Шрифт:
Меры и средства
Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.
Рекомендации по реализации
Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.
Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.
Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.
Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
– генерации ключей для различных криптосистем и приложений;
– изготовления и получения сертификатов открытых ключей;
– рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;
– хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;
– замены или обновления ключей, включая правила и сроки замены ключей;
– действий в отношении скомпрометированных ключей;
– аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);
– восстановления ключей, которые были утеряны или испорчены;
– резервного копирования или архивирования ключей;
– уничтожения ключей;
– регистрации и аудита действий, связанных с управлением ключами.
Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.
7. Физическая и экологическая безопасность
Физическую и экологическую безопасность определяют следующие составляющие:
– зоны безопасности;
– безопасность оборудования.
7.1. Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.
Зоны безопасности определяют следующие составляющие:
– периметр физической безопасности;
– работа в зонах безопасности;
– зоны доставки и погрузки/разгрузки.
– управление физическим доступом;
– защита помещений и оборудования;
– защита от окружающей среды.
Периметр физической безопасности
Меры и средства
Периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.
Рекомендация по реализации
В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:
– должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;
– периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть);
внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа контрольными механизмами (например, шлагбаумом, сигнализацией, замками т.п.);
двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон, особенно если они находятся на уровне земли;
– должна существовать зона регистрации посетителей или другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только уполномоченному персоналу;