какие события относятся к компрометации криптоключей
Раздел 6. Действия при компрометации криптоключей
6. Действия при компрометации криптоключей
6.1. Администратор СКЗИ при выдаче Сертификата передает Пользователю УЦ пароль для авторизации в системе ViPNet. Этот пароль может использоваться для экстренной связи в случае компрометации закрытых ключей. Конфиденциальность пароля обеспечивает Пользователь УЦ.
6.2. К обстоятельствам, указывающим на возможную компрометацию криптоключей, но не ограничиваясь ниже указанными, относятся:
потеря ключевых носителей с рабочими или резервными криптоключами, в том числе с их последующим обнаружением;
прекращение трудового или иного договора с работниками, имевшими доступ к рабочим или резервным криптоключам;
возникновение подозрений относительно утечки информации или ее искажения;
нарушение целостности печатей на сейфах (металлических шкафах),в которых хранятся ключевые носители с рабочими или резервными криптоключами, если используется процедура опечатывания сейфов;
утрата ключей от сейфов (их дубликатов) в момент нахождения в них ключевых носителей с рабочими или резервными криптоключами;
временный доступ посторонних лиц к ключевым носителям, а также другие события, при которых достоверно не подтверждено отсутствие доступа к ключевым носителям посторонних лиц.
6.3. В случае возникновения обстоятельств, указанных в п. 6.2 настоящего Регламента, и иных обстоятельств, указывающих на возможную компрометацию криптоключей, Пользователь УЦ обязан незамедлительно информировать Администратора СКЗИ об известных ему обстоятельствах, указывающих на возможную компрометацию криптоключей, посредством телефонной связи с использованием соответствующего пароля или иным возможным способом и прекратить обмен электронными документами с использованием скомпрометированных закрытых криптоключей.
6.4. В случае факта компрометации криптоключей ответственный за эксплуатацию СКЗИ абонента в течение рабочего дня оформляет заявку об отзыве Сертификата по форме приложению 5 к настоящему Регламенту, которая удостоверяется подписью руководителя абонента с приложением оттиска печати, и направляет его в СКФОМС. Заявка об отзыве Сертификата содержит следующую информацию:
идентификационные параметры скомпрометированного криптоключа;
фамилию, имя, отчество Пользователя УЦ;
сведения об обстоятельствах компрометации криптоключа;
время и дата выявления факта компрометации криптоключа.
6.5. Администратор СКЗИ незамедлительно по получению информации о компрометации криптоключа Пользователя УЦ выводит из действия Сертификат, соответствующий скомпрометированному закрытому криптоключу (прекращает обмен электронными документами с использованием Сертификата, соответствующего скомпрометированному закрытому криптоключу). Отозванный Сертификат, помещается в СОС.
6.6. Датой, начиная с которой Сертификат признается недействительным, является день поступления в СКФОМС Заявки об отзыве Сертификата.
6.7. Сертификат, соответствующий скомпрометированному закрытому криптоключу, хранится СКФОМС в течение установленного срока хранения электронных документов, в том числе для проведения разбора конфликтных ситуаций, связанных с применением ЭЦП.
6.9. Использование СКЗИ возобновляется после ввода в действие закрытого криптоключа взамен скомпрометированного.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
5. Приказ ФАС России от 16.07.2020 N 658/20 «Об обращении со средствами криптографической защиты информации»
5. Действия в случае компрометации ключей
5. Действия в случае компрометации ключей 
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.
К компрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением;
3) возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
Что представляет собой компрометация ключей электронной подписи?
В этом споре суд встал на сторону клиента, указав, что компания своевременно известила банк о факте компрометации ключа электронной подписи доступным для него способом, в связи с чем банк должен был прибегнуть к осуществлению дополнительных мероприятий с целью установления действительного волеизъявления клиента на совершение спорных операций.
Вместе с тем, денежные средства были списаны. Решением Арбитражного суда города Москвы от 22.07.2015, оставленным без изменения постановлением Девятого арбитражного апелляционного суда от 19.10.2015, с ОАО «СБЕРБАНК РОССИИ» в пользу ООО «ГОРДОРСТРОЙ» взысканы денежные средства в размере 88 404 416 руб. 67 коп., из которых 86 000 000 руб. — сумма убытков, 2 404 416 руб. 67 коп. — проценты за пользование чужими денежными средствами.
Но существует и противоположная практика. В Определении Верховного Суда РФ от 17.12.2015 № 303-ЭС15-16315 по делу № А51-35104/2014 суд отказал в возмещении убытков, поскольку на момент приема к исполнению распоряжений клиента, а также на момент списания денежных средств с его счета сообщений заявителя в банке еще не имелось.
Данные случаи показывают, насколько серьезно нужно относиться к вопросам компрометации.
Причинами компрометации могут быть совершенно различные факторы, начиная от потери ключей, увольнения сотрудников, которые передают информацию о ключах конкурентам и мошенникам, и заканчивая утечками информации, использованием специальных технических средств.
Что это такое – компрометация ключа электронной подписи
Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.
Понятие
Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.
Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:
Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
Аудит СКЗИ и криптоключей
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Термины и определения
В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.
Методика аудита и ожидаемые результаты
Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:
Приведем основные зависимости, которые нам в этом помогут:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
План аудита
