V1.6.3 Cryptographic Architecture

Requirement:#

Verify that all keys and passwords are replaceable and are part of a well-defined process to re-encrypt sensitive data.

Explanation:#

Требование определяет важность управления криптографическими ключами и паролями таким образом, чтобы они были заменяемы и являлись частью четко определенного процесса повторного шифрования конфиденциальных данных.

1 Replaceable Keys and Passwords:

Криптографические ключи и пароли используются для защиты конфиденциальных данных в приложении. Криптографические ключи и пароли должны регулярно обновляться, чтобы избежать их компроментации. Если ключ или пароль скомпрометирован, или если он считается слабым в связи с изменением стандартов безопасности, его необходимо заменить.

2 Well-Defined Process for Replacement:

Это требование указывает на необходимость четкого и документированного процесса замены ключей и паролей. Этот процесс должен определять, как и когда должна производиться замена.

3 Importance of Replaceability:

В данном требовании признается, что криптографические ключи и пароли не являются статичными. Они должны быть заменяемы без нарушения функциональности приложения и целостности данных.

4 Data Re-Encryption:

При замене ключей может потребоваться повторное шифрование конфиденциальных данных, которые были зашифрованы с помощью старых ключей. Это особенно важно для шифрования хранимых данных, когда данные остаются зашифрованными в процессе хранения.

5 Reasons for Replacement:

Замена ключей и паролей может потребоваться по разным причинам:
- Compromise: если ключ или пароль скомпрометирован, его необходимо заменить для предотвращения несанкционированного доступа.
- Rotation: в соответствии с лучшими практиками безопасности рекомендуется периодически заменять ключи, чтобы снизить риск их компроментации.
- Security Standards: изменения в стандартах безопасности или алгоритмах могут потребовать замены устаревших криптографических ключей.

6 Impact on Application:

Основным аспектом данного требования является обеспечение того, чтобы замена ключей и паролей не оказывала негативного влияния на функциональность приложения. Приложения должны иметь возможность плавно переходить к использованию новых ключей и паролей, не вызывая потери данных или простоя.

7 Documentation and Compliance:

Для обеспечения соответствия стандартам и нормативным требованиям безопасности очень важно иметь подробно задокументированный процесс замены ключей и паролей.

8 Automation and Orchestration:

В современной архитектуре приложений автоматизированные средства управления ключами и оркестрации позволяют оптимизировать процесс замены ключей и повторного шифрования данных. Эти средства позволяют свести к минимуму ручное вмешательство и снизить вероятность ошибок.

9 Regular Review:

Регулярно пересматривайте и обновляйте процесс замены ключей и паролей, чтобы убедиться в его эффективности и соответствии меняющимся требованиям безопасности.

Remediation:#

Для выполнения требования и обеспечения того, чтобы криптографические ключи и пароли были заменяемыми и являлись частью строго определенного процесса повторного шифрования конфиденциальных данных в вашем приложении, выполните следующие действия:

1 Key and Password Management Policy:

Разработайте политику, описывающую порядок управления криптографическими ключами и паролями, включая обстоятельства, при которых они должны быть заменены.

2 Key Rotation Schedule:

Составьте график ротации ключей, определяющий периодичность замены криптографических ключей. Этот график должен соответствовать лучшим практикам и стандартам безопасности.

3 Key Replacement Process:

Создайте четко определенный процесс замены криптографических ключей и паролей. Включите в него шаги по генерации новых ключей, их безопасному распространению и выводу старых ключей из эксплуатации.
Убедитесь, что процесс учитывает замену ключей в результате компрометации, ротации или изменений в стандартах безопасности.

4 Data Re-Encryption Plan:

Разработайте план повторного шифрования конфиденциальных данных при замене ключей. В этом плане должно быть указано, как будет осуществляться миграция данных со старых ключей на новые без потери данных и простоя.

5 Automated Key Management:

Рассмотрите возможность внедрения автоматизированных средств управления ключами и оркестрации, которые облегчат процессы замены ключей и повторного шифрования данных. Эти инструменты помогут сократить количество ошибок, допускаемых вручную, и упростить процесс.

6 Testing and Validation:

Проведите тщательное тестирование процессов замены ключей и повторного шифрования данных в контролируемой среде, чтобы убедиться, что они работают так, как задумано.

7 Documentation:

Необходимо закрепить документально в политике управления ключами и паролями, график ротации ключей, процесс замены ключей и план повторного шифрования данных.

8 Training and Awareness:

Обучите разработчиков процессам управления ключами и их замены.

9 Monitoring and Auditing:

Внедрите механизмы мониторинга и аудита для отслеживания изменений ключей и паролей, включая инициирование процессов замены. Отслеживайте любые несанкционированные изменения или доступ к шифрованным данным.

10 Incident Response Plan:

Разработайте план реагирования на инциденты, включающий процедуры реагирования на компрометацию ключей. В этом плане должно быть указано, как будут заменяться скомпрометированные ключи и как будет осуществляться повторное шифрование данных.

11 Compliance Considerations:

Убедитесь в том, что методы управления ключами соответствуют стандартам безопасности и нормативным требованиям.

12 Regular Review and Updates:

Периодически пересматривайте и обновляйте процессы управления ключами и их замены, чтобы адаптироваться к меняющимся угрозам безопасности и новым технологиям.

Additional:#

https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html#secure-random-number-generation

https://translated.turbopages.org/proxy_u/en-ru.ru.598f1ceb-63907f07-0c3f20f0-74722d776562/https/github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.md