#Статьи Статья: Жизненный цикл криптосредств: план смены ключей, учёт носителей и уничтожение материалов Специалистам в области информационной безопасности неоднократно приходится сталкиваться с ситуациями, когда компании пренебрегают управлением криптосредствами — ключами шифрования, сертификатами и токенами. Это часто приводит к серьезным утечкам данных и финансовым потерям. В России в 2025 году объем утекших персональных данных достиг 13 миллиардов строк за первые восемь месяцев, что в четыре раза больше, чем за весь предыдущий год, по данным ГК «Солар». Такие инциденты подчеркивают важность правильного подхода к жизненному циклу криптосредств. Согласно приказу ФСБ России № 117 от 18 марта 2025 года , в государственных информационных системах требуется строгий контроль за криптозащитой, включая регулярную смену ключей и учет носителей. Аналогичные требования вводит приказ ФСТЭК России № 117 от 11 апреля 2025 года для защиты информации в ГИС и иных системах. Давайте разберем, какие этапы включает в себя жизненный цикл криптосредств, а также рассмотрим практические рекомендации, основанные на отечественных стандартах, которые помогут вашему бизнесу избежать рисков. План смены ключей и системный подход к обновлению Ключи шифрования — основа защиты данных, но, к сожалению, со временем они могут быть скомпрометированы или стать уязвимыми из-за развития методов взлома. На практике без плана смены компании сильно рискуют. По статистике Роскомнадзора, в первом полугодии 2025 года зафиксировано 35 фактов утечки баз данных. Чтобы избежать таких последствий, стоит предпринять следующие меры: Оцените текущие ключи (проанализируйте их тип для VPN, баз данных, срок службы и возможные угрозы). Разработайте график. Зафиксируйте действия. Учет носителей Носители криптосредств, такие как USB-токены, смарт-карты или аппаратные модули — это физические объекты, которые легко потерять или украсть. Приказ ФСБ № 117 требует их инвентарного учета в системах с конфиденциальной информацией. Без этого риск утечек возрастает. Чтобы организовать учет необходимо: Создание и ведение реестра Включите обязательные параметры: серийный номер, тип носителя (USB-токен, смарт-карта, аппаратный модуль), дата выдачи, назначение, ответственный сотрудник и статус (выдан, возвращен, утерян, заблокирован). Используйте автоматизированные системы учета, интегрированные с системами контроля доступа и управлением ключами, для повышения точности и эффективности. Формализованный процесс выдачи и возврата Выдача носителей должна происходить только по согласованию и под роспись, что обеспечивает однозначную ответственность. Сотруднику предоставляется только тот набор носителей и прав, который необходим для выполнения его служебных обязанностей (принцип минимальных привилегий). На уровне администратора допускается более расширенный доступ, с обязательным контролем. Оперативные проверки и аудит Ежеквартальные проверки состояния и наличия всех носителей позволяют своевременно выявлять утерянные или неиспользуемые устройства. В случае утери или кражи необходимо незамедлительно заблокировать устройство и сменить связанные с ним криптографические ключи, чтобы предотвратить возможные злоупотребления. Обеспечение безопасного хранения Ведение журнала обращений и перемещений носителей способствует быстрому выявлению несоответствий и формирует прозрачный след действий. Обучение и процедуры реагирования Регулярное обучение сотрудников по вопросам учета и обращения с носителями помогает снизить уровень ошибок. Разработайте четкий план действий при утере или компрометации носителя, что ускорит принятие обеспечения мер защиты. Комплексный и систематический учет носителей криптосредств является важнейшим условием обеспечения их безопасного использования и защиты конфиденциальных данных. Внедрение современных методов учета, автоматизация процессов и строгий контроль доступа позволяют минимизировать риски утечки и злоупотреблений, что соответствует как требованиям нормативных актов, так и лучшим мировым практикам в области информационной безопасности. Уничтожение материалов Эффективное уничтожение устаревших или скомпрометированных криптографических материалов — это ключевой компонент жизненного цикла криптосредств и важнейшая мера обеспечения информационной безопасности. Несоблюдение правил утилизации увеличивает риск восстановления или несанкционированного доступа к защищенной информации, что может привести к утечкам, нарушению требований нормативных актов и потере доверия клиентов. Рассмотрим используемые методы уничтожения материалов: Криптографическое стирание (удаление ключей и зашифрованных данных) Рекомендуется перезаписать память несколькими случайными наборами данных (минимум три раза). Эта мера значительно усложняет восстановление оригинальных данных с помощью специализированных методов восстановления данных на уровне физического носителя. Физическое разрушение Для магнитных носителей (жесткие диски, магнитные ленты) подходит измельчение до частиц размером менее 2 мм или демагнетизация (демагнетизация), что нарушает магнитные свойства носителя. Для флеш-накопителей и твердотельных устройств используется механическое разрушение — измельчение или уничтожение с использованием специальных технологий (например, шредеры с высоким классом защиты), или термическое воздействие. Стандарты ФСБ требуют использования сертифицированных методов, что гарантирует невозможность восстановления данных. Программное уничтожение Для современных SSD рекомендуется выполнение команд полной очистки с последующей проверкой эффективности процедуры. Использование специализированных утилит, поддерживаемых производителями устройств, увеличивает степень надежности уничтожения. Контроль и протоколирование Вся процедура должна быть зафиксирована в акте уничтожения, где указываются метод, дата, участники и сертификация метода. Архивирование данных об уничтожении это обязательное действие, рекомендуемое хранение минимум 5 лет, что обеспечивает возможность последующих проверок и подтверждения соответствия требованиям нормативных актов. Только комплексный подход к уничтожению криптографических материалов позволит в полной мере минимизировать риски информационной безопасности. Внедрение передовых методов и строгая фиксация процедур обеспечивают непрерывность защиты в рамках жизненного цикла криптосредств и соответствие законодательству. Заключение Эффективное управление жизненным циклом криптосредств — это фундаментальный аспект обеспечения информационной безопасности в современных организациях. Практически реализуемые меры, такие как автоматизация процедур, внедрение систем контроля и протоколирования, а также обеспечение физической и криптографической безопасности несут в себе минимизацию рисков утечки или компрометации, а также повышение доверия со стороны партнеров и регуляторов. Важным элементом является также подготовка квалифицированных специалистов и создание систем реагирования на чрезвычайные ситуации, связанные с потерей или повреждением носителей. Комплексный подход к жизненному циклу криптосредств способствует формированию устойчивой системы информационной безопасности, которая может адаптироваться к быстро меняющимся угрозам и технологическим вызовам. В результате организации получают не только защиту своих активов, но и возможность соблюдать все законодательные и нормативные требования, что в конечном итоге способствует укреплению деловой репутации и устойчивости бизнеса. Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность. Source: https://cisoclub.ru/statja-zhiznennyj-cikl-kriptosredstv-plan-smeny-kljuchej-uchjot-nositelej-i-unichtozhenie-materialov/