Skip to main content

8.24 Wykorzystanie kryptografii

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczna konfiguracja
Obszary operacyjne: Ochrona

Kontrola

Zasady skutecznego wykorzystania kryptografii, w tym zarządzania kluczami kryptograficznymi, powinny być zdefiniowane i wdrożone.

Cel

Zapewnienie właściwego i skutecznego stosowania kryptografii w celu ochrony poufności, autentyczności i integralności informacji zgodnie z wymaganiami biznesowymi i bezpieczeństwa informacji oraz zgodnie z wymaganiami prawnymi, ustawowymi, regulacyjnymi i umownymi dotyczącymi kryptografii.

Wytyczne

Zasady ogólne

Podczas stosowania kryptografii należy uwzględnić następujące kwestie:

  • Polityka dotycząca kryptografii – organizacja powinna określić politykę szczegółową dotyczącą kryptografii, aby zmaksymalizować korzyści i zminimalizować ryzyko związane z jej stosowaniem.
  • Wymagany poziom ochrony – klasyfikacja informacji powinna określać wymagany poziom ochrony oraz rodzaj, siłę i jakość stosowanych algorytmów kryptograficznych.
  • Ochrona informacji w urządzeniach mobilnych i transmisji sieciowej – szyfrowanie powinno być stosowane do ochrony informacji przechowywanej na urządzeniach końcowych oraz przesyłanej przez sieci.
  • Zarządzanie kluczami kryptograficznymi – organizacja powinna określić sposób generowania, przechowywania i odzyskiwania kluczy kryptograficznych w przypadku ich utraty, kompromitacji lub uszkodzenia.
  • Role i odpowiedzialności – należy określić odpowiedzialność za wdrażanie zasad kryptografii oraz zarządzanie kluczami.
  • Standardy kryptograficzne – organizacja powinna przyjąć określone standardy dotyczące algorytmów, siły szyfrowania i praktyk ich stosowania.
  • Wpływ szyfrowania na inne mechanizmy bezpieczeństwa – szyfrowanie może utrudniać analizę treści (np. w systemach antywirusowych lub filtrach zawartości), co należy uwzględnić przy wdrażaniu kryptografii.

Podczas implementacji kryptografii organizacja powinna również uwzględnić ograniczenia wynikające z przepisów krajowych dotyczących stosowania kryptografii oraz transferu zaszyfrowanych informacji między jurysdykcjami.

Zarządzanie kluczami

Skuteczne zarządzanie kluczami wymaga stosowania bezpiecznych procesów obejmujących generowanie, przechowywanie, archiwizację, odzyskiwanie, dystrybucję, wycofywanie i niszczenie kluczy kryptograficznych.

Organizacja powinna wdrożyć system zarządzania kluczami oparty na uzgodnionych standardach i procedurach, obejmujących:

  • Generowanie kluczy dla różnych systemów i zastosowań,
  • Wydawanie i zarządzanie certyfikatami kluczy publicznych,
  • Dystrybucję kluczy i ich aktywację przez uprawnione podmioty,
  • Bezpieczne przechowywanie i dostęp do kluczy,
  • Regularne zmienianie i aktualizowanie kluczy,
  • Obsługę sytuacji, w których klucze są zagrożone lub skompromitowane,
  • Unieważnianie kluczy i ich wycofywanie,
  • Procedury odzyskiwania kluczy w przypadku ich utraty,
  • Archiwizację i niszczenie kluczy,
  • Monitorowanie i audyt procesów zarządzania kluczami,
  • Określanie okresu aktywacji i dezaktywacji kluczy zgodnie z polityką organizacji,
  • Obsługę prawnych żądań dotyczących dostępu do kluczy kryptograficznych.

Wszystkie klucze kryptograficzne powinny być chronione przed nieautoryzowaną modyfikacją i utratą. Klucze prywatne i tajne wymagają dodatkowej ochrony przed nieautoryzowanym dostępem i ujawnieniem. Sprzęt używany do generowania i przechowywania kluczy powinien być fizycznie zabezpieczony.

Inne informacje

Autentyczność kluczy publicznych jest zazwyczaj zapewniana poprzez zarządzanie kluczami publicznymi za pomocą urzędów certyfikacji (CA) i certyfikatów cyfrowych. Alternatywnie można stosować procesy manualne w przypadku niewielkiej liczby kluczy.

Kryptografia może być stosowana do osiągnięcia różnych celów w zakresie bezpieczeństwa informacji, takich jak:

  • Poufność – szyfrowanie informacji w celu ochrony danych w spoczynku i w transmisji,
  • Integralność i autentyczność – podpisy cyfrowe i kody uwierzytelniania wiadomości (MAC) do weryfikacji integralności i autentyczności danych,
  • Niezaprzeczalność – techniki kryptograficzne umożliwiające dostarczenie dowodów zdarzeń i działań,
  • Uwierzytelnianie – mechanizmy kryptograficzne do weryfikacji tożsamości użytkowników i systemów.

Szczegółowe informacje na temat zarządzania kluczami można znaleźć w serii norm ISO/IEC 11770.