10.1.2 Управление ключами
Мера обеспечения ИБ
Политика, определяющая использование, защиту и срок действия криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла.
Руководство по применению
Политика должна включать требования к управлению криптографическими ключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распространение, удаление и уничтожение ключей.
Криптографические алгоритмы, длина ключей и методы использования должны выбираться исходя из лучших практик. Надлежащее управление ключами требует безопасных процессов генерации, хранения, архивирования, извлечения, распространения, удаления и уничтожения криптографических ключей.
Все криптографические ключи должны быть защищены от модификации и потери. Кроме того, секретные и закрытые ключи нуждаются в защите от несанкционированного доступа и разглашения. Оборудование, используемое для генерации, хранения и архивирования ключей, должно быть физически защищено.
Система управления ключами должна базироваться на согласованном наборе стандартов, процедур и методов обеспечения безопасности для:
- a) генерации ключей для различных криптографических систем и приложений;
- b) выдачи и получения сертификатов открытого ключа;
- c) распределения ключей тем, кому они предназначены, в том числе порядок активации ключей при получении;
- d) хранения ключей, в том числе того, как авторизованные пользователи получают доступ к ключам;
- e) смены или обновления ключей, включая руководство о том, когда следует менять ключи и как это сделать;
- f) действий со скомпрометированными ключами;
- g) отзыва ключей, в том числе того, как ключи должны быть аннулированы или деактивированы, например, когда ключи были скомпрометированы, или когда пользователь покидает организацию (в этом случае ключи также должны быть архивированы);
- h) восстановления поврежденных и утерянных ключей;
- i) резервного копирования или архивирования ключей;
- j) уничтожения ключей;
- k) регистрации и аудита действий по управлению ключами.
В политике управления ключами следует определить даты активации и деактивации ключей, чтобы ключи могли использоваться только в течение периода времени, что уменьшит вероятность их ненадлежащего использования.
В дополнение к вопросу безопасного управления секретными и закрытыми ключами следует также учитывать вопросы аутентичности открытых ключей. Процесс аутентификации достигается применением сертификатов открытых ключей, которые обычно выдаются удостоверяющим центром - признанной организацией с соответствующими реализованными мерами и процедурами для обеспечения требуемого уровня доверия.
Содержание соглашений об уровне обслуживания или договоров с внешними поставщиками криптографических услуг, например с удостоверяющим центром, должно охватывать вопросы ответственности, надежности услуг и времени реагирования на запросы (см. 15.2)
Дополнительная информация
Управление криптографическими ключами имеет важное значение для эффективного использования криптографических методов. ИСО/МЭК 11770 [2], [3], [4] предоставляет дополнительную информацию об управлении ключами.
Криптографические методы также могут быть использованы для защиты криптографических ключей. Возможно, потребуется наличие процедур по обработке запросов от правоохранительных органов на доступ к криптографическим ключам, например зашифрованная информация может потребоваться в незашифрованном виде в качестве доказательства в суде.
