Izdoti jauni MK Noteikumi, kas reglamentē Latvijas IT sistēmu drošību

[samurajs]

Š .g. 28. jūlijā izdoti jauni Latvijas Republikas Ministru kabineta noteikumi nr. 442, kas reglamentē valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības. Sistēmām, kas apkalpo ar valsts noslēpumu saistītās sfēras, NATO sakaru sistēmas utml., šie noteikumi ir vēl daudz stingrāki, un šeit netiek apskatīti. Tomēr arī pagastu līmeņu pašvaldībās nekāda nolaidība vairs nebūs pieļaujama, jo viss ir stingri reglamentēts.

Kā piemērs jāmin droša paroļu sistēma, kurā parolēm turpmāk būs jāsastāv no ne mazāk kā 9 simboliem (obligāti jābūt vismaz viens no lielajiem un mazajiem burtiem, cipariem, specsimboliem). Paaugstinātas drošības sistēmās paroli nāksies mainīt vismaz reizi 90 dienās, un 5 iepriekšējās paroles atkārtoti lietot nevarēs; pie 5 neveiksmīgiem ielogošanās mēģinājumiem lietotāja konts tiek banots. Nevienu paroli nedrīkstēs glabāt plaintekstā; tām obligāti jābūt šifrētām. Paredzēta arī daudzfaktoru autorizācija – īpaši sisadminiem, kuriem jāpiekļūst sistēmām attālināti.

Tāpat nedrīkstēs izmantot routerus u.c. tīkla iekārtas bez adminparoles nomaiņas. Visi sistēmas logfaili jāglabā vismaz 6 mēnešus. Paaugstinātas drošības sistēmām šis laiks noteikts 18 mēneši. Uz katra PC obligāti jābūt antivīrusam. Visi tīkla servisi, ko neizmanto tiešo uzdevumu veikšanai, ir jābūt atslēgti.

Visu dokumentu var izlasīt Latvijas Vēstnesī. Jāpiebilst, ka atsevišķās pozīcijās jaunie noteikumi ir pat stingrāki nekā dažās internetbankās.

[img]https://notepad.lv/userpix/28_28742_safety_first_1.jpg[/img]

[Andron MacBeton]

Dauņi neiznēsātie.

[Crow]

Var teikt arī tā :>

[Andron MacBeton]

Pie reizes vajadzēja rīkojumu par bezmaksas blociņiem paroļu pierakstīšanai

[MeistarsUnVergs]

Pasakiet kāda jēga mainīt paroli ik pa 90 dienām? Tas bija aktuāli tad kad no paroli varēja pārtvert, bruteforcējot 40-bitu atslēgu, ar kuru tā parole bija nošifrēta. Tagad nekas tāds nav iespējams. Bet ja uz PC ir keyloggeris, tad paroli ir vēlams mainīk ik pēc padsmit milisekundēm, kamēr tā nav paspejusi aizcelot uz botneta C&C. Tā ka liels gemarojs bet reālā jēga maza no visiem šiem likumiem.

[Crow]

Karoč kāds valsc iestāž’ krēslā pirdējs izlasīja 2005. gada rakstu par parolēm spokos un nu jutās ahūnais datorspec. Un pazīmējās savējiem. A šie saoda, ka ir beidzot kaut kas, ar ko aizkavēt lietderīga darba izpildi, jāpaceļ šitas valstiskā līmenī.

Un izņemot specifiskus noteikumus par parolēm tur nekas vairāk normāli nav pateikts. Kaut kādi vispārēji punkti, kas neko faktiski neizsaka. Citiem vārdiem – tukša pļūtīšana.

Gribēšu redzēt, kā tagad pagastos tantes rakstīs Lielvārdes jostas paroļu laukos. Pirmkārt, tas nav vajadzīgs. Otrkārt, ir absolūti nereāli to pieprasīt no vidējā lietotāja, treškārt – tur norādītais ir tupa herņa, nevis paroļu drošības rekomendācijas. Un kur paliek elementārais, kā, teiksim, neizvēlēties ar personu, iestādi, atrašanās vietu, sistēmu vai pielietojumu viegli asociējamas leksēmas? Tad nahrenam rakstīt tik specifiski, ja neuzraksta visu?

Bet visvairāk biedē acīmredzama valstiska līmeņa neizpratne par jēdziena “šifrēšana” nozīmi un pielietojumu attiecībā uz parolēm. Ezim skaidrs, ka paroles šifrēt nedrīkst. Ir jāprecizē, ka tiek domāta neatgriezeniska šifrēšana. Bet tas laikam būtu par daudz prasīts.

[Autors]

Ieraksti