"РУКОВОДЯЩИЙ ДОКУМЕНТ. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ " (Утв. Приказом Гостехкомиссии РФ от 19.06.2002 N 187)
Д.1. Управление криптографическими ключами (FCS_CKM)
Замечания для пользователя
Криптографическими ключами необходимо управлять на протяжении всего их существования. Основными этапами жизненного цикла криптографических ключей являются: генерация, распределение, ввод в действие, хранение, доступ (например, к резервному копированию, передаче на хранение, архивации и восстановлению) и уничтожение.
Обязательно присутствуют три стадии: генерация, хранение и уничтожение. Наличие других стадий зависит от принятой стратегии управления ключами. Поскольку ОО не обязательно используют на всех этапах жизненного цикла ключей, то им может выполняться, например, только генерация и уничтожение криптографических ключей.
Семейство FCS_CKM предназначено для поддержки жизненного цикла и поэтому определяет требования к следующим действиям с криптографическими ключами: генерация, распределение, доступ к ним и их уничтожение. Это семейство следует использовать в случаях, когда имеются функциональные требования управления криптографическими ключами.
Если в ПЗ/ЗБ включен компонент семейства FAU_GEN "Генерация данных аудита безопасности", то аудиту следует подвергать события, связанные с:
а) атрибутами объекта, которые могут содержать сведения о пользователе данного криптографического ключа, роли пользователя, криптографических операциях, в которых используется данный криптографический ключ, идентификаторе криптографического ключа и его сроке действия;
б) параметрами объекта, включая значения криптографического ключа (ключей), за исключением любой чувствительной информации, например секретных или приватных криптографических ключей.
Для генерации криптографических ключей обычно используют случайные числа. Тогда вместо FIA_SOS.2 "Генерация секретов ФБО" следует использовать компонент FCS_CKM.1. Компонент FIA_SOS.2 следует применять, когда генерация случайных чисел требуется для иных целей.
FCS_CKM.1. Генерация криптографических ключей
Замечания по применению для пользователя
Компонент FCS_CKM.1 содержит требования по определению длины криптографических ключей и метода их генерации, что может быть сделано в соответствии с некоторыми принятыми стандартами. Его следует использовать для определения длины криптографических ключей и метода (т.е. алгоритма) их генерации. Для одного и того же метода и нескольких значений длины ключа этот компонент требуется использовать только один раз. Длина ключа может быть одной и той же или разной для различных сущностей, а также быть либо входным, либо выходным значением алгоритма.
Операции
Назначение
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить, какой алгоритм генерации криптографических ключей будет использоваться.
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить, какой длины криптографические ключи будут использоваться. Следует, чтобы длина ключа соответствовала выбранному алгоритму и предполагаемому применению ключа.
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод генерации криптографических ключей. При этом можно как ссылаться, так и не ссылаться на одни или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.2. Распределение криптографических ключей
Замечания по применению для пользователя
Компонент FCS_CKM.2 содержит требование определения метода распределения ключей, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.2.1 автору ПЗ/ЗБ следует определить, какой метод используется для распределения криптографических ключей.
В FCS_CKM.2.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод распределения криптографических ключей. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.3. Доступ к криптографическим ключам
Замечания по применению для пользователя
Компонент FCS_CKM.3 содержит требование определения метода доступа к криптографическим ключам, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить используемый тип доступа к криптографическим ключам. Примерами операций с криптографическими ключами, к которым предоставляется доступ, являются (но не ограничиваются ими): резервное копирование, архивирование, передача на хранение и восстановление.
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить, какой метод будет использоваться для доступа к криптографическим ключам.
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить стандарт, в котором описан используемый метод доступа к криптографическим ключам. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.4. Уничтожение криптографических ключей
Замечания по применению для пользователя
Компонент FCS_CKM.4 содержит требование определения метода уничтожения криптографических ключей, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.4.1 автору ПЗ/ЗБ следует определить, какой метод будет использован для уничтожения криптографических ключей.
В FCS_CKM.4.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод ликвидации криптографических ключей. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.