Куда я попал?
Положение Банка России № 683-П от 17.04.2019
Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
6.3.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 7 п.п. 8
7.7.8. ИБ процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты, предусмотренных технической документацией на СКЗИ.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.6.1
3.6.1
Defined Approach Requirements:
Procedures are defined and implemented to protect cryptographic keys used to protect stored account data against disclosure and misuse that include:
Defined Approach Requirements:
Procedures are defined and implemented to protect cryptographic keys used to protect stored account data against disclosure and misuse that include:
- Access to keys is restricted to the fewest number of custodians necessary.
- Key-encrypting keys are at least as strong as the data-encrypting keys they protect.
- Key-encrypting keys are stored separately from data-encrypting keys.
- Keys are stored securely in the fewest possible locations and forms.
Customized Approach Objective:
Processes that protect cryptographic keys used to protect stored account data against disclosure and misuse are defined and implemented.
Applicability Notes:
This requirement applies to keys used to encrypt stored account data and to key-encrypting keys used to protect data-encrypting keys.
The requirement to protect keys used to protect stored account data from disclosure and misuse applies to both data-encrypting keys and keyencrypting keys. Because one key-encrypting key may grant access to many data-encrypting keys, the key-encrypting keys require strong protection measures.
Defined Approach Testing Procedures:
Processes that protect cryptographic keys used to protect stored account data against disclosure and misuse are defined and implemented.
Applicability Notes:
This requirement applies to keys used to encrypt stored account data and to key-encrypting keys used to protect data-encrypting keys.
The requirement to protect keys used to protect stored account data from disclosure and misuse applies to both data-encrypting keys and keyencrypting keys. Because one key-encrypting key may grant access to many data-encrypting keys, the key-encrypting keys require strong protection measures.
Defined Approach Testing Procedures:
- 3.6.1 Examine documented key-management policies and procedures to verify that processes to protect cryptographic keys used to protect stored account data against disclosure and misuse are defined to include all elements specified in this requirement.
Purpose:
Cryptographic keys must be strongly protected because those who obtain access will be able to decrypt data.
Good Practice:
Having a centralized key management system based on industry standards is recommended for managing cryptographic keys.
Further Information:
The entity’s key management procedures will benefit through alignment with industry requirements, Sources for information on cryptographic key management life cycles include:
Cryptographic keys must be strongly protected because those who obtain access will be able to decrypt data.
Good Practice:
Having a centralized key management system based on industry standards is recommended for managing cryptographic keys.
Further Information:
The entity’s key management procedures will benefit through alignment with industry requirements, Sources for information on cryptographic key management life cycles include:
- ISO 11568-1 Banking — Key management (retail) — Part 1: Principles (specifically Chapter 10 and the referenced Parts 2 & 4)
- NIST SP 800-57 Part 1 Revision 5— Recommendation for Key Management, Part 1: General.
Requirement 3.6.1.2
Defined Approach Testing Procedures:
3.6.1.2
Defined Approach Requirements:
Secret and private keys used to encrypt/decrypt stored account data are stored in one (or more) of the following forms at all times:
Defined Approach Requirements:
Secret and private keys used to encrypt/decrypt stored account data are stored in one (or more) of the following forms at all times:
- Encrypted with a key-encrypting key that is at least as strong as the data-encrypting key, and that is stored separately from the dataencrypting key.
- Within a secure cryptographic device (SCD), such as a hardware security module (HSM) or PTS-approved point-of-interaction device.
- As at least two full-length key components or key shares, in accordance with an industry-accepted method.
Customized Approach Objective:
Secret and private keys are stored in a secure form that prevents unauthorized retrieval or access.
Applicability Notes:
It is not required that public keys be stored in one of these forms.
Cryptographic keys stored as part of a key management system (KMS) that employs SCDs are acceptable.
A cryptographic key that is split into two parts does not meet this requirement. Secret or private keys stored as key components or key shares must be generated via one of the following:
Secret and private keys are stored in a secure form that prevents unauthorized retrieval or access.
Applicability Notes:
It is not required that public keys be stored in one of these forms.
Cryptographic keys stored as part of a key management system (KMS) that employs SCDs are acceptable.
A cryptographic key that is split into two parts does not meet this requirement. Secret or private keys stored as key components or key shares must be generated via one of the following:
- Using an approved random number generator and within an SCD,
OR
- According to ISO 19592 or equivalent industry standard for generation of secret key shares.
Defined Approach Testing Procedures:
- 3.6.1.2.a Examine documented procedures to verify it is defined that cryptographic keys used to encrypt/decrypt stored account data must exist only in one (or more) of the forms specified in this requirement.
- 3.6.1.2.b Examine system configurations and key storage locations to verify that cryptographic keys used to encrypt/decrypt stored account data exist in one (or more) of the forms specified in this requirement.
- 3.6.1.2.c Wherever key-encrypting keys are used, examine system configurations and key storage locations to verify:
- Key-encrypting keys are at least as strong as the data-encrypting keys they protect.
- Key-encrypting keys are stored separately from data-encrypting keys.
Purpose:
Storing cryptographic keys securely prevents unauthorized or unnecessary access that could result in the exposure of stored account data. Storing keys separately means they are stored such that if the location of one key is compromised, the second key is not also compromised.
Good Practice:
Where data-encrypting keys are stored in an HSM, the HSM interaction channel should be protected to prevent interception of encryption or decryption operations.
Storing cryptographic keys securely prevents unauthorized or unnecessary access that could result in the exposure of stored account data. Storing keys separately means they are stored such that if the location of one key is compromised, the second key is not also compromised.
Good Practice:
Where data-encrypting keys are stored in an HSM, the HSM interaction channel should be protected to prevent interception of encryption or decryption operations.
Requirement 3.7.2
3.7.2
Defined Approach Requirements:
Key-management policies and procedures are implemented to include secure distribution of cryptographic keys used to protect stored account data.
Customized Approach Objective:
Cryptographic keys are secured during distribution
Defined Approach Testing Procedures:
Defined Approach Requirements:
Key-management policies and procedures are implemented to include secure distribution of cryptographic keys used to protect stored account data.
Customized Approach Objective:
Cryptographic keys are secured during distribution
Defined Approach Testing Procedures:
- 3.7.2.a Examine the documented key-management policies and procedures for keys used for protection of stored account data to verify that they define secure distribution of cryptographic keys.
- 3.7.2.b Observe the method for distributing keys to verify that keys are distributed securely.
Purpose:
Secure distribution or conveyance of secret or private cryptographic keys means that keys are distributed only to authorized custodians, as identified in Requirement 3.6.1.2, and are never distributed insecurely.
Secure distribution or conveyance of secret or private cryptographic keys means that keys are distributed only to authorized custodians, as identified in Requirement 3.6.1.2, and are never distributed insecurely.
Requirement 3.6.1.4
3.6.1.4
Defined Approach Requirements:
Cryptographic keys are stored in the fewest possible locations.
Customized Approach Objective:
Cryptographic keys are retained only where necessary.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Cryptographic keys are stored in the fewest possible locations.
Customized Approach Objective:
Cryptographic keys are retained only where necessary.
Defined Approach Testing Procedures:
- 3.6.1.4 Examine key storage locations and observe processes to verify that keys are stored in the fewest possible locations.
Purpose:
Storing any cryptographic keys in the fewest locations helps an organization track and monitor all key locations and minimizes the potential for keys to be exposed to unauthorized parties.
Storing any cryptographic keys in the fewest locations helps an organization track and monitor all key locations and minimizes the potential for keys to be exposed to unauthorized parties.
Requirement 3.7.3
3.7.3
Defined Approach Requirements:
Key-management policies and procedures are implemented to include secure storage of cryptographic keys used to protect stored account data.
Customized Approach Objective:
Cryptographic keys are secured when stored.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Key-management policies and procedures are implemented to include secure storage of cryptographic keys used to protect stored account data.
Customized Approach Objective:
Cryptographic keys are secured when stored.
Defined Approach Testing Procedures:
- 3.7.3.a Examine the documented key-management policies and procedures for keys used for protection of stored account data to verify that they define secure storage of cryptographic keys.
- 3.7.3.b Observe the method for storing keys to verify that keys are stored securely.
Purpose:
Storing keys without proper protection could provide access to attackers, resulting in the decryption and exposure of account data.
Good Practice:
Data encryption keys can be protected by encrypting them with a key-encrypting key. Keys can be stored in a Hardware Security Module (HSM).
Secret or private keys that can decrypt data should never be present in source code.
Storing keys without proper protection could provide access to attackers, resulting in the decryption and exposure of account data.
Good Practice:
Data encryption keys can be protected by encrypting them with a key-encrypting key. Keys can be stored in a Hardware Security Module (HSM).
Secret or private keys that can decrypt data should never be present in source code.
Requirement 3.7.1
3.7.1
Defined Approach Requirements:
Key-management policies and procedures are implemented to include generation of strong cryptographic keys used to protect stored account data.
Customized Approach Objective:
Strong cryptographic keys are generated.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Key-management policies and procedures are implemented to include generation of strong cryptographic keys used to protect stored account data.
Customized Approach Objective:
Strong cryptographic keys are generated.
Defined Approach Testing Procedures:
- 3.7.1.a Examine the documented key-management policies and procedures for keys used for protection of stored account data to verify that they define generation of strong cryptographic keys.
- 3.7.1.b Observe the method for generating keys to verify that strong keys are generated.
Purpose:
Use of strong cryptographic keys significantly increases the level of security of encrypted account data.
Use of strong cryptographic keys significantly increases the level of security of encrypted account data.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.10.1.2
A.10.1.2 Управление ключами
Мера обеспечения информационной безопасности: Политика, определяющая использование, защиту и срок службы криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла
Мера обеспечения информационной безопасности: Политика, определяющая использование, защиту и срок службы криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.6.1.2
3.6.1.2
Определенные Требования к Подходу:
Секретные и закрытые ключи, используемые для шифрования/дешифрования сохраненных данных учетной записи, постоянно хранятся в одной (или нескольких) из следующих форм:
Определенные Требования к Подходу:
Секретные и закрытые ключи, используемые для шифрования/дешифрования сохраненных данных учетной записи, постоянно хранятся в одной (или нескольких) из следующих форм:
- Зашифровано с помощью ключа шифрования ключа, который, по крайней мере, такой же надежный, как ключ шифрования данных, и который хранится отдельно от ключа шифрования данных.
- В защищенном криптографическом устройстве (SCD), таком как аппаратный модуль безопасности (HSM) или устройство точки взаимодействия, одобренное PTS.
- Как минимум два полноразмерных ключевых компонента или ключевых элемента в соответствии с принятым в отрасли методом.
Цель Индивидуального подхода:
Секретные и закрытые ключи хранятся в защищенной форме, которая предотвращает несанкционированное извлечение или доступ.
Примечания по применению:
Не требуется, чтобы открытые ключи хранились в одной из этих форм.
Криптографические ключи, хранящиеся как часть системы управления ключами (KMS), в которой используются SCDS, являются приемлемыми.
Криптографический ключ, разделенный на две части, не соответствует этому требованию. Секретные или закрытые ключи, хранящиеся в качестве ключевых компонентов или общих ключей, должны быть сгенерированы одним из следующих способов:
Секретные и закрытые ключи хранятся в защищенной форме, которая предотвращает несанкционированное извлечение или доступ.
Примечания по применению:
Не требуется, чтобы открытые ключи хранились в одной из этих форм.
Криптографические ключи, хранящиеся как часть системы управления ключами (KMS), в которой используются SCDS, являются приемлемыми.
Криптографический ключ, разделенный на две части, не соответствует этому требованию. Секретные или закрытые ключи, хранящиеся в качестве ключевых компонентов или общих ключей, должны быть сгенерированы одним из следующих способов:
- Используя одобренный генератор случайных чисел и в рамках SCD,
ИЛИ
- В соответствии с ISO 19592 или эквивалентным отраслевым стандартом для генерации общих секретных ключей.
Определенные Процедуры Тестирования Подхода:
- 3.6.1.2.изучить документированные процедуры для проверки того, определено ли, что криптографические ключи, используемые для шифрования/дешифрования сохраненных данных учетной записи, должны существовать только в одной (или более) из форм, указанных в этом требовании.
- 3.6.1.2.b Изучите системные конфигурации и места хранения ключей, чтобы убедиться, что криптографические ключи, используемые для шифрования/дешифрования сохраненных данных учетной записи, существуют в одной (или нескольких) формах, указанных в этом требовании.
- 3.6.1.2.c Везде, где используются ключи шифрования ключей, изучите системные конфигурации и места хранения ключей, чтобы убедиться:
- Ключи шифрования ключей, по крайней мере, такие же надежные, как ключи шифрования данных, которые они защищают.
- Ключи шифрования ключей хранятся отдельно от ключей шифрования данных.
Цель:
Безопасное хранение криптографических ключей предотвращает несанкционированный или ненужный доступ, который может привести к раскрытию сохраненных данных учетной записи. Хранение ключей отдельно означает, что они хранятся таким образом, что если местоположение одного ключа скомпрометировано, второй ключ также не скомпрометирован.
Надлежащая практика:
Если ключи шифрования данных хранятся в HSM, канал взаимодействия HSM должен быть защищен, чтобы предотвратить перехват операций шифрования или дешифрования.
Безопасное хранение криптографических ключей предотвращает несанкционированный или ненужный доступ, который может привести к раскрытию сохраненных данных учетной записи. Хранение ключей отдельно означает, что они хранятся таким образом, что если местоположение одного ключа скомпрометировано, второй ключ также не скомпрометирован.
Надлежащая практика:
Если ключи шифрования данных хранятся в HSM, канал взаимодействия HSM должен быть защищен, чтобы предотвратить перехват операций шифрования или дешифрования.
Requirement 3.7.3
3.7.3
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное хранение криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Криптографические ключи защищены при хранении.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное хранение криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Криптографические ключи защищены при хранении.
Определенные Процедуры Тестирования Подхода:
- 3.7.3.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, чтобы убедиться, что они определяют безопасное хранение криптографических ключей.
- 3.7.3.b Соблюдайте метод хранения ключей, чтобы убедиться, что ключи хранятся надежно.
Цель:
Хранение ключей без надлежащей защиты может предоставить доступ злоумышленникам, что приведет к расшифровке и раскрытию данных учетной записи.
Надлежащая практика:
Ключи шифрования данных можно защитить, зашифровав их с помощью ключа шифрования ключей. Ключи могут храниться в Аппаратном модуле безопасности (HSM).
Секретные или закрытые ключи, которые могут расшифровывать данные, никогда не должны присутствовать в исходном коде.
Хранение ключей без надлежащей защиты может предоставить доступ злоумышленникам, что приведет к расшифровке и раскрытию данных учетной записи.
Надлежащая практика:
Ключи шифрования данных можно защитить, зашифровав их с помощью ключа шифрования ключей. Ключи могут храниться в Аппаратном модуле безопасности (HSM).
Секретные или закрытые ключи, которые могут расшифровывать данные, никогда не должны присутствовать в исходном коде.
Requirement 3.6.1.4
3.6.1.4
Определенные Требования к Подходу:
Криптографические ключи хранятся в минимально возможном количестве мест.
Цель Индивидуального подхода:
Криптографические ключи сохраняются только там, где это необходимо.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Криптографические ключи хранятся в минимально возможном количестве мест.
Цель Индивидуального подхода:
Криптографические ключи сохраняются только там, где это необходимо.
Определенные Процедуры Тестирования Подхода:
- 3.6.1.4 Проверяйте места хранения ключей и наблюдайте за процессами, чтобы убедиться, что ключи хранятся в наименьшем количестве возможных мест.
Цель:
Хранение любых криптографических ключей в наименьшем количестве мест помогает организации отслеживать и контролировать все ключевые местоположения и сводит к минимуму вероятность того, что ключи будут доступны неавторизованным сторонам.
Хранение любых криптографических ключей в наименьшем количестве мест помогает организации отслеживать и контролировать все ключевые местоположения и сводит к минимуму вероятность того, что ключи будут доступны неавторизованным сторонам.
Requirement 3.6.1
3.6.1
Определенные Требования к Подходу:
Определены и реализованы процедуры защиты криптографических ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, которые включают:
Определенные Требования к Подходу:
Определены и реализованы процедуры защиты криптографических ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, которые включают:
- Доступ к ключам ограничен минимальным количеством необходимых хранителей.
- Ключи шифрования ключей, по крайней мере, столь же надежны, как и ключи шифрования данных, которые они защищают.
- Ключи шифрования ключей хранятся отдельно от ключей шифрования данных.
- Ключи надежно хранятся в минимально возможном количестве мест и форм.
Цель Индивидуального подхода:
Определены и внедрены процессы, защищающие криптографические ключи, используемые для защиты хранимых данных учетной записи от разглашения и неправильного использования.
Примечания по применению:
Это требование применяется к ключам, используемым для шифрования сохраненных данных учетной записи, и к ключам шифрования ключей, используемым для защиты ключей шифрования данных.
Требование о защите ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, распространяется как на ключи шифрования данных, так и на ключи шифрования ключей. Поскольку один ключ шифрования ключа может предоставлять доступ ко многим ключам шифрования данных, ключи шифрования ключа требуют строгих мер защиты.
Определенные Процедуры Тестирования Подхода:
Определены и внедрены процессы, защищающие криптографические ключи, используемые для защиты хранимых данных учетной записи от разглашения и неправильного использования.
Примечания по применению:
Это требование применяется к ключам, используемым для шифрования сохраненных данных учетной записи, и к ключам шифрования ключей, используемым для защиты ключей шифрования данных.
Требование о защите ключей, используемых для защиты сохраненных данных учетной записи от разглашения и неправильного использования, распространяется как на ключи шифрования данных, так и на ключи шифрования ключей. Поскольку один ключ шифрования ключа может предоставлять доступ ко многим ключам шифрования данных, ключи шифрования ключа требуют строгих мер защиты.
Определенные Процедуры Тестирования Подхода:
- 3.6.1 Изучите документированные политики и процедуры управления ключами, чтобы убедиться, что процессы защиты криптографических ключей, используемых для защиты хранимых данных учетной записи от разглашения и неправильного использования, определены так, чтобы включать все элементы, указанные в этом требовании.
Цель:
Криптографические ключи должны быть надежно защищены, поскольку те, кто получит доступ, смогут расшифровать данные.
Надлежащая практика:
Для управления криптографическими ключами рекомендуется использовать централизованную систему управления ключами, основанную на отраслевых стандартах.
Дополнительная информация:
Процедуры управления ключами организации выиграют от согласования с отраслевыми требованиями, источники информации о жизненных циклах управления криптографическими ключами включают:
Криптографические ключи должны быть надежно защищены, поскольку те, кто получит доступ, смогут расшифровать данные.
Надлежащая практика:
Для управления криптографическими ключами рекомендуется использовать централизованную систему управления ключами, основанную на отраслевых стандартах.
Дополнительная информация:
Процедуры управления ключами организации выиграют от согласования с отраслевыми требованиями, источники информации о жизненных циклах управления криптографическими ключами включают:
- ISO 11568-1 Банковское дело — Управление ключами (розничная торговля) — Часть 1: Принципы (в частности, глава 10 и ссылки на Части 2 и 4)
- NIST SP 800-57 Часть 1 Редакция 5 — Рекомендация для ключевых руководителей, Часть 1: Общие положения.
Requirement 3.7.2
3.7.2
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное распространение криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Криптографические ключи защищены во время распространения
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать безопасное распространение криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Криптографические ключи защищены во время распространения
Определенные Процедуры Тестирования Подхода:
- 3.7.2.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, чтобы убедиться, что они определяют безопасное распределение криптографических ключей.
- 3.7.2.b Соблюдайте метод распределения ключей, чтобы убедиться в том, что ключи распределяются надежно.
Цель:
Безопасное распространение или передача секретных или частных криптографических ключей означает, что ключи распространяются только уполномоченным хранителям, как указано в требовании 3.6.1.2, и никогда не распространяются небезопасно.
Безопасное распространение или передача секретных или частных криптографических ключей означает, что ключи распространяются только уполномоченным хранителям, как указано в требовании 3.6.1.2, и никогда не распространяются небезопасно.
Requirement 3.7.1
3.7.1
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать генерацию надежных криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Генерируются надежные криптографические ключи.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать генерацию надежных криптографических ключей, используемых для защиты хранимых данных учетной записи.
Цель Индивидуального подхода:
Генерируются надежные криптографические ключи.
Определенные Процедуры Тестирования Подхода:
- 3.7.1.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, чтобы убедиться, что они определяют генерацию надежных криптографических ключей.
- 3.7.1.b Соблюдайте метод генерации ключей, чтобы убедиться, что сгенерированы надежные ключи.
Цель:
Использование надежных криптографических ключей значительно повышает уровень безопасности зашифрованных данных учетной записи.
Использование надежных криптографических ключей значительно повышает уровень безопасности зашифрованных данных учетной записи.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.24
А.8.24 Использование криптографии
Должны быть определены и внедрены правила эффективного использования криптографии, включая управление криптографическими ключами.
Должны быть определены и внедрены правила эффективного использования криптографии, включая управление криптографическими ключами.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 1 Пункт 4
1.4. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований лица, оказывающие профессиональные услуги на финансовом рынке, должны провести указанную оценку в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.
В случае если лица, оказывающие профессиональные услуги на финансовом рынке, применяют СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.
Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.3.
1.3. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований некредитные финансовые организации должны проводить указанную оценку в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.
В случае если некредитная финансовая организация применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.
Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.
В случае если некредитная финансовая организация применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.
Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
10.1.2
10.1.2 Управление ключами
Мера обеспечения ИБ
Политика, определяющая использование, защиту и срок действия криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла.
Руководство по применению
Политика должна включать требования к управлению криптографическими ключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распространение, удаление и уничтожение ключей.
Криптографические алгоритмы, длина ключей и методы использования должны выбираться исходя из лучших практик. Надлежащее управление ключами требует безопасных процессов генерации, хранения, архивирования, извлечения, распространения, удаления и уничтожения криптографических ключей.
Все криптографические ключи должны быть защищены от модификации и потери. Кроме того, секретные и закрытые ключи нуждаются в защите от несанкционированного доступа и разглашения. Оборудование, используемое для генерации, хранения и архивирования ключей, должно быть физически защищено.
Система управления ключами должна базироваться на согласованном наборе стандартов, процедур и методов обеспечения безопасности для:
- a) генерации ключей для различных криптографических систем и приложений;
- b) выдачи и получения сертификатов открытого ключа;
- c) распределения ключей тем, кому они предназначены, в том числе порядок активации ключей при получении;
- d) хранения ключей, в том числе того, как авторизованные пользователи получают доступ к ключам;
- e) смены или обновления ключей, включая руководство о том, когда следует менять ключи и как это сделать;
- f) действий со скомпрометированными ключами;
- g) отзыва ключей, в том числе того, как ключи должны быть аннулированы или деактивированы, например, когда ключи были скомпрометированы, или когда пользователь покидает организацию (в этом случае ключи также должны быть архивированы);
- h) восстановления поврежденных и утерянных ключей;
- i) резервного копирования или архивирования ключей;
- j) уничтожения ключей;
- k) регистрации и аудита действий по управлению ключами.
В политике управления ключами следует определить даты активации и деактивации ключей, чтобы ключи могли использоваться только в течение периода времени, что уменьшит вероятность их ненадлежащего использования.
В дополнение к вопросу безопасного управления секретными и закрытыми ключами следует также учитывать вопросы аутентичности открытых ключей. Процесс аутентификации достигается применением сертификатов открытых ключей, которые обычно выдаются удостоверяющим центром - признанной организацией с соответствующими реализованными мерами и процедурами для обеспечения требуемого уровня доверия.
Содержание соглашений об уровне обслуживания или договоров с внешними поставщиками криптографических услуг, например с удостоверяющим центром, должно охватывать вопросы ответственности, надежности услуг и времени реагирования на запросы (см. 15.2)
Дополнительная информация
Управление криптографическими ключами имеет важное значение для эффективного использования криптографических методов. ИСО/МЭК 11770 [2], [3], [4] предоставляет дополнительную информацию об управлении ключами.
Криптографические методы также могут быть использованы для защиты криптографических ключей. Возможно, потребуется наличие процедур по обработке запросов от правоохранительных органов на доступ к криптографическим ключам, например зашифрованная информация может потребоваться в незашифрованном виде в качестве доказательства в суде.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.24
А.8.24 Use of cryptography
Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented.
Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.