暗号情報保護と暗号キーの監査

情報セキュリティの観点から見ると、暗号化キーは重要なデータです。 以前に、会社を強奪するために、攻撃者がその領域、空き部屋、金庫に侵入しなければならなかった場合、暗号キーでトークンを盗み、インターネットクライアントバンクシステムを介して転送するだけで十分です。 暗号情報保護システム（CPSI）を使用したセキュリティの基盤は、暗号キーの機密性を維持することです。



しかし、あなたが知らない存在の機密性を確保する方法は？ キーを持つトークンを金庫に入れるには、トークンと金庫の存在を知る必要があります。 逆説的ですが、使用している重要なドキュメントの正確な数を把握している企業はほとんどありません。 これは、情報セキュリティに対する脅威の過小評価、確立されたビジネスプロセスの欠如、セキュリティ問題における人員の不十分な資格など、いくつかの理由で発生する可能性があります。 彼らは通常、 このような事件の後にこのタスクを思い出します。



この記事では、暗号通貨を使用して情報セキュリティを改善するための最初のステップについて説明します。より正確には、暗号情報保護と暗号キーの監査を実施するアプローチの1つを検討します。 ナレーションは情報セキュリティの専門家に代わって行われ、作業は最初から行われると想定します。

用語と定義

記事の冒頭で、準備のできていない読者を複雑な定義で怖がらせないように、暗号キーまたは暗号キーという用語を広範に使用しました。今度は、概念装置を改善し、現在の法律に合わせます。 これは、監査から取得した情報を効果的に構造化できるため、非常に重要なステップです。

1. 暗号化キー（暗号化キー） -特定の暗号化システムで可能なすべての中から1つの特定の暗号化変換の選択を提供するデータのコレクション（「ピンク命令- 2001年6月13日のFAPSI注文番号152 、以下FAPSI 152」からの定義）。
2. 鍵情報は、一定期間[FAPSI 152]の情報の暗号保護を実装するために設計された、特別に編成された暗号鍵のセットです。
   
   次の例で、暗号キーとキー情報の基本的な違いを理解できます。 HTTPSを編成すると、公開キーと秘密キーのキーペアが生成され、公開キーと追加情報から証明書が取得されます。 そのため、このスキームでは、証明書と秘密キーの組み合わせがキー情報を形成し、それぞれが暗号キーになります。 ここでは、次の簡単なルールに沿ってガイドできます。エンドユーザーは暗号化情報保護ツールで作業するときにキー情報を使用し、暗号化キーは通常、内部で暗号化情報保護ツールを使用します。 同時に、キー情報は1つの暗号通貨キーで構成できることを理解することが重要です。
3. キードキュメント -情報媒体上の電子ドキュメント、および暗号化（暗号化）手段で暗号化情報変換アルゴリズム（暗号化キー）を使用する暗号化情報変換のための制限付きアクセスのキー情報を含む紙文書。 （ 2012年4月16日付けの政府決定313の定義、以下PP-313と呼ぶ）
   
   簡単に言えば、キードキュメントはメディアに記録されたキー情報です。 キー情報とキー文書を分析する場合、キー情報が使用されている（つまり、暗号変換、暗号化、電子署名などに使用されている）ことに注意する必要があり、それを含むキー文書は従業員に送信されます。
4. 情報の暗号保護（CPSI）の手段-暗号化の手段、模倣の保護の手段、電子署名の手段、エンコードの手段、キー文書の作成手段、キー文書、ハードウェア暗号化（暗号化）ツール、ソフトウェアおよびハードウェア暗号化（暗号化）ツール [PP-313]
   
   この定義を分析するとき、キー文書という用語の存在を見つけることができます。 この用語は政府令で定められており、変更する権利はありません。 同時に、暗号変換を実装する手段のみがCIPFと呼ばれることに基づいて、さらなる説明が行われます。 このアプローチは監査を簡素化しますが、すべての主要なドキュメントをセクション内および独自の方法で考慮するため、品質に影響を与えることはありません。

監査方法と期待される結果

この記事で提案されている監査手法の主な特徴は、次の仮定です。

• 会社の従業員は、監査中に尋ねられた質問に正確に答えることができません。
• 既存のデータソース（リスト、レジスタなど）が正確でないか、構造が不十分です。

したがって、この記事で提案されている手法は一種のデータマイニングであり、その間、同じデータが異なるソースから抽出され、比較、構造化、および洗練されます。



これに役立つ主な依存関係は次のとおりです。

1. 暗号化情報が保護されている場合、重要な情報があります。
2. 電子文書管理がある場合（取引相手や規制当局を含む）、電子署名を使用し、その結果、暗号情報保護とキー情報を使用する可能性が高いです。
3. この文脈での電子文書管理は広く理解されるべきです。つまり、法的に重要な電子文書の直接交換、レポートの配信、支払いまたは取引システムでの作業などが含まれます。 電子文書管理のリストと形式は、会社のビジネスプロセスと適用される法律によって決定されます。
4. 従業員が電子文書管理に関与している場合、ほとんどの場合、彼は重要な文書を持っています。
5. 請負業者と電子文書管理を編成する場合、通常、責任者の任命に関する組織および管理文書（注文）が発行されます。
6. 情報がインターネット（または他のパブリックネットワーク）を介して送信される場合、ほとんどの場合、暗号化されています。 まず第一に、これはVPNとさまざまなリモートアクセスシステムに関係します。
7. 暗号化された形式でトラフィックを送信するプロトコルがネットワークトラフィックで見つかった場合、暗号化情報保護とキー情報が使用されます。
8. 情報保護ツールの提供、通信機器、腫れの転送サービスの提供、認証センターのサービスに従事する請負業者との和解が行われた場合、この相互作用によりCIPFまたはキー文書を取得できます。
9. 主要なドキュメントは、疎外されたメディア（フロッピーディスク、フラッシュドライブ、トークンなど）に保存するか、コンピューターやハードウェア暗号情報保護デバイス内に書き込むことができます。
10. 仮想化ツールを使用する場合、主要なドキュメントは仮想マシン内に保存でき、ハイパーバイザーを使用して仮想マシンにマウントできます。
11. ハードウェア暗号化情報保護システムは、サーバールームにインストールでき、ネットワーク経由で分析できない場合があります。
12. 一部の電子文書管理システムは非アクティブまたは非アクティブの場合がありますが、同時にアクティブなキー情報と暗号情報保護が含まれています。
13. 内部の規制および管理文書には、電子文書管理システム、暗号情報保護システム、および主要文書に関する情報が含まれる場合があります。

主な情報を抽出するには、次のことを行います。

• 従業員へのインタビュー。
• 社内の規制および管理文書を含む会社の文書、および支払注文を分析します。
• サーバールームと通信キャビネットの視覚的分析を実施します。
• 自動化されたワークステーション（AWS）、サーバー、仮想化ツールのコンテンツの技術分析を実施します。

後で特定の活動を策定しますが、ここでは、監査から取得する必要がある最終データを検討します。











CIPFのリスト：



リストの各要素について、次のデータを修正します。

1. CPSIモデル 。 たとえば、Crypto Crypto CSP 3.9、またはOpenSSL 1.0.1
2. CPSIインスタンスID 。 たとえば、シリアル、ライセンス（またはPKZ-2005による登録）SKZI番号
3. 有効期間の開始と終了の数と日付を含む、 CIPFでのロシアのFSBの証明書に関する情報 。
4. 暗号情報保護システムの操作の場所に関する情報 。 たとえば、ソフトウェアがインストールされているコンピューターの名前、ハードウェアまたはハードウェアがインストールされている部屋の名前。

この情報により、次のことが可能になります。

1. 暗号情報保護ツールの脆弱性を管理します。つまり、それらをすばやく検出して修正します。
2. 暗号化情報保護証明書で証明書の有効期間を追跡し、認証された暗号化情報保護証明書が文書で確立された規則に従って使用されているかどうかも確認します。
3. CIPFのコストを計画し、すでに稼働している量と、そこに残っている統合基金の数を把握します。
4. 規制レポートを作成します。

主要情報リスト：



リストの各要素について、次のデータを修正します。

1. キー情報の名前または識別子 。 たとえば、「キーは修飾されたEPです。 証明書のシリアル番号は31：2D：AFであり、キーを見つけるために使用できるように識別子を選択する必要があります。 たとえば、証明機関は、通知を送信するときに、通常、証明書番号でキーを識別します。
2. このキー情報を発行したキーシステム管理センター（CCM） 。 これは、認証機関など、キーを発行した組織である場合があります。
3. 名前キー情報が発行された個人 。 この情報は、X.509証明書のCNフィールドから抽出できます。
4. キー情報形式 。 たとえば、暗号情報保護システムCrypto PRO、暗号情報保護システムVerba-OW、X.509など（つまり、どのキー情報がどの暗号情報システムでの使用を目的としているのか）。
5. キー情報の割り当て 。 たとえば、「Sberbank ASTサイトでの入札への参加」、「レポート用の適格な電子署名」など。 テクノロジーの観点から、このフィールドでは、拡張キー使用法およびその他のX.509証明書のフィールドで修正された制限を修正できます。
6. 主要情報の始まりと有効期限 。
7. キー情報の再リリース順序 。 つまり、重要な情報を再発行するときに、何を行う必要があるか、どのように行うかについての知識です。 少なくとも、重要な情報を発行したMCCの役員の連絡先を記録することをお勧めします。
8. 主要な情報が使用される情報システム、サービス、またはビジネスプロセスのリスト 。 たとえば、「インターネットバンキング-銀行リモートバンキングシステム」。

この情報により、次のことが可能になります。

1. 重要な情報の有効期限を追跡します。
2. 必要に応じて、キー情報をすばやく再リリースします。 これは、計画的な再発行と計画外の再発行の両方で必要になる場合があります。
3. キー情報の発行先の従業員を解雇する際に、キー情報の使用をブロックします。
4. 「支払いを行うための鍵を持っていたのは誰か」などの質問に答えることで、情報セキュリティインシデントを調査します。

主要なドキュメントのリスト：



リストの各要素について、次のデータを修正します。

1. キー文書に含まれるキー情報 。
2. キー情報が記録されるキー情報キャリア 。
3. 鍵ドキュメントのセキュリティとそれに含まれる鍵情報の機密性を担当する人 。

この情報により、以下が可能になります。

1. 次の場合にキー情報を再リリースします。キー文書を保持している従業員の解雇、およびメディアの侵害の場合。
2. 重要な情報を含むメディアのインベントリを作成して、重要な情報の機密性を確保します。

監査計画

監査の機能を実際に検討するときが来ました。 これを行うには、金融機関の例を使用します。つまり、銀行の例を使用します。 この例は偶然に選ばれたものではありません。 銀行は、膨大な数のビジネスプロセスに関与するかなり多数の暗号化保護システムを使用しています。さらに、ほとんどすべての銀行は、ロシア連邦暗号サービスのライセンシーです。 さらに、この記事では、銀行に適用される暗号情報保護ツールと暗号キーの監査計画を提示します。 同時に、この計画は、ほぼすべての企業の監査を実施する際の基礎として使用できます。 わかりやすくするために、計画は複数の段階に分割されており、段階は順番にスポラーに折り畳まれています。

おわりに

この記事では、暗号情報の保護と暗号キーの監査を実施する理論と実践を検証しました。 これまで見てきたように、この手順は非常に複雑で時間がかかりますが、適切にアプローチすれば、かなり実現可能です。 この記事が実際の生活に役立つことを願っています。 ご意見をお寄せいただきありがとうございます。