galiojimą.

A.1.4.3. Pakartotinė ataka. Asmuo sugeba apgaulingai pakartoti arba atidėti duomenų apie sertifikato galiojimą perdavimą.

A.1.4.4. Nepasiekiamumas1. OCSP laikinai nepasiekiama, o tai sukelia elektroninės atpažinties paslaugos gavėjų programų neveikimą dėl to, kad negaunama reikalinga informacija.

 

 

B. KITI PAŽEIDIMAI, TURINTYS POVEIKIO ATPAŽINTIES PRIEMONĖMS

 

Pažeidimai iš šios grupės nurodomi tuomet, kai pažeidimas neatitinka A incidentų grupėje nurodytų pažeidimų.

 

B.1. Autentifikavimas

B.1.1. Bandymai prisijungti spėjimo būdu. Asmuo, neturintis teisės prisijungti, atlieka pakartotinius prisijungimo bandymus, bandydamas atspėti autentifikavimo duomenis.

B.1.2. Sukčiavimas ar apgaudinėjimas:

· Iš elektroninės atpažinties paslaugos gavėjo apgaulės būdu išviliojama jo įtaisų informacija, asmeniniai duomenys ar autentifikavimo duomenys (angl. phishing).

· Elektroninės atpažinties paslaugos gavėjas nukreipiamas į apgaulingą svetainę, manipuliuojant DNS arba maršrutizavimo lentelėmis (angl. pharming).

B.1.3. Įsiterpimas (angl. eavesdropping). Asmuo neteisėtai įsiterpia į autentifikavimo protokolą, norėdamas perimti informaciją, kuri gali būti panaudota vėlesnėje aktyvioje atakoje apsimetant teisėtu elektroninės atpažinties paslaugos gavėju.

B.1.4. Pakartojimai (angl. replay attacks). Asmuo neteisėtai pakartoja anksčiau užfiksuotus tinklo paketus, kurie atpažįstami kaip pateikti teisėto elektroninės atpažinties paslaugos gavėjo.

B.1.5. Sesijos užgrobimas (angl. session hijacking). Asmuo neteisėtai įsiterpia į sėkmingą autentifikaciją tarp abiejų šalių.

B.1.6. Tarpininkavimas (angl. man in the middle). Asmuo neteisėtai perima ir (ar) keičia autentifikavimo protokolo pranešimų turinį.

 

B.2. Poveikis programinei įrangai

Šis pažeidimas apima visą įmanomą poveikį programinei įrangai, naudojamai elektroninės atpažinties paslaugos teikėjo, ir apima sertifikatų sudarymo, atpažinties priemonės programinės įrangos galimus pažeidimus.

 

B.3. Sukompromituotas privatus raktas

Šis pažeidimas apima privataus rakto slaptumo pažeidimą, kuomet juo gali neteisėtai pasinaudoti asmenys, neturintys teisės to daryti. Privataus rakto slaptumas yra ypač svarbus kiekvienai asimetrinei kriptografinei sistemai. Bet koks privataus rakto atskleidimas stipriai paveikia elektroninės atpažinties paslaugą, kuri priklauso nuo šio rakto. Prarastas raktas gali būti atkuriamas atsižvelgiant į elektroninės atpažinties paslaugos teikėjo taikomas procedūras, bet rakto praradimas gali turėti kritinį poveikį teikiamai elektroninės atpažinties paslaugai.

B.4. Netinkamas algoritmų naudojimas

Netinkamais laikomi nebeaktualūs, silpni arba pasenę algoritmai. Netinkamai parinkti algoritmai daro įtaką kriptografinių raktų generavimui, sertifikatų sudarymui ir atpažinties priemonei.

 

B.5. Netyčinis atpažinties priemonės naudojimas kitiems tikslams

Atpažinties priemonės panaudojimas ne pagal paskirtį, kuri nurodyta elektroninės atpažinties paslaugos teikėjo dokumentuose ir sutartyje su elektroninės atpažinties paslaugos gavėju.

 

B.6. Pažeidimas įtaisuose su kriptografiniais raktais

Pažeidimas įtaisuose, turinčiuose kriptografinius raktus, pavyzdžiui, HSM (aparatiniuose saugumo moduliuose), lustinėse kortelėse, USB kriptografiniuose raktuose. Tai reiškia, kad įtaisas yra prarastas, pavogtas, užblokuotas, nėra galimybės naudoti, susigrąžinti ar atšaukti kriptografinius duomenis įtaise.

 

B.7. Archyvavimo problemos

Pažeidimai, susiję su elektroninės atpažinties paslaugos teikėjo atliktų veiksmų įrašų (angl. log) saugojimu, valdymu ir prieinamumu. Tai apima neteisėtą arba netyčinį įrašų pakeitimą, praradimą ar sunaikinimą.

 

B.8. Tinklo įrangos sutrikimai

Tinklo infrastruktūros, įskaitant techninę įrangą, pavyzdžiui, ugniasienes, maršrutizatorius, kabelius, taip pat programinę įrangą, pavyzdžiui, aparatinės įrangos tvarkykles (angl. firmware), neveikimas.

 

 

III SKYRIUS

POVEIKIO ELEKTRONINĖS ATPAŽINTIES PASLAUGAI MASTO ĮVERTINIMAS

 

 

Turtas

Poveikis

Prieinamu-mas

Vientisumas

Konfidencialu-mas

Sertifikavimo tarnybos (angl. certification authority) platforma

Techninė įranga

Šakninės sertifikavimo tarnybos (angl. root certification authority) tarnybinė stotis

Didelis

Netaikoma

Netaikoma

Šakninės sertifikavimo tarnybos aparatinis saugumo modulis (HSM)

Didelis

Netaikoma

Netaikoma

Sertifikavimo tarnybos tarnybinė stotis

Didelis

Netaikoma

Netaikoma

Sertifikavimo tarnybos aparatinis  saugumo modulis

Didelis

Netaikoma

Netaikoma

Kita sertifikavimo tarnybos techninė įranga

Didelis

Netaikoma

Netaikoma

Programinė įranga

Šakninės sertifikavimo tarnybos sertifikatas

Vidutinis

Didelis

Mažas

Aparatinio saugumo modulio, saugančio šakninės sertifikavimo tarnybos privatų raktą, programinė įranga

Didelis

Didelis

Didelis

Sertifikavimo tarnybos sertifikatas

Vidutinis

Didelis

Mažas

Aparatinio saugumo modulio, saugančio sertifikavimo tarnybos privatų raktą, programinė įranga

Didelis

Didelis

Didelis

Šakninės sertifikavimo tarnybos ir sertifikavimo tarnybos programinė įranga

Vidutinis

Didelis

Vidutinis

Registravimo tarnybos (angl. registration authority) platforma

Techninė įranga

Registravimo tarnybos techninė įranga

Didelis

Netaikoma

Netaikoma

Registravimo tarnybos darbuotojų naudojama techninė įranga

Vidutinis

Netaikoma

Netaikoma

Programinė įranga

Registravimo tarnybos programinė įranga

Vidutinis

Didelis

Vidutinis

Registravimo tarnybos operatoriaus sertifikatas

Vidutinis

Didelis

Mažas

Sertifikatų galiojimo patvirtinimo tarnybos (angl. validation authority) platforma

Techninė įranga

Galiojimo patvirtinimo tarnybos tarnybinė stotis

Didelis

Netaikoma

Netaikoma

Galiojimo patvirtinimo tarnybos aparatinis saugumo modulis

Didelis

Netaikoma

Netaikoma

Programinė įranga

Galiojimo patvirtinimo tarnybos programinė įranga

Vidutinis

Didelis

Vidutinis

Galiojimo patvirtinimo tarnybos sertifikatas

Vidutinis

Didelis

Mažas

Aparatinio saugumo modulio, saugančio galiojimo patvirtinimo tarnybos privatų raktą, programinė įranga

Didelis

Didelis

Didelis

Atšauktų sertifikavimo tarnybos sertifikatų sąrašas (angl. certification authority revocation list)

Didelis

Didelis

Mažas

Atšauktų sertifikatų sąrašas (angl. certification revocation list)

Didelis

Didelis

Mažas

Laiko žymų tarnybos sertifikatas

Vidutinis

Didelis

Mažas

Aparatinio saugumo modulio, saugančio laiko žymos tarnybos privatų raktą, programinė įranga

Didelis

Didelis

Didelis

Archyvas

Dokumentacija

Vidutinis

Didelis

Didelis

Tinklo platforma

Ryšio linijos, ugniasienės ir kita

Didelis

Didelis

Didelis

Elektroninės atpažinties paslaugos gavėjų įtaisai

Lustinės kortelės, USB laikmenos, mobilieji telefonai

Didelis

Netaikoma

Netaikoma

Elektroninės atpažinties paslaugos gavėjo sertifikatai

Vidutinis

Didelis

Vidutinis

Elektroninės atpažinties paslaugos gavėjo privatus raktas

Didelis

Didelis

Didelis

Elektroninės atpažinties paslaugos gavėjų nuotoliniai įtaisai

Aparatinis saugumo modelis arba tarnybinė stotis, sauganti privačius raktus ir sertifikatus

Didelis

Didelis

Didelis

Atpažinties priemonės platforma

Atpažinties priemonės programinė įranga

Vidutinis

Didelis

Vidutinis

Įtaisai (pavyzdžiui, lustinės kortelės, USB kriptografinė laikmena ir kita)

Vidutinis

Didelis

Netaikoma

 

____________________


1 Nepasiekiamumas laikomas didelio poveikio pažeidimu, kai trunka 1 valandą ir ilgiau ir kai yra pažeidžiami elektroninės atpažinties paslaugos teikėjo įsipareigojimai trečiosioms šalims dėl elektroninės atpažinties paslaugos prieinamumo.

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos ryšių reguliavimo tarnyba, Nutarimas

Nr. TN-678, 2024-10-10, paskelbta TAR 2024-10-11, i. k. 2024-17847

Dėl Lietuvos Respublikos ryšių reguliavimo tarnybos tarybos 2023 m. gruodžio 21 d. nutarimo Nr. TN-708 „Dėl Pranešimų apie patikimumo užtikrinimo paslaugų ir prižiūrimų elektroninės atpažinties priemonių saugumo ir (ar) vientisumo pažeidimus pateikimo tvarkos aprašo patvirtinimo“ pakeitimo