ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

16. При определении обязанностей сотрудников органов криптографической защиты лицензиаты ФАПСИ должны учитывать, что безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации обеспечивается:

3.6.1
Defined Approach Requirements: 
Procedures are defined and implemented to protect cryptographic keys used to protect stored account data against disclosure and misuse that include:

Customized Approach Objective:
Processes that protect cryptographic keys used to protect stored account data against disclosure and misuse are defined and implemented. 

Applicability Notes:
This requirement applies to keys used to encrypt stored account data and to key-encrypting keys used to protect data-encrypting keys. 
The requirement to protect keys used to protect stored account data from disclosure and misuse applies to both data-encrypting keys and keyencrypting keys. Because one key-encrypting key may grant access to many data-encrypting keys, the key-encrypting keys require strong protection measures. 

Defined Approach Testing Procedures:

Purpose:
 Cryptographic keys must be strongly protected because those who obtain access will be able to decrypt data. 

Good Practice:
 Having a centralized key management system based on industry standards is recommended for managing cryptographic keys. 

Further Information:
The entity’s key management procedures will benefit through alignment with industry requirements, Sources for information on cryptographic key management life cycles include: 

4.2.1.1
Defined Approach Requirements: 
An inventory of the entity’s trusted keys and certificates used to protect PAN during transmission is maintained. 

Customized Approach Objective:
All keys and certificates used to protect PAN during transmission are identified and confirmed as trusted. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
The inventory of trusted keys helps the entity keep track of the algorithms, protocols, key strength, key custodians, and key expiry dates. This enables the entity to respond quickly to vulnerabilities discovered in encryption software, certificates, and cryptographic algorithms. 

Good Practice:
For certificates, the inventory should include the issuing CA and certification expiration date. 

3.7.2
Defined Approach Requirements: 
Key-management policies and procedures are implemented to include secure distribution of cryptographic keys used to protect stored account data. 

Customized Approach Objective:
Cryptographic keys are secured during distribution 

Defined Approach Testing Procedures:

Purpose:
Secure distribution or conveyance of secret or private cryptographic keys means that keys are distributed only to authorized custodians, as identified in Requirement 3.6.1.2, and are never distributed insecurely. 

3.6.1.4
Defined Approach Requirements: 
Cryptographic keys are stored in the fewest possible locations. 

Customized Approach Objective:
Cryptographic keys are retained only where necessary. 

Defined Approach Testing Procedures:

Purpose:
Storing any cryptographic keys in the fewest locations helps an organization track and monitor all key locations and minimizes the potential for keys to be exposed to unauthorized parties. 

3.7.3
Defined Approach Requirements: 
Key-management policies and procedures are implemented to include secure storage of cryptographic keys used to protect stored account data. 

Customized Approach Objective:
Cryptographic keys are secured when stored. 

Defined Approach Testing Procedures:

Purpose:
Storing keys without proper protection could provide access to attackers, resulting in the decryption and exposure of account data. 

Good Practice:
Data encryption keys can be protected by encrypting them with a key-encrypting key. Keys can be stored in a Hardware Security Module (HSM). 
Secret or private keys that can decrypt data should never be present in source code. 

3.7.1
Defined Approach Requirements: 
Key-management policies and procedures are implemented to include generation of strong cryptographic keys used to protect stored account data. 

Customized Approach Objective:
Strong cryptographic keys are generated. 

Defined Approach Testing Procedures:

Purpose:
 Use of strong cryptographic keys significantly increases the level of security of encrypted account data. 

3.7.4
Defined Approach Requirements: 
Key management policies and procedures are implemented for cryptographic key changes for keys that have reached the end of their cryptoperiod, as defined by the associated application vendor or key owner, and based on industry best practices and guidelines, including the following:

Customized Approach Objective:
Cryptographic keys are not used beyond their defined cryptoperiod. 

Defined Approach Testing Procedures:

Purpose:
Changing encryption keys when they reach the end of their cryptoperiod is imperative to minimize the risk of someone obtaining the encryption keys and using them to decrypt data. 

Definitions:
A cryptoperiod is the time span during which a cryptographic key can be used for its defined purpose. Cryptoperiods are often defined in terms of the period for which the key is active and/or the amount of cipher-text that has been produced by the key. Considerations for defining the cryptoperiod include, but are not limited to, the strength of the underlying algorithm, size or length of the key, risk of key compromise, and the sensitivity of the data being encrypted. 

Further Information:
NIST SP 800-57 Part 1, Revision 5, Section 5.3 Cryptoperiods - provides guidance for establishing the time span during which a specific key is authorized for use by legitimate entities, or the keys for a given system will remain in effect. See Table 1 of SP 800-57 Part 1 for suggested cryptoperiods for different key types. 

7.2. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны определить во внутренних документах:

3.7.3
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное хранение криптографических ключей, используемых для защиты хранимых данных учетной записи.

Цель Индивидуального подхода:
Криптографические ключи защищены при хранении.

Определенные Процедуры Тестирования Подхода:

Цель:
Хранение ключей без надлежащей защиты может предоставить доступ злоумышленникам, что приведет к расшифровке и раскрытию данных учетной записи.

Надлежащая практика:
Ключи шифрования данных можно защитить, зашифровав их с помощью ключа шифрования ключей. Ключи могут храниться в Аппаратном модуле безопасности (HSM).
Секретные или закрытые ключи, которые могут расшифровывать данные, никогда не должны присутствовать в исходном коде.

3.7.4
Определенные Требования к Подходу:
Политики и процедуры управления ключами применяются для изменений криптографических ключей для ключей, срок действия которых истек, в соответствии с определением соответствующего поставщика приложений или владельца ключа и на основе лучших отраслевых практик и рекомендаций, включая следующее:

Цель Индивидуального подхода:
Криптографические ключи не используются за пределами их определенного криптопериода.

Определенные Процедуры Тестирования Подхода:

Цель:
Изменение ключей шифрования по истечении криптопериода крайне важно, чтобы свести к минимуму риск того, что кто-то получит ключи шифрования и использует их для расшифровки данных.

Определения:
Криптопериод - это промежуток времени, в течение которого криптографический ключ может использоваться для определенной цели. Криптопериоды часто определяются в терминах периода, в течение которого ключ активен, и/или объема зашифрованного текста, который был создан ключом. Соображения при определении криптопериода включают, но не ограничиваются ими, надежность базового алгоритма, размер или длину ключа, риск компрометации ключа и критичность шифруемых данных.

Дополнительная информация: 
NIST SP 800-57 Часть 1, редакция 5, Раздел 5.3 Криптопериоды - содержит руководство по установлению периода времени, в течение которого конкретный ключ разрешен для использования законными субъектами, или ключи для данной системы будут оставаться в силе. Рекомендуемые криптопериоды для различных типов ключей приведены в таблице 1 SP 800-57, часть 1.

4.2.1.1
Определенные Требования к Подходу:
Ведется учет доверенных ключей и сертификатов объекта, используемых для защиты PAN во время передачи.

Цель Индивидуального подхода:
Все ключи и сертификаты, используемые для защиты PAN во время передачи, идентифицируются и подтверждаются как доверенные.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Инвентаризация доверенных ключей помогает организации отслеживать алгоритмы, протоколы, надежность ключей, хранителей ключей и даты истечения срока действия ключей. Это позволяет организации быстро реагировать на уязвимости, обнаруженные в программном обеспечении для шифрования, сертификатах и криптографических алгоритмах.

Надлежащая практика:
Для сертификатов в описи должен быть указан центр сертификации, выдавший сертификат, и дата истечения срока действия сертификата.

3.6.1.4
Определенные Требования к Подходу:
Криптографические ключи хранятся в минимально возможном количестве мест.

Цель Индивидуального подхода:
Криптографические ключи сохраняются только там, где это необходимо.

Определенные Процедуры Тестирования Подхода:

Цель:
Хранение любых криптографических ключей в наименьшем количестве мест помогает организации отслеживать и контролировать все ключевые местоположения и сводит к минимуму вероятность того, что ключи будут доступны неавторизованным сторонам.

3.6.1
Определенные Требования к Подходу:
Определены и реализованы процедуры защиты криптографических ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, которые включают: 

Цель Индивидуального подхода:
Определены и внедрены процессы, защищающие криптографические ключи, используемые для защиты хранимых данных учетной записи от разглашения и неправильного использования.

Примечания по применению:
Это требование применяется к ключам, используемым для шифрования сохраненных данных учетной записи, и к ключам шифрования ключей, используемым для защиты ключей шифрования данных.
Требование о защите ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, распространяется как на ключи шифрования данных, так и на ключи шифрования ключей. Поскольку один ключ шифрования ключа может предоставлять доступ ко многим ключам шифрования данных, ключи шифрования ключа требуют строгих мер защиты.

Определенные Процедуры Тестирования Подхода:

Цель:
Криптографические ключи должны быть надежно защищены, поскольку те, кто получит доступ, смогут расшифровать данные.

Надлежащая практика:
Для управления криптографическими ключами рекомендуется использовать централизованную систему управления ключами, основанную на отраслевых стандартах.

Дополнительная информация:
Процедуры управления ключами организации выиграют от согласования с отраслевыми требованиями, источники информации о жизненных циклах управления криптографическими ключами включают:

3.7.2
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное распространение криптографических ключей, используемых для защиты хранимых данных учетной записи.

Цель Индивидуального подхода:
Криптографические ключи защищены во время распространения

Определенные Процедуры Тестирования Подхода:

Цель:
Безопасное распространение или передача секретных или частных криптографических ключей означает, что ключи распространяются только уполномоченным хранителям, как указано в требовании 3.6.1.2, и никогда не распространяются небезопасно.

3.7.1
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать генерацию надежных криптографических ключей, используемых для защиты хранимых данных учетной записи.

Цель Индивидуального подхода:
Генерируются надежные криптографические ключи.

Определенные Процедуры Тестирования Подхода:

Цель:
Использование надежных криптографических ключей значительно повышает уровень безопасности зашифрованных данных учетной записи.

А.8.24 Использование криптографии
Должны быть определены и внедрены правила эффективного использования криптографии, включая управление криптографическими ключами.

6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией.

6.3. Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

Политика, определяющая использование, защиту и срок действия криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла.

Политика должна включать требования к управлению криптографическими ключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распространение, удаление и уничтожение ключей.

Криптографические алгоритмы, длина ключей и методы использования должны выбираться исходя из лучших практик. Надлежащее управление ключами требует безопасных процессов генерации, хранения, архивирования, извлечения, распространения, удаления и уничтожения криптографических ключей.

Все криптографические ключи должны быть защищены от модификации и потери. Кроме того, секретные и закрытые ключи нуждаются в защите от несанкционированного доступа и разглашения. Оборудование, используемое для генерации, хранения и архивирования ключей, должно быть физически защищено.

Система управления ключами должна базироваться на согласованном наборе стандартов, процедур и методов обеспечения безопасности для:

В политике управления ключами следует определить даты активации и деактивации ключей, чтобы ключи могли использоваться только в течение периода времени, что уменьшит вероятность их ненадлежащего использования.

В дополнение к вопросу безопасного управления секретными и закрытыми ключами следует также учитывать вопросы аутентичности открытых ключей. Процесс аутентификации достигается применением сертификатов открытых ключей, которые обычно выдаются удостоверяющим центром - признанной организацией с соответствующими реализованными мерами и процедурами для обеспечения требуемого уровня доверия.

Содержание соглашений об уровне обслуживания или договоров с внешними поставщиками криптографических услуг, например с удостоверяющим центром, должно охватывать вопросы ответственности, надежности услуг и времени реагирования на запросы (см. 15.2)

Управление криптографическими ключами имеет важное значение для эффективного использования криптографических методов. ИСО/МЭК 11770 [2], [3], [4] предоставляет дополнительную информацию об управлении ключами.

Криптографические методы также могут быть использованы для защиты криптографических ключей. Возможно, потребуется наличие процедур по обработке запросов от правоохранительных органов на доступ к криптографическим ключам, например зашифрованная информация может потребоваться в незашифрованном виде в качестве доказательства в суде.

А.8.24 Use of cryptography
Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented.