— конфиденциальности — шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;

— целостности / достоверности — использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;

— неотказуемости — использованием методов криптографии для получения подтверждения того, что событие или действие имело место;

— аутентификации — использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами

Меры и средства

Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.

Рекомендации по реализации

Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.

Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.

Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.

Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:

— генерации ключей для различных криптосистем и приложений;

— изготовления и получения сертификатов открытых ключей;

— рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;

— хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;

— замены или обновления ключей, включая правила и сроки замены ключей;

— действий в отношении скомпрометированных ключей;

— аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);

— восстановления ключей, которые были утеряны или испорчены;

— резервного копирования или архивирования ключей;

— уничтожения ключей;

— регистрации и аудита действий, связанных с управлением ключами.

Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.

7. Физическая и экологическая безопасность

Физическую и экологическую безопасность определяют следующие составляющие:

— зоны безопасности;

— безопасность оборудования.

7.1. Зоны безопасности

Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.

Зоны безопасности определяют следующие составляющие:

— периметр физической безопасности;

— работа в зонах безопасности;

— зоны доставки и погрузки/разгрузки.

— управление физическим доступом;

— защита помещений и оборудования;

— защита от окружающей среды.

Периметр физической безопасности

Меры и средства

Периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.

Рекомендация по реализации

В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:

— должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;