Статья: Жизненный цикл криптосредств: план смены ключей, учёт носителей и уничтожение материалов

Специалистам в области информационной безопасности неоднократно приходится сталкиваться с ситуациями, когда компании пренебрегают управлением криптосредствами — ключами шифрования, сертификатами и токенами. Это часто приводит к серьезным утечкам данных и финансовым потерям. В России в 2025 году объем утекших персональных данных достиг 13 миллиардов строк за первые восемь месяцев, что в четыре раза больше, чем за весь предыдущий год, по данным ГК «Солар».

Такие инциденты подчеркивают важность правильного подхода к жизненному циклу криптосредств. Согласно приказу ФСБ России № 117 от 18 марта 2025 года, в государственных информационных системах требуется строгий контроль за криптозащитой, включая регулярную смену ключей и учет носителей. Аналогичные требования вводит приказ ФСТЭК России № 117 от 11 апреля 2025 года для защиты информации в ГИС и иных системах. Давайте разберем, какие этапы включает в себя жизненный цикл криптосредств, а также рассмотрим практические рекомендации, основанные на отечественных стандартах, которые помогут вашему бизнесу избежать рисков.

План смены ключей и системный подход к обновлению

Ключи шифрования — основа защиты данных, но, к сожалению, со временем они могут быть скомпрометированы или стать уязвимыми из-за развития методов взлома.

На практике без плана смены компании сильно рискуют. По статистике Роскомнадзора, в первом полугодии 2025 года зафиксировано 35 фактов утечки баз данных. Чтобы избежать таких последствий, стоит предпринять следующие меры:

1. Оцените текущие ключи (проанализируйте их тип для VPN, баз данных, срок службы и возможные угрозы).
2. Разработайте график.
3. Организуйте процесс.
4. Зафиксируйте действия.

Учет носителей

Носители криптосредств, такие как USB-токены, смарт-карты или аппаратные модули — это физические объекты, которые легко потерять или украсть. Приказ ФСБ № 117 требует их инвентарного учета в системах с конфиденциальной информацией. Без этого риск утечек возрастает.

Чтобы организовать учет необходимо:

Создание и ведение реестра

• Включите обязательные параметры: серийный номер, тип носителя (USB-токен, смарт-карта, аппаратный модуль), дата выдачи, назначение, ответственный сотрудник и статус (выдан, возвращен, утерян, заблокирован).
• Используйте автоматизированные системы учета, интегрированные с системами контроля доступа и управлением ключами, для повышения точности и эффективности.

Формализованный процесс выдачи и возврата

• Выдача носителей должна происходить только по согласованию и под роспись, что обеспечивает однозначную ответственность.
• Сотруднику предоставляется только тот набор носителей и прав, который необходим для выполнения его служебных обязанностей (принцип минимальных привилегий). На уровне администратора допускается более расширенный доступ, с обязательным контролем.

Оперативные проверки и аудит

• Ежеквартальные проверки состояния и наличия всех носителей позволяют своевременно выявлять утерянные или неиспользуемые устройства.
• В случае утери или кражи необходимо незамедлительно заблокировать устройство и сменить связанные с ним криптографические ключи, чтобы предотвратить возможные злоупотребления.

Обеспечение безопасного хранения

• Ведение журнала обращений и перемещений носителей способствует быстрому выявлению несоответствий и формирует прозрачный след действий.

Обучение и процедуры реагирования

• Регулярное обучение сотрудников по вопросам учета и обращения с носителями помогает снизить уровень ошибок.
• Разработайте четкий план действий при утере или компрометации носителя, что ускорит принятие обеспечения мер защиты.

Комплексный и систематический учет носителей криптосредств является важнейшим условием обеспечения их безопасного использования и защиты конфиденциальных данных. Внедрение современных методов учета, автоматизация процессов и строгий контроль доступа позволяют минимизировать риски утечки и злоупотреблений, что соответствует как требованиям нормативных актов, так и лучшим мировым практикам в области информационной безопасности.

Уничтожение материалов

Эффективное уничтожение устаревших или скомпрометированных криптографических материалов — это ключевой компонент жизненного цикла криптосредств и важнейшая мера обеспечения информационной безопасности. Несоблюдение правил утилизации увеличивает риск восстановления или несанкционированного доступа к защищенной информации, что может привести к утечкам, нарушению требований нормативных актов и потере доверия клиентов.

Рассмотрим используемые методы уничтожения материалов:

Криптографическое стирание (удаление ключей и зашифрованных данных)

• Рекомендуется перезаписать память несколькими случайными наборами данных (минимум три раза). Эта мера значительно усложняет восстановление оригинальных данных с помощью специализированных методов восстановления данных на уровне физического носителя.

Физическое разрушение

• Для магнитных носителей (жесткие диски, магнитные ленты) подходит измельчение до частиц размером менее 2 мм или демагнетизация (демагнетизация), что нарушает магнитные свойства носителя.
• Для флеш-накопителей и твердотельных устройств используется механическое разрушение — измельчение или уничтожение с использованием специальных технологий (например, шредеры с высоким классом защиты), или термическое воздействие.
• Стандарты ФСБ требуют использования сертифицированных методов, что гарантирует невозможность восстановления данных.

Программное уничтожение

• Для современных SSD рекомендуется выполнение команд полной очистки с последующей проверкой эффективности процедуры.
• Использование специализированных утилит, поддерживаемых производителями устройств, увеличивает степень надежности уничтожения.

Контроль и протоколирование

• Вся процедура должна быть зафиксирована в акте уничтожения, где указываются метод, дата, участники и сертификация метода.
• Архивирование данных об уничтожении это обязательное действие, рекомендуемое хранение минимум 5 лет, что обеспечивает возможность последующих проверок и подтверждения соответствия требованиям нормативных актов.

Только комплексный подход к уничтожению криптографических материалов позволит в полной мере минимизировать риски информационной безопасности. Внедрение передовых методов и строгая фиксация процедур обеспечивают непрерывность защиты в рамках жизненного цикла криптосредств и соответствие законодательству.

Заключение

Эффективное управление жизненным циклом криптосредств — это фундаментальный аспект обеспечения информационной безопасности в современных организациях. Практически реализуемые меры, такие как автоматизация процедур, внедрение систем контроля и протоколирования, а также обеспечение физической и криптографической безопасности несут в себе минимизацию рисков утечки или компрометации, а также повышение доверия со стороны партнеров и регуляторов. Важным элементом является также подготовка квалифицированных специалистов и создание систем реагирования на чрезвычайные ситуации, связанные с потерей или повреждением носителей.

Комплексный подход к жизненному циклу криптосредств способствует формированию устойчивой системы информационной безопасности, которая может адаптироваться к быстро меняющимся угрозам и технологическим вызовам. В результате организации получают не только защиту своих активов, но и возможность соблюдать все законодательные и нормативные требования, что в конечном итоге способствует укреплению деловой репутации и устойчивости бизнеса.

Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность.