Skip to main content

V1.6.1 Cryptographic Architecture

Requirement:#

Verify that there is an explicit policy for management of cryptographic keys and that a cryptographic key lifecycle follows a key management standard such as NIST SP 800-57.

Explanation:#

Π’Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΎ Π½Π° ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ криптографичСскими ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ ΠΈ ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ примСнСния ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ управлСния криптографичСскими ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. Π’Π°ΠΊΠΆΠ΅ прСдлагаСтся ΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚ΡŒ стандартам управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, Ρ‚Π°ΠΊΠΈΠΌ ΠΊΠ°ΠΊ NIST SP 800-57. Β 

  1. Cryptographic Key Management:

ΠšΡ€ΠΈΠΏΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ ΠΊΠ»ΡŽΡ‡ΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ для ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ…, Π° Ρ‚Π°ΠΊΠΆΠ΅ для создания Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй. ΠŸΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ ΠΎΡ‡Π΅Π½ΡŒ Π²Π°ΠΆΠ½ΠΎ для обСспСчСния бСзопасности криптографичСских ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ.

  1. Explicit Key Management Policy:

Π­Ρ‚ΠΎ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ опрСдСляСт Π²Π°ΠΆΠ½ΠΎΡΡ‚ΡŒ наличия Ρ‡Π΅Ρ‚ΠΊΠΎ сформулированной ΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° обСспСчиваСт руководство ΠΏΠΎ созданию, Ρ…Ρ€Π°Π½Π΅Π½ΠΈΡŽ, использованию, Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ ΠΈ Π²Ρ‹Π²ΠΎΠ΄Ρƒ ΠΈΠ· эксплуатации криптографичСских ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

  1. Key Lifecycle Management:

ΠšΡ€ΠΈΠΏΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈΠΌΠ΅ΡŽΡ‚ ΠΆΠΈΠ·Π½Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΠΊΠ», ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΡŽ, распространСниС, Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅, использованиС, Ρ€ΠΎΡ‚Π°Ρ†ΠΈΡŽ ΠΈ Π°Π½Π½ΡƒΠ»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅. ΠŸΡ€ΠΎΡ†Π΅ΡΡ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ обСспСчиваСт ΠΈΡ… ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠΌ этапС ΠΈΡ… ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π°.

  1. Key Management Standards:

NIST SP 800-57 (Special Publication 800-57) - ΠΎΠ±Ρ‰Π΅ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΉ стандарт, ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΠ°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ институтом стандартов ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ (NIST) ΠΈ содСрТащий Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ криптографичСскими ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. Он Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ, Ρ€Π°ΡΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΡŽ, Ρ…Ρ€Π°Π½Π΅Π½ΠΈΡŽ ΠΈ Π²Ρ‹Π²ΠΎΠ΄Ρƒ ΠΈΠ· эксплуатации ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

  1. Significance:

НаличиС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ ΠΈ слСдованиС установлСнным стандартам, Ρ‚Π°ΠΊΠΈΠΌ ΠΊΠ°ΠΊ NIST SP 800-57, ΠΊΡ€Π°ΠΉΠ½Π΅ Π²Π°ΠΆΠ½ΠΎ ΠΏΠΎ нСскольким ΠΏΡ€ΠΈΡ‡ΠΈΠ½Π°ΠΌ:

  • Security. ΠŸΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ позволяСт Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΡ‚ нСсанкционированного доступа. ΠŸΡ€ΠΈ ΠΏΠ»ΠΎΡ…ΠΎΠΌ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ.
  • Compliance. Π‘Π»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΌ стандартам часто трСбуСтся для соблюдСния Π½ΠΎΡ€ΠΌ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, PCI DSS, HIPAA) ΠΈ Π΄ΠΎΠ³ΠΎΠ²ΠΎΡ€Π½Ρ‹Ρ… соглашСний.
  • Consistency. Β Π§Π΅Ρ‚ΠΊΠΎ сформулированная ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΠΈ слСдованиС стандартам ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π² ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, Ρ‡Ρ‚ΠΎ сниТаСт риск ошибок.
  • Efficiency. Π‘Π»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΠ΅ установлСнной ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡŽ эффСктивности ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΈΠ²Π½ΠΎΡΡ‚ΠΈ процСссов управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ.
  1. Explanation:

Π§Π΅Ρ‚ΠΊΠΎ сформулированная ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π΄ΠΎΠ»ΠΆΠ½Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡ‚ΡŒ:

  • ΠŸΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ использованиС криптографичСски Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Ρ… Π³Π΅Π½Π΅Ρ€Π°Ρ‚ΠΎΡ€ΠΎΠ² случайных чисСл.
  • ΠœΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ распрСдСлСния ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΠ΅ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡƒΡŽ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΈ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.
  • ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ хранСния ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΠ΅ ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΎΡ‚ нСсанкционированного доступа ΠΈ ΠΊΡ€Π°ΠΆΠΈ.
  • Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ использованию ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‰ΠΈΠ΅ порядок ΠΈΡ… примСнСния ΠΏΡ€ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠΈ, Π΄Π΅ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠΈ ΠΈ создании Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй
  • ΠŸΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ ΠΈ списания ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ сроки ΠΈ порядок ΠΈΡ… Π·Π°ΠΌΠ΅Π½Ρ‹ ΠΈ ΠΎΡ‚Π·Ρ‹Π²Π°.
  1. Implementation:

Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² ΠΈ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π½Π° основС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈ Π²Ρ‹Π±Ρ€Π°Π½Π½ΠΎΠ³ΠΎ стандарта управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, NIST SP 800-57). ИспользованиС установлСнных криптографичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ ΠΈ инструмСнтов, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΌ стандартам управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ.

  1. Regular Auditing and Review:

РСгулярноС ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ ΠΎΠ±Π·ΠΎΡ€Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ для обСспСчСния постоянного соотвСтствия ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅ ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌ стандартам. ΠžΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠ΅ устранСниС всСх выявлСнных нСдостатков ΠΈ уязвимостСй.

Remediation:#

Для выполнСния Π΄Π°Π½Π½ΠΎΠ³ΠΎ трСбования, ΠΊΠ°ΡΠ°ΡŽΡ‰Π΅Π³ΠΎΡΡ управлСния криптографичСскими ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠ»Π΅ΠΊΡΠ½ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ ΠΈ ΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΌ стандартам управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, Ρ‚Π°ΠΊΠΈΠΌ ΠΊΠ°ΠΊ NIST SP 800-57.Β 

  1. Establish a Key Management Policy:

Π‘ΠΎΠ·Π΄Π°Ρ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, которая описываСт ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ, распрСдСлСния, хранСния, использования, Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ ΠΈ аннулирования криптографичСских ΠΊΠ»ΡŽΡ‡Π΅ΠΉ. Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ эта ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° соотвСтствуСт трСбованиям бСзопасности вашСго прилоТСния.

  1. Identify Key Stakeholders:

ΠžΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ Π»ΠΈΡ†Π° ΠΈΠ»ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰ΡƒΡŽ Π·Π° ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ. Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ Ρ€ΠΎΠ»ΠΈ ΠΈ обязанности Ρ‡Π΅Ρ‚ΠΊΠΎ распрСдСлСны.

  1. Select Appropriate Key Management Standards:

Π˜Π·ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΈ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ установлСнныС стандарты управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ NIST SP 800-57, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡŽ ΠΈ отрасли.

  1. Key Generation:

Π’Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ бСзопасной Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ с использованиСм криптографичСски Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Ρ… Π³Π΅Π½Π΅Ρ€Π°Ρ‚ΠΎΡ€ΠΎΠ² случайных чисСл ( RNG ). Π˜Π·Π±Π΅Π³Π°Ρ‚ΡŒ использования слабых ΠΈΠ»ΠΈ прСдсказуСмых источников для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

  1. Key Distribution:

Π‘ΠΎΠ·Π΄Π°Ρ‚ΡŒ бСзопасныС ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ криптографичСских ΠΊΠ»ΡŽΡ‡Π΅ΠΉ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ Π»ΠΈΡ†Π°ΠΌ. ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡƒΡŽ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΈ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ Π²ΠΎ врСмя ΠΈΡ… распространСния.

  1. Key Storage:

ΠžΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ бСзопасного хранСния ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ…Ρ€Π°Π½ΠΈΠΌΡ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ доступа для прСдотвращСния нСсанкционированного доступа. Π Π°ΡΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹Π΅ ΠΌΠΎΠ΄ΡƒΠ»ΠΈ бСзопасности (HSM) для бСзопасного хранСния ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

  1. Key Usage Guidelines:

Π”ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ использованию криптографичСских ΠΊΠ»ΡŽΡ‡Π΅ΠΉ Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ. Π£ΠΊΠ°Π·Π°Ρ‚ΡŒ процСссы ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ, Π΄Π΅ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи.

  1. Key Rotation and Retirement:

Π£ΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ ΠΈ ΠΎΡ‚Π·Ρ‹Π²Π° ΠΊΠ»ΡŽΡ‡Π΅ΠΉ Π½Π° основС Π²Ρ‹Π±Ρ€Π°Π½Π½ΠΎΠ³ΠΎ стандарта управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. ΠžΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ, ΠΊΠΎΠ³Π΄Π° ΠΈ ΠΊΠ°ΠΊ ΠΊΠ»ΡŽΡ‡ΠΈ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π·Π°ΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ ΠΈΠ»ΠΈ Π²Ρ‹Π²ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ ΠΈΠ· эксплуатации, ΠΈ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ этого процСсса.

  1. Training and Awareness:

ΠŸΡ€ΠΎΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΎ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅ ΠΈ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Π°Ρ… управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΏΠΎΠ½ΠΈΠΌΠ°ΡŽΡ‚ Π²Π°ΠΆΠ½ΠΎΡΡ‚ΡŒ бСзопасного управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ.

  1. Regular Auditing and Review:

Π’Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ процСсс рСгулярного Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ. ΠŸΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚Ρ‹ бСзопасности для выявлСния уязвимостСй ΠΈ ΠΎΡ‚ΠΊΠ»ΠΎΠ½Π΅Π½ΠΈΠΉ ΠΎΡ‚ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ.

  1. Compliance Checks:

Π£Π±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‚ стандартам, ΠΏΡ€ΠΈΠΌΠ΅Π½ΠΈΠΌΡ‹ΠΌ ΠΊ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΌ прилоТСниям. ΠŸΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ пСриодичСскиС ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π½Π° соотвСтствиС этим трСбованиям.

  1. Incident Response Plan:

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΏΠ»Π°Π½ рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ описано, ΠΊΠ°ΠΊ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ бСзопасности, связанныС с ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠ΅ΠΉ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈΠ»ΠΈ нСсанкционированным доступом ΠΊ Π½ΠΈΠΌ.

  1. Documentation:

Π—Π°Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ всС дСйствия ΠΏΠΎ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΠΈΡ… созданиС, распрСдСлСниС, Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅, использованиС, Ρ€ΠΎΡ‚Π°Ρ†ΠΈΡŽ ΠΈ ΠΎΡ‚Π·Ρ‹Π². ВСсти ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΡƒΡ‡Π΅Ρ‚ для Ρ†Π΅Π»Π΅ΠΉ Π°ΡƒΠ΄ΠΈΡ‚Π°.

  1. Third-Party Tools and Libraries:

ΠŸΡ€ΠΈ использовании криптографичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ ΠΈ инструмСнтов сторонних ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΠ±Π΅Π΄ΠΈΡ‚ΡŒΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΌ стандартам управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ.

  1. Continuous Improvement:

ΠžΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ процСссы управлСния ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰ΠΈΡ… ΡƒΠ³Ρ€ΠΎΠ·, Π»ΡƒΡ‡ΡˆΠΈΡ… ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² трСбованиях ΠΊ бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

Additional:#

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf

Edit this page