Управление криптографией
Даже с учетом правовых вопросов, затрагивающих использование шифрования, это является хорошим средством обеспечения конфиденциальности сетевых коммуникаций. При разработке правил организации необходимо начинать с обязанностей руководства по использованию шифрования. Например, в некоторых организациях требуют, чтобы руководство утверждало применение шифрования. В свою очередь, руководство возьмет на себя ответственность за разрешение шифрования только после выяснения всех юридических вопросов. Формулировка политики может выглядеть следующим образом.
Руководство должно утверждать все случаи применения криптографии внутри организации. Перед утверждением руководство должно удостовериться, что применение криптографии не противоречит соответствующим законам и постановлениям.
Указание на соответствие законам и постановлениям может быть ограничено требованием удостовериться, что все алгоритмы шифрования и устройства, используемые для этого, поставляются отечественными производителями. Однако, если организация имеет договор с федеральным правительством, то соответствие означает, что принятые вами решения должны соответствовать опубликованным правительственным стандартам.
Федеральные стандарты криптографии
Для организаций не оборонного и не разведывательного профиля все технические стандарты для федеральных компьютерных систем устанавливаются в документах федеральных стандартов по обработке информации (FIPS – Federal Information Processing Standard). Национальный институт стандартов и технологий (NIST – National Institute of Standards and Technology) сопровождает эту документацию, а также является высшей инстанцией при работе с федеральной документацией. Федеральные стандарты криптографии входят как составная часть в издание FIPS 140-2, а последняя поправка была проведена в июне 2001 года (при написании этой книги). В приложении Б представлено больше информации о том, как получить документы издания FIPS 140-2, а также другие документы.
В качестве дополнения к вопросам, связанным с руководством, в правилах может быть рассмотрено физическое управление аппаратными средствами и программным обеспечением, используемыми в системах шифрования. Поскольку физическая безопасность – важный аспект полной программы информационной безопасности, обеспечение защиты от физического доступа к аппаратным средствам также имеет большое значение. Прежде всего, если организация использует аппаратуру для шифрования, то данные, входящие и исходящие из устройства, на каком-то этапе могут быть прочитаны. Поэтому необходимо учесть следующие вопросы в правилах физической защиты.
- Требования к аппаратных средствам по защите от несанкционированного вмешательства.
- Физическое блокирование устройства с использованием настоящего ключа.
- Размещение охраны возле оборудования сети, включая физическую защиту аппаратных средств и сетевых соединений с этими средствами.
- Защиту хранилища носителей с программными дистрибутивами.
Если у читателя возникают какие-либо вопросы, то в издании FIPS 140-2 (см. "Федеральные стандарты криптографии") также описываются требования по физической защите устройств криптографии. Несмотря на то, что это требования федерального правительства, они могут применяться и в неправительственной сфере.