КиберОценка

A.10.1: Криптографические средства защиты

Обеспечение надлежащего и эффективного использования криптографии

Подробное описание

Контроль A.10.1 требует разработки и внедрения политики применения криптографических средств для защиты конфиденциальности, подлинности и целостности информации. Организация должна определить, какие данные требуют криптографической защиты, выбрать соответствующие алгоритмы и методы шифрования, установить процедуры управления криптографическими ключами. Необходимо обеспечить соответствие криптографических решений законодательным требованиям и отраслевым стандартам, включая использование сертифицированных средств криптографической защиты информации (СКЗИ) при обработке персональных данных и государственной тайны.

Практические шаги внедрения

  1. 1

    Разработать политику криптографической защиты с классификацией данных, требующих шифрования (персональные данные, коммерческая тайна, аутентификационные данные)

  2. 2

    Утвердить перечень допустимых криптографических алгоритмов и протоколов (AES-256, RSA-2048+, TLS 1.3, избегать устаревших MD5, SHA-1, RC4)

  3. 3

    Внедрить процедуры управления жизненным циклом ключей: генерация с использованием криптостойких генераторов случайных чисел, безопасное хранение (HSM, key vault), ротация, уничтожение

  4. 4

    Обеспечить шифрование данных в покое (диски, базы данных, резервные копии) и при передаче (TLS/SSL для веб-трафика, VPN для удалённого доступа)

  5. 5

    Получить сертификаты ФСБ/ФСТЭК на СКЗИ при обработке персональных данных и конфиденциальной информации в соответствии с 152-ФЗ и приказами регуляторов

  6. 6

    Внедрить мониторинг использования криптографии: аудит истечения сертификатов, обнаружение слабых алгоритмов, контроль доступа к ключевому материалу

  7. 7

    Провести обучение сотрудников правилам работы с криптографическими средствами и ответственности за компрометацию ключей

Типичные нарушения

  • Использование устаревших или слабых алгоритмов шифрования (DES, 3DES, RC4) и хеш-функций (MD5, SHA-1) в продуктивных системах

  • Хранение криптографических ключей в открытом виде в конфигурационных файлах, скриптах, репозиториях кода или вместе с зашифрованными данными

  • Отсутствие процедур ротации ключей: использование одних и тех же ключей годами, в том числе после увольнения сотрудников с доступом

  • Применение несертифицированных СКЗИ для защиты персональных данных в нарушение требований 152-ФЗ и приказов ФСТЭК/ФСБ

  • Передача конфиденциальных данных по незашифрованным каналам (HTTP вместо HTTPS, FTP вместо SFTP, открытый SMTP)

Почему это важно

Криптография — последний рубеж защиты конфиденциальных данных при компрометации других контролей. Утечка незашифрованных персональных данных влечёт штрафы до 500 000 рублей для юридических лиц по ст. 13.11 КоАП, репутационный ущерб и потерю доверия клиентов. Использование слабой криптографии или некорректное управление ключами делает шифрование фиктивным — злоумышленники могут дешифровать данные методами брутфорса или получить доступ к скомпрометированным ключам, что приводит к массовым утечкам данных и нарушению требований регуляторов.

Проверяемые категории

SSL/TLSCertificate Transparency

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности