12.12.2017   

LT

Europos Sąjungos oficialusis leidinys

L 328/123

(1)

standartizacija turi didelę reikšmę įgyvendinant strategiją „Europa 2020“ (2). Keliose strategijos „Europa 2020“ pavyzdinėse iniciatyvose pabrėžta savanoriškos standartizacijos svarba produktų ar paslaugų rinkose, kad būtų užtikrintas produktų ir paslaugų suderinamumas bei sąveikumas, skatinama technologinė plėtra ir remiamos inovacijos;

(2)

standartai yra labai svarbūs Europos konkurencingumui ir nepaprastai reikalingi inovacijoms ir pažangai. Komisijos komunikatai dėl bendrosios rinkos (3) ir dėl bendrosios skaitmeninės rinkos (4) patvirtina bendrų standartų svarbą siekiant užtikrinti Europos skaitmeninės ekonomikos tinklų ir sistemų sąveikumą. Ši svarba padidinama priėmus komunikatą dėl IRT standartizacijos prioritetų (5), kuriame Komisija nurodo prioritetines IRT technologijas, kurių standartizacija yra itin svarbi bendrajai skaitmeninei rinkai sukurti;

(3)

Komisijos komunikate „Strateginė Europos standartų vizija. Tolesni tvaraus Europos ekonomikos augimo iki 2020 m. skatinimo ir spartinimo veiksmai“ (6) pripažintas informacinių ir ryšių technologijų (IRT) srities standartizacijos savitumas, nes sprendimai, taikomosios programos ir paslaugos dažnai būna parengti pasaulinių IRT forumų ir konsorciumų, šiuo metu pirmaujančių IRT standartus rengiančių organizacijų;

(4)

Reglamentu (ES) Nr. 1025/2012 dėl Europos standartizacijos nustatyta sistema, pagal kurią Komisija gali nuspręsti identifikuoti svarbiausias ir plačiausiai pripažintas IRT technines specifikacijas, parengtas ne Europos, tarptautinių ar nacionalinių standartizacijos organizacijų, kuriomis galima remtis, visų pirma siekiant užtikrinti viešųjų pirkimų sąveikumą. Suteikus galimybę perkant aparatinę bei programinę įrangą ir informacinių technologijų paslaugas naudoti įvairiausias IRT technines specifikacijas, bus įmanoma užtikrinti prietaisų, paslaugų ir taikomųjų programų sąveikumą, viešojo administravimo institucijoms bus lengviau išvengti susisaistymo, kuomet, baigus galioti viešųjų pirkimų sutarčiai, perkantysis subjektas negali keisti tiekėjo, nes naudoja IRT nuosavybinius sprendimus, ir bus skatinama konkurencija sąveikių IRT sprendimų pasiūlos srityje;

(5)

kad IRT technines specifikacijas būtų galima nurodyti vykdant viešuosius pirkimus, jos turi atitikti Reglamento (ES) Nr. 1025/2012 II priede nustatytus reikalavimus. Atitiktis tiems reikalavimams valdžios institucijoms reiškia garantiją, kad IRT techninės specifikacijos yra parengtos vadovaujantis Pasaulio prekybos organizacijos standartizacijos srityje pripažintais atvirumo, skaidrumo, nešališkumo ir sutarimo principais;

(6)

sprendimas dėl IRT specifikacijos identifikavimo turi būti priimtas pasikonsultavus su IRT standartizacijos srities Europos įvairių suinteresuotųjų šalių platforma, sukurta Komisijos sprendimu 2011/C 349/04 (7), ir kitaip pasitarus su šio sektoriaus ekspertais;

(7)

IRT standartizacijos srities Europos įvairių suinteresuotųjų šalių platforma įvertino šias technines specifikacijas, kuriomis remiamasi vykdant viešuosius pirkimus, ir pateikė palankias rekomendacijas dėl jų identifikavimo: Siuntėjo politikos strategiją leisti naudoti domeno vardus e. pašto adrese (angl. SPF-Sender Policy Framework for Authorizing Use of Domains in Email, SPF), STARTTLS-SMTP paslaugos išplėtimą saugiam SMTP protokolui taikant transporto lygmens saugumo protokolą (angl. STARTTLS-SMTP Service Extension for Secure SMTP over Transport Layer Security, STARTTLS-SMTP) ir Interneto inžinerijos darbo grupės (angl. Internet Engineering Task Force, IETF) sukurtą DANE-SMTP apsaugą taikant oportunistinę DNS pagrįstą nurodytų subjektų transporto lygmens apsaugą (angl. DANE- SMTP Security via Opportunistic DNS-Based Authentication of Named Entities Transport Layer Security, DANE-SMTP); Struktūrinę grėsmės informacijos išraišką (angl. Structured Threat Information Expression, STIX 1.2) ir Struktūrinės informacijos standartų tobulinimo organizacijos (angl. Organization for the Advancement of Structured Information Standards, OASIS) sukurtą Patikimą automatizuotą keitimąsi indikatorių informacija (angl. Trusted Automated Exchange of Indicator Information, TAXII 1.1). Vėliau dėl platformos įvertinimo ir rekomendacijų konsultuotasi su sektoriaus ekspertais ir jie patvirtino palankias rekomendacijas dėl specifikacijų identifikavimo;

(8)

IETF sukurta SPF techninė specifikacija yra atvirasis standartas, kuriame nurodomas techninis metodas suklastotam siuntėjo adresui aptikti. SPF sudaro galimybę patikrinti, ar žinutė išsiųsta iš serverio, kuriam suteiktas toks leidimas. Tai yra paprasta e. pašto patvirtinimo sistema, sukurta e. pašto falsifikavimui nustatyti; taikant šią sistemą gaunantieji e. pašto mainų serveriai gali patikrinti, ar su domeno vardu gautas e. laiškas siunčiamas iš to domeno administratorių autorizuoto prieglobos serverio. SPF tikslas – užkirsti kelią brukalo siuntėjams siųsti žinutes, kurių siuntėjo langelyje („From“) nurodytame adrese naudojamas suklastotas konkretaus domeno vardas. Gavėjai gali pasitikrinti SPF įrašą ir nustatyti, ar žinutė, kurioje teigiama, kad ji išsiųsta iš to domeno, yra išsiųsta iš autorizuoto e. pašto serverio;

(9)

IETF sukurta STARTTLS-SMTP yra priemonė, kurią taikant esamas nesaugus ryšys patobulinamas iki saugaus ryšio. STARTTLS yra paprastojo elektroninio pašto persiuntimo protokolo (angl. Simple Mail Transfer Protocol, SMTP) paslaugos plėtinys, kurį taikant SMTP serveris ir klientas gali naudoti transporto lygmens saugumo protokolą (angl. Transport Layer Security, TLS) ir naudotis privačiais, autorizuotais ryšiais internete. Ypač nesaugūs ryšiai e. paštu yra svarbus išpuolių būdas, taikomas siekiant patekti į valstybinius tinklus. Jei naudotojas išsiunčia e. laišką, naudotojo e. pašto tiekėjo serveris išsiunčia šį e. laišką gavėjo e. pašto serveriui. Taikant TLS šių e. pašto serverių ryšys gali būti iš anksto apsaugotas. STARTTLS siūlo galimybę nekoduotą (paprasto teksto) ryšį pakeisti koduotu TLS ryšiu;

(10)

IETF sukurta DANE-SMTP yra protokolų rinkinys, skirtas interneto saugumui sustiprinti domeno vardų sistemoje (DNS) įvedant raktus ir juos apsaugant DNSSEC (angl. DNS Security). Norint sukurti saugų ryšį su nežinoma šalimi pageidautina atlikti siunčiančiosios šalies autentiškumo ir paskirties patikrinimą internete. Tai galima atlikti taikant sertifikavimo įstaigų išduotus sertifikatus viešojo rakto infrastruktūroje (PKI) arba paties pasirašytus sertifikatus. Taikant DANE domeno turėtojas (registruotojas) per DNSSEC apsaugotą DNS įrašą gali pateikti papildomos informacijos, papildančios internetinius sertifikatus. Todėl DANE yra itin svarbi kovojant su aktyviais išpuolių vykdytojais;

(11)

OASIS sukurta STIX 1.2 yra kalba, skirta kibernetinės grėsmės informacijai aprašyti standartiniu ir struktūrizuotu būdu. Ji apima pagrindines temas, susijusias su kibernetinės grėsmės duomenimis, ir skirta išpuolių analizei ir keitimuisi informacija apie juos palengvinti. Ji apibūdina visapusišką kibernetinės grėsmės informaciją, įskaitant priešiškos veiklos rodiklius, kaip antai IP adresų ir rinkmenų sumaišymą, ir kontekstinę informaciją apie grėsmes, įskaitant priešišką taktiką, technologijas ir procedūras (TTP); išnaudojimo taikinius; kampanijas ir veiksmų kryptis (COA). Visa ši informacija visapusiškai apibūdina priešiškos kibernetinės veiklos motyvus, galimybes ir veiklos rūšis ir tokiu būdu padeda apsisaugoti nuo atakų;

(12)

OASIS sukurta TAXII v1.1 techninė specifikacija standartizuoja patikimus, automatinius informacijos apie kibernetinę grėsmę mainus. TAXII apibūdina paslaugas ir keitimąsi informacija dėl dalijimosi taikytina kibernetinės grėsmės informacija, susijusia su organizacija, produktu arba paslauga, siekiant nustatyti kibernetinę grėsmę, jos išvengti arba ją sumažinti. Taikant TAXII organizacijoms suteikiama galimybė geriau būti informuotoms apie padėtį, susijusią su atsirandančiomis grėsmėmis, ir sudaroma galimybė lengvai keistis informacija su partneriais, tuo pačiu pasinaudojant esamais ryšiais ir sistemomis,