NIST выпустил Special Publication 800-130 «A Framework for Designing Cryptographic Key Management Systems», посвященный, как это видно из названия, вопросам дизайн ключевых систем для СКЗИ. 111 страниц достойнейшего чтива; и чтива публичного, не скрытого никакими грифами и ограничениями. Генерация ключей, активация ключей, регистрация владельцев ключей, деактивация ключей, перевыпуск ключей, отзыв ключей, блокирование ключей, уничтожение ключей, восстановление ключей, архивирование ключей, ввод ключей в криптографические модули и т.д. И это только часть раздела, посвященного криптоключам. Помимо него в документе описаны вопросы анализа защищенности, Disaster Recovery, тестирования и оценки качества, защиты ключей, совместимости, ролей и ответственности, политики использования и т.д.
ЗЫ. Кстати, криптографических ключей в документе описывается 21 тип! Я и не знал, что их столько бывает.
как можно руководствоваться 111 страницами?
а как же наша "розовая инструкция"?
Это ж Framework. Берите оттуда то, что вам нужно. Но мне структура понравилась — описывает реально то, что нужно. Вопрос управления ключами и сертификатами в сценариях, требующих юридически подтверждения транзакций или иных взаимодействий, очень важен. Так что проработать все вопросы, чтобы потом не кусать локти, стоит ДО, а не ПОСЛЕ
я не понял только одного — как этим будут руководствоваться те кто не совсем в теме
сам подобные отчеты по НИРам писал, т.е. как отчет годится, но как руководство — не очень
Он показывает, ЧТО надо не забыть в своем документе