Kiedy stosujemy ochronę kryptograficzną informacji niejawnych
Ochrona kryptograficzna jest jednym z elementów ochrony informacji niejawnych, zabezpieczenia kryptograficzne stosuje się przy transmisji poza strefy ochronne lub podczas przekazywania informacji niejawnych na nośnikach informatycznych poza strefy ochronne.
Opis stosowanych urządzeniach lub narzędziach kryptograficznych należy zawrzeć w dokumencie „szczególnych wymagań bezpieczeństwa” SWB, natomiast sposób zarządzanie materiałami kryptograficznymi w dokumencie „procedur bezpiecznej eksploatacji” PBE. Należy jednak zauważyć, że nie wszystkie systemy wymagają zastosowania środków ochrony kryptograficznej, na przykład pojedyncze stanowisko komputerowe nie połączone z innymi komputerami, sieciami publicznymi oraz innymi systemami teleinformatycznymi, umieszczone w strefie ochronnej.
W szczególnie uzasadnionych przypadkach, biorąc pod uwagę wyniki szacowania ryzyka dla bezpieczeństwa informacji niejawnych, środki ochrony kryptograficznej mogą zostać uzupełnione lub zastąpione zabezpieczeniami innymi niż kryptograficzne.
Opis ochrony kryptograficznej w procedurach
W procedurach należy przede wszystkim przedstawić sposób bezpiecznego:
-
generowania kluczy kryptograficznych
-
dystrybuowania kluczy kryptograficznych
-
certyfikowania kluczy kryptograficznych
- niszczenia kluczy kryptograficznych i innych materiałów krypto
a także:
- sposób i miejsce generowania wszystkich kluczy w systemie TI (sieciowych, sesyjnych, publicznych, prywatnych),
- sposób konfigurowania urządzeń kryptograficznych
- sposób serwisowania urządzeń
Dodatkowo:
- przeszkolić personel w zakresie ochrony kryptograficznej
- w odpowiedni sposób zastosować ochronę elektromagnetyczną dla urządzeń kryptograficznych.
Administrator materiałów kryptograficznych
Dobrą praktyką jest powołanie administratora materiałów kryptograficznych, który będzie odpowiedzialny za:
- zarządzanie materiałami kryptograficznymi
- generowanie, pobieranie od uprawnionych instytucji, ewidencjonowanie, zabezpieczenie materiałów krypto
- wydawanie użytkownikom materiałów krypto
- wprowadzanie do urządzeń materiałów krypto
- niszczenie lub archiwizowanie materiałów krypto
- prowadzenie dziennika działań