Компрометация (криптография) — Википедия

На чтение 19 мин. Просмотров 81 Опубликовано
Содержание
  1. Введение
  2. Риски использования электронной подписи
  3. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя
  4. 1 Персонал
  5. 2 Размещение технических средств АРМ с установленным СКЗИ
  6. 3 Установка программного обеспечения на АРМ
  7. 4 Настройка операционной системы АРМ
  8. 5 Установка и настройка СКЗИ
  9. 6 Подключение АРМ к сетям общего пользования
  10. 7 Обращение с ключевыми носителями
  11. 8 Обращение с ключевой информацией
  12. 9 Учет и контроль
  13. Действия при компрометации ключа
  14. Как защитить закрытый ключ эцп от компрометации | компания “аладдин р.д.”
  15. Компрометация ключа
  16. Случаи компрометации
  17. Уменьшение вероятности компрометации ключа и ущерба от компрометации
  18. Заключение

Введение

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

  1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
  2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
  3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
  4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
  5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

2 Размещение технических средств АРМ с установленным СКЗИ

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности.

В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

4 Настройка операционной системы АРМ

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

Читайте также:  Как пользоваться ЭЦП с флешки

5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

  • Снимать несанкционированные администратором безопасности копии с ключевых носителей.
  • Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
  • Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
  • Записывать на ключевой носитель постороннюю информацию. 

8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

  • Хранить в тайне ключ ЭП (закрытый ключ).
  • Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
  • Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
  • Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

  • дата, время;
  • запись о компрометации ключа;
  • запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
  • запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
  • записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  • события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

Действия при компрометации ключа

  1. Скомпрометированный ключ сразу же выводится из действия, взамен него вводится запасной или новый ключ.
  2. О компрометации немедленно оповещаются все участники обмена информацией. Ключ или сертификат вносятся в специальные списки, содержащие скомпрометированные ключи (стоп-листы, списки отзыва сертификатов и т. п.)

Ключевые системы с несколькими ключами могут быть устойчивы к одной или нескольким компрометациям.

Компрометация ключа может также привести к компрометации информации, передававшейся с использованием данного ключа.

Как защитить закрытый ключ эцп от компрометации | компания “аладдин р.д.”

Вопреки всем недостаткам “Закона об ЭЦП” и отсутствию работающего корневого Удостоверяющего Центра УФО РФ, весьма затянувшемуся, применение электронно-цифровой подписи (ЭЦП) становится массовым. Особенно активно этот процесс идет в корпоративном сегменте экономики и ведомствах. К, примеру, одной из основных на международной научно-практической конференции “ТелеКомТранс-2005”, состоявшейся в апреле 2005 г., была тема применения ЭЦП в информационных системах на транспорте. И все же, несмотря на то, что сегодня эта тема популярна и широко обсуждается, далеко не все потенциальные пользователи понимают, как происходит формирование сертификата подписи, что такое компрометация ключа цифровой подписи и как снизить риски компрометации. Рассмотрению этих вопросов посвящена данная статья.

Почему так важен вопрос хранения ключевого материала от компрометации

Рассмотрим, где реально применяется ЭЦП:

  • юридически значимый документооборот;
  • банковские системы (“Интернет-банкинг” и “Клиент-банк”);
  • системы электронных госзаказов и электронной торговли (e-commerce);
  • системы контроля исполнения государственного бюджета;
  • системы обращения к органам власти (e-government);
  • обязательная отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед органами ГНС);
  • защита почтовых сообщений и др.
Читайте также:  Эцп для егаис киров

Во всех вышеперечисленных системах главным условием интенсивного обмена информацией является наличие доверительных отношений между пользователем (клиентом) и сервером. При обмене информацией должны соблюдаться такие общеизвестные требования, как гарантированное соблюдение конфиденциальности и целостности, а также неотказуемости автора. Даже поверхностный анализ показывает, что использование злоумышленником ЭЦП легального пользователя в любой из перечисленных систем может привести к ощутимым финансовым потерям. Представьте, если вместо вас кто-то отправит якобы подписанный вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов. Естественно, вам захочется как можно быстрее найти виновного и вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам подтвердят документально, что информационная система банка построена в соответствии с существующими нормативно-правовыми актами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще напомнят, что при получении ключевого материала вам были предложены альтернативные носители, из которых вы выбрали самый дешевый. Например, дискету… И еще напомнят, что согласно статье 12 “Закона об ЭЦП” хранение закрытого ключа электронной цифровой подписи – обязанность владельца.

Круг замкнулся. Во всем виноваты вы сами. А все ли вы знали и действительно ли вас предупреждали о возможности компрометации ключа до того, как произошла материальная потеря? Но впрочем, все по порядку.

Существенная деталь механизма генерации ЭЦП

И так, в силу сложившихся обстоятельств вы решили, что вам необходима ЭЦП. Вы приходите в Удостоверяющий центр (УЦ) и подписываете договор на приобретение ЭЦП и ее обслуживание. Для формирования вашего сертификата ключа ЭЦП необходим только ваш открытый ключ. Если его у вас нет, то при вас генерируется ключевая пара (открытый и закрытый ключи). Закрытый (секретный) ключ и открытый ключ вашей ЭЦП (гарантом подлинности которого является выдавший его Удостоверяющий центр) в электронном виде передается вам на носителе. Носителем может быть дискета, смарт-карта или USB-ключ. Если в упомянутом выше договоре с Удостоверяющим центром нет пункта о депонировании и ответственном хранении вашего закрытого ключа в защищенном хранилище центра, то сотрудник центра обязан удалить его из компьютера после передачи вам. По определению закрытый ключ всегда хранится у пользователя, а сертификат ключа ЭЦП, подписанный выдавшим его Удостоверяющим центром, формируется на основе открытого ключа.

Какие угрозы компрометации ключей ЭЦП существуют?

Проведем простые аналогии ЭЦП с собственноручной подписью на бумажном носителе. При оформлении серьезных сделок идентификация производится с помощью паспорта. Вы бережно храните свой паспорт от попадания в чужие руки, поскольку даже в социалистические времена были распространены различные виды действий злоумышленников, самым безобидным из которых было взять в бюро проката бытовой техники на приличную сумму под чужой паспорт. Известно, что эту сумму в судебном порядке взыскивали с бывшего владельца паспорта, не успевшего быстрее вора заявить о пропаже в милицию.

Если у вас каким-либо образом (прямая кража, копирование) украли закрытый ключ цифровой подписи, об этом необходимо как можно быстрее (чтобы обогнать злоумышленника) известить УЦ, который выдал сертификат ключа ЭЦП. На профессиональном языке это называется компрометацией закрытого ключа ЭЦП.

Перечислим некоторые наиболее вероятные угрозы компрометации:

  • хранение ключа в открытом (незашифрованном) виде;
  • хранение ключей непосредственно на дисках ПК владельца;
  • хранение ключей на ненадежных (в техническом плане) носителях (дискетах);
  • передача ключевого носителя сторонним пользователям;
  • отсутствие контроля за использованием ключевых носителей (например, ключевая дискета, забытая в дисководе и т.д.).

Конечно, все зависит от состояния информационной системы вашего предприятия и/или вашего компьютера, если вы работаете дома. Все вероятные угрозы перечислить невозможно.   Однако, одним из основных принципов гарантированного сохранения закрытого ключа в тайне (в соответствии с ФЗ-1) является минимизация риска (а лучше исключение возможности) потери ключа, доступа к нему посторонних лиц и его надежная защита от копирования. Ответ на вопрос, являетесь ли вы посторонним лицом или истинным владельцем хранилища ключевой информации (называемым персональным идентификатором), и насколько вам можно доверять, дает процесс под названием аутентификация. Под аутентификацией следует понимать процесс проверки подлинности предъявленных объектом идентификационных параметров, как правило, с применением криптографических методов. Если оба процесса проходят успешно, объект (пользователь) получает доступ в систему. Различают простую (однофакторную) и строгую (двухфакторную) аутентификацию. К факторам аутентификации относят:

  • знание пользователем пароля или PIN-кода,
  • предъявление пользователем персонального идентификатора (смарт-карты, USB-ключа класса eToken, таблетки iButton, дискеты, и т.д).

Известно, что наиболее надежным способом аутентификации на сегодня являются программно-аппаратные решения, или так называемые двухфакторные модели (пользователь должен иметь “нечто” и знать “нечто”). Другими словами, для проведения так называемой строгой аутентификации должны применяться технологии смарт-карт-логона, основанные на использовании цифровых сертификатов Х.509. Это позволяет полностью отказаться от применения парольной защиты. Такой подход обеспечивает проверку прав пользователя и истинность сервера (сервер не подменен злоумышленником) с помощью криптографических методов.

Правила хранения ключа должны зависеть от востребованности ЭЦП. Если ее приходится применять несколько раз в день, то все рабочие процессы должны быть технологичны и удобны. Идеально, если функции носителя ключевой информации и персонального идентификатора для доступа в помещения офиса, к компьютеру, корпоративной сети и защищенным ресурсам совмещены в едином устройстве. Такие устройства существуют и успешно используются.

Читайте также:  Статья 21.2. Правила использования простых электронных подписей при оказании государственных и муниципальных услуг / КонсультантПлюс

Компрометация ключа

Из книги
1937: Не верьте лжи о «сталинских репрессиях»!

Компрометация Молотова
В августе 1936 года прошел первый московский процесс. На скамье подсудимых собрали участников единого антисталинского блока, сложившегося в 1932 году: Зиновьева, Каменева, Смирнова, Мрачковского и т. д. Подсудимые много рассказывали о своих подлинных

Из книги
Три ключа

Три ключа

Посвящаю своим бывшим, настоящим и будущим ученикам
Дорогие и юные мои друзья!Эти три великих ключа хранятся не на других планетах, не в иных звездных мирах, а в самом себе. Но, овладевая ими, ты овладеваешь тем, что можно сравнить только с мирами. Разумно ли от

Из книги
Три ключа [litres]

Три ключа

Посвящаю своим бывшим, настоящим и будущим ученикам
Дорогие и юные мои друзья!Эти три великих ключа хранятся не на других планетах, не в иных звездных мирах, а в самом себе. Но, овладевая ими, ты овладеваешь тем, что можно сравнить только с мирами. Разумно ли от

Из книги
Разгадка 37-го года. «Преступление века» или спасение страны?

Компрометация Молотова
В августе 1936 года прошел первый московский процесс. На скамье подсудимых собрали участников единого антисталинского блока, сложившегося в 1932 году: Зиновьева, Каменева, Смирнова, Мрачковского и т. д. Подсудимые много рассказывали о своих подлинных

Из книги
Правда о 1937 годе. Кто развязал «большой террор»?

Компрометация Молотова
В августе 1936 года прошёл первый московский процесс. На скамье подсудимых собрали участников единого антисталинского блока, сложившегося в 1932 году: Зиновьева, Каменева, Смирнова, Мрачковского и т.д. Подсудимые много рассказывали о своих подлинных и

Из книги
Руководство слесаря по замкам

Тип ключа
Очень часто замок идентифицируют по типу его ключа. Наиболее яркие примеры – замки под ключ с бородкой и под тубулярный ключ.Замки с тубулярными ключами иногда называют замками «Эйс» (Ace – марка популярного отбеливателя), поскольку они в основном используются в

Из книги
Большая Советская Энциклопедия (КО)
Из книги
Введение в криптографию

Компрометация закрытого ключа и ключевой фразы
Это простейшая и наиболее легко реализуемая атака, если вы где-то записали пароль к своему закрытому ключу. Если злоумышленник раздобудет запись, а также сам закрытый ключ, он сможет расшифровывать все сообщения и

Из книги
Проза как поэзия. Пушкин, Достоевский, Чехов, авангард

Компрометация Ивана
Как Достоевский ни заботился о «художественном реализме» шестой книги, которая должна была коснуться «самых пошловатых сторон» (30/1, 122), поучения Зосимы убеждают только того, кто уже убежден.[353] В качестве антагониста, уравновешивающего, мало того —

Из книги
КГБ. Последний аргумент

Часть третья КОМПРОМЕТАЦИЯ

Из книги
КГБ. Последний аргумент

Компрометация
В 13.30 Миядзаки запарковал «Тойоту» у магазина «Дары природы» и двинулся за очередным бочоночком своего лакомства.Узнав женщину, которая на приёме буквально не давала ему прохода, Миядзаки сначала опешил от неожиданности, но уже в следующее мгновение во

Из книги
Подрывная деятельность украинских буржуазных националистов против СССР и борьба с нею органов Государственной Безопасности [Maxima-Library]

5. Компрометация оуновских главарей и бандитов, находящихся на нелегальном положении
В подполье ОУН как среди главарей, так и среди рядовых бандитов сильно развито взаимное недоверие.Большие потери, понесенные националистическим подпольем, главари его объясняли

Из книги

«Целенаправленная компрометация Тухачевского была!»
Генерал-лейтенант В. А. Кирпиченко работал в разведке с 1952 г. Около 20 лет работал в арабских странах, с 1971 по 1991 г. был заместителем, потом первым заместителем начальника Первого главного управления КГБ СССР

Из книги

«Целенаправленная компрометация Тухачевского была!»
Генерал-лейтенант В. А. Кирпиченко работал в разведке с 1952 г. Около 20 лет работал в арабских странах, с 1971 по 1991 г. был заместителем, потом первым заместителем начальника Первого главного управления КГБ СССР

Из книги

КОМПРОМЕТАЦИЯ НА ПОРАЖЕНИЕ
Из исторических хроник известно, что последним аргументом королей для восставшей толпы были пушки, значит — убийство. Последним аргументом Джеймса Бонда был выстрел из пистолета немыслимого калибра, то есть опять убийство. У генерал-майора

Случаи компрометации

и другие, в зависимости от вида носителя защищаемой информации и способов работы с ним.

Уменьшение вероятности компрометации ключа и ущерба от компрометации

Чем дольше ключ находится в действии и чем интенсивнее он используется, тем больше вероятность того, что он будет скомпрометирован. При длительном пользовании одним и тем же ключом увеличивается также и потенциальный ущерб, который может быть нанесен в случае его компрометации. Одной из мер, направленных на уменьшение вероятности компрометации и ущерба от неё, является периодическая смена ключей.

Заключение

Настоящие правила составлены на основе:

  • Федерального закона от 06.04.2020 № 63-ФЗ «Об электронной подписи»;
  • Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
  • приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
  • эксплуатационной документации на СКЗИ, которое используется в Системе.
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2024 ЭЦП Эксперт