Чтение онлайн

6.1. Средства криптографии

Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.

Управление средствами криптографии определяют следующие составляющие:

– политика использования средств криптографии;

– управление ключами.

Политика использования средств криптографии

Меры

и средства

Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.

Рекомендации по реализации

При разработке политики криптографии необходимо учитывать следующее:

– позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;

– основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;

– использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;

– подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

– роли и ответственности, например, кто отвечает за:

• внедрение политики;

• управление ключами, включая генерацию ключей;

– стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);

– влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).

При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.

Средства криптографии могут использоваться для достижения разных целей ИБ, например:

– конфиденциальности – шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;

– целостности / достоверности – использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;

– неотказуемости – использованием методов криптографии для получения подтверждения того, что событие или действие имело место;

– аутентификации – использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима

для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами

Меры и средства

Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.

Рекомендации по реализации

Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.

Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.

Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.

Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:

– генерации ключей для различных криптосистем и приложений;

– изготовления и получения сертификатов открытых ключей;

– рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;

– хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;

– замены или обновления ключей, включая правила и сроки замены ключей;

– действий в отношении скомпрометированных ключей;

– аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);

– восстановления ключей, которые были утеряны или испорчены;

– резервного копирования или архивирования ключей;

– уничтожения ключей;

– регистрации и аудита действий, связанных с управлением ключами.

Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.

Физическую и экологическую безопасность определяют следующие составляющие:

– зоны безопасности;

– безопасность оборудования.

7.1. Зоны безопасности

Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.

Зоны безопасности определяют следующие составляющие: