НАП подсеща хазартните оператори да си оправят сайтовете

Наредбата, която регламентира минималните изисквания за киберсигурност, е от 2019 г., но прилагането й върви с променлив успех

Вчера НАП съобщи, че от 1.10.2021 г. няма да поддържа по-стари версии на TLS сертификати и протокол HTTP. Ето и съобщението:

„Важно за хазартните оператори

Във връзка с изпълнението на нормативните изисквания на чл. 24, ал. 1, т. 2 от Наредбата за минималните изисквания за мрежова и информационна сигурност (НМИМИС), е необходимо хазартните оператори, подаващи информация към сървър на НАП, до 01.10.2021 г. да преминат към TLS сертификати, версии 1.2 или 1.3, както и към протокол HTTPS.

След 01.10.2021 г. НАП няма да поддържа по-стари версии на TLS сертификати и протокол HTTP.“

Сетих се, че новината е във връзка с проверките на Държавна агенция „Електронно управление“.

На сайта на агенцията, както обикновено, информацията е трудна за възприемане на редовия читател като мен.

Първо има съобщение, озаглавено Годишна програма за проверки по чл 36. Ал. 4 от НМИМИС – Държавна агенция „Електронно управление“

На тази страница можете да намерите годишна програма, одобрена от председателя на Държавна агенция „Електронно управление“, в съответствие с текстовете, заложени в чл.36 ал.3 от НМИМИС.  

В таблицата към този текст са 22 ведомства, сред които и НАП.

След това има и файл Програма на Държавна агенция „Електронно управление“ за извършване на проверки за спазване на изискванията на Закона за киберсигурност през 2021 година.

Той съдържа 25 ведомства, сред които пак има НАП.

Както и да е, ето какво пише в наредбата:

Защита на уеб сървъри

Чл. 24. (1) Субектът предприема следните мерки за защита на уеб сървърите:

  1. инсталира сертификат на уеб сървърите си, издаден от доверена система за сертифициране (trusted certification authority system); сертификатът трябва:

а) да е издаден за съответния уеб сайт (website) или група сайтове и да е уникален;

б) да използва алгоритъм за криптиране поне SHA2;

в) да е актуален, като сертификатите с изтекъл срок се анулират;

  1. за защита на интегритета на информацията, обменяна с потребителите, уеб сайтът (website) трябва да е достъпен само по протокол Hypertext Transfer Protocol Secure (HTTPS), като се използват само криптографски транспортни протоколи TLS (Transport Layer Security) версия 1.2, дефиниран в RFC 5246 на IETF (The Internet Engineering Task Force – Специализирана работна група за интернет инженеринг) през 2008 г., версия 1.3, дефиниран в RFC 8446 на IETF през 2018 г., или следващи по-нови версии;

 

Можете да споделите: