Hlavní navigace

NÚKIB: klíčové informační systémy musejí zabezpečit e-mail pomocí DNSSEC, TLS a DANE

Sdílet

Petr Krčmář 11. 10. 2021
NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost vydal veřejnou vyhlášku [PDF], ve které na základě zákona o kybernetické bezpečnosti stanovuje, že provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, budou muset zabezpečit své e-mailové schránky. Konkrétně jde o orgány a osoby uvedené v § 3 písm. c) až f) zákona o kybernetické bezpečnosti.

Vyhláška jim ukládá řadu nových povinností. Všechny SMTP servery uvedené v doménových MX záznamech musejí podporovat zabezpečené spojení pomocí STARTTLS a podporovat protokoly TLS 1.2 a novější. Protokoly TLS 1.0 a 1.1 mohou podporovat pouze v nezbytných případech. Naopak podpora starých SSL 3.0 a starších je zakázána. Certifikáty všech serverů musejí být validní, vystavené uznávanou autoritou a být vystaveny na jméno uvedené v MX záznamu.

DNS záznamy týkající se přijímání elektronické pošty musejí být zabezpečeny pomocí DNSSEC a využívat aktuálně odolných algoritmů. Používané MX záznamy SMTP serverů mají také zveřejněn záznam TLSA dle standardu DANE. Odesílající poštovní servery mají za povinnost tyto záznamy validovat a neplatné ignorovat.

Orgány a osoby uvedené v § 3 písm. c) až f) zákona o kybernetické bezpečnosti, musí splnit body 1.1. až 1.8. nejpozději do 1. ledna 2023. Výjimkou jsou orgány veřejné moci zapojené do předsednictví České republiky v Radě EU, jejichž zaměstnanci budou do Centrálního registru zaměstnanců podílejících se na přípravách a výkonu předsednictví v roce 2022 zaevidováni po dni účinnosti tohoto opatření, musí splnit body 1.1. až 1.5. bez zbytečného odkladu po jejich zaevidování do tohoto registru, nejpozději však do 1. července 2022, a body 1.6. až 1.8. nejpozději do 1. července 2022.

Našli jste v článku chybu?