Актуализирани са указанията за TLS

Холандският орган за защита на данните (AP) съобщи за актуализирани указания за протокола Transport Layer Security (TLS) на Националния център за кибернетична сигурност (NCSC)

Нова версия на указанията за IT сигурност, свързани с протокола Transport Layer Security – TLS, беше публикувана на 23 април 2019 г., съобщи  Холандският орган за защита на данните. TLS е най-популярният протокол за защита на връзките в интернет. Организациите, които използват TLS конфигурация, трябва да се съобразят с новите изисквания, защото рискуват да не изпълнят изискванията за сигурност, които произтичат от GDPR, напомня AP.

Transport Layer Security (TLS) е протокол за създаване и използване на криптографски защитена връзка. TLS е известен и с по-старото си име, Secure Sockets Layer (SSL). TLS се прилага при защита на уеб трафик (https), имейл трафик (IMAP и SMTP след STARTTLS) и някои виртуални частни мрежи (VPN).

NCSC изготвил насоки, за да помогне на организациите да избират между възможните настройки на TLS и по този начин да достигнат до безопасна конфигурация. В актуализираната версия на тези насоки настройките на TLS са разделени на четири нива на сигурност.

AP подчертава, че организациите, които понастоящем използват TLS конфигурация с настройки, които попадат в нивото на сигурност на „Phase out“, са изложени на риск. Редовно се появяват нови или подобрени атаки срещу TLS. В близко бъдеще тези настройки могат да попаднат в „недостатъчното“ ниво на сигурност.

AP препоръчва на организациите да проверяват дали използват TLS настройки, които попадат в нивото на сигурност на „Phase out“. Ако е така, те трябва да извършат анализ на риска и евентуално да предприемат мерки за управление на рисковете. Осигуряването на високите нива на сигурност осигурява спазване на  членове 24 и 32 от GDPR.

Ако вашата организация е възложила IT поддръжката на външен доставчик, трябва да се обърнете към него.

Можете да споделите: