10 Phát triển và duy trì hệ thống
10.3.5.2 Các tiêu chuẩn, các thủ tục và phương pháp
Một hệ thống quản lý khóa nên được dựa trên một bộ các tiêu chuẩn, thủ tục và biện pháp an ninh được thoả thuận cho việc:
a) phát khóa cho các hệ thống mã hố khác nhau và các ứng dụng khác nhau; b) phát và dành được các chứng chỉ khóa cơng cộng;
c) phân phối khóa cho người sử dụng dự định, bao gồm việc các khóa được kích hoạt khi được nhận như thế nào;
d) lưu giữ các khóa, bao gồm việc người sử dụng đạt được truy cập khóa như thế nào;
e) thay đổi hoặc cập nhật các khóa bao gồm các quy tắc khi các khóa được thay đổi và sẽ được làm thế nào;
f) xử lý các khóa bị tổn hại;
g) thu hồi các khóa bao gồm việc các khóa bị rút hoặc mất tác dụng như thế nào, ví dụ khi cá khóa bị tổn hại hoặc khi một người sử dụng rời tổ chức (trong trường hợp đó các khóa cũng nên được lưu trữ lại);
h) thu hồi các khóa bị mất hoặc sai lạc như một phần của quản lý tính liên tục trong kinh doanh, ví dụ khơi phục thơng tin mật mã;
i) lưu trữ các khóa, ví dụ các thơng tin được lưu giữ hoặc sao chép dự phịng; ỵ) huỷ các khóa;
k) ghi nhật ký và kiểm tra sổ quản lý khóa liên quan đến các hoạt động.
Để giảm tổn thất có thể xẩy ra, cá khóa nên xác định các ngày có hiệu lực và hết hiệu lực, như vậy chúng chỉ có thể bị sử dụng trong một thời gian giới hạn. Khoảng thời gian này nên phụ thuộc vào từng trường hợp theo đó kiểm sốt mã hố được sử dụng và nhận biết rủi ro.
Các thủ tục có thể cần được cân nhắc đê giải quyết cá yêu cầu pháp lý đối với việc truy cập khóa mã hố, ví dụ các thơng tin được mật mã hố có thể cần có ghi trong một dạng khơng mật mã như một chức cứ trong một vụ kiện.
Bên cạnh vấn đề các khóa bí mật và cá nhân tư được quản lý an tồn, việc bảo vệ cá khóa cơng cộng cũng nên được xem xét. Có một mối đe doạ về việc ai đó giả mạo chữ ký điện tử băng việc thay thế một khóa cơng cộng của người sử dụng với khóa của họ. Vấn đề này được định vị bằng việc sử dụng một chứng chỉ khóa cơng cộng. Các chứng chỉ này nên được tạo ra bằng cách trói buộc thơng tin độc nhất liên quan tới người sở hữu cặp khóa cơng cộng/cá nhân với khóa cơng cộng. Như vậy điều quan trọng là q trình quản lý cấp phát các chứngchỉ này có thể tin được. Q trình này được thực hiện thơng thường bằng việc cấp quyền chứng nhận từ một tổ chức được cơng nhận với các kiểm sốt và thủ tục phù hợp để đưa ra mức độ tin cậy yêu cầu.
Nội dung của cá thoả thuận hoặc hợp đồng mức dịch vụ với cá nhà cung cấp bên ngoài các dịch vụ mã hố, ví dụ với một quyền chứng nhận nên gồm các vấn đề về trách nhiệm pháp lý, sự tin cậy của các dịch vụ và thời gian trả lời cho việc cung cấp các dịch vụ (xem 4.2.2).