ISO IEC 19790-2025 PDF

Полное наименование и описание

ISO/IEC 19790:2025 — Информационная безопасность, кибербезопасность и защита конфиденциальности — Требования к безопасности криптографических модулей. Стандарт задаёт требования безопасности для криптографических модулей (аппаратных, программных и смешанных), используемых в системах защиты чувствительной информации в ИКТ; определяет уровни защиты и области требований для оценки устойчивости модуля к атакам и неправильной эксплуатации.

Аннотация

Документ описывает до четырёх уровней безопасности для криптографических модулей и фиксирует требования по 11 областям (спецификация модуля; порты и интерфейсы; роли, сервисы и аутентификация; конечная модель состояний; физическая безопасность; рабочая среда; управление ключами; самопроверки; надёжность проектирования; смягчение побочных каналов и другие атаки и пр.). Стандарт предназначен для формализации требований, на основе которых проводятся тестирование и сертификация модулей.

Общая информация

• Статус: Опубликован (International Standard).
• Дата публикации: 26 февраля 2025 г.
• Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC), технический комитет ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030 (Информационные технологии — безопасность).
• Редакция / версия: Издание 3 (2025).
• Количество страниц: 80 страниц.

Область применения

Стандарт применяется при разработке, анализе, тестировании и сертификации криптографических модулей, используемых в защищённых системах передачи, хранения и обработки информации: специализированные аппаратные модули, встроенные устройства, микропрограммы, криптопроцессы в ПО и т.п. Он ориентирован на широкий спектр сред эксплуатации — от охраняемых помещений до полностью открытых окружений — и предназначен для определения требуемого уровня защиты в зависимости от чувствительности данных и угроз.

Ключевые темы и требования

• Четыре уровня безопасности с возрастающими требованиями (Security Levels 1–4) для покрываемых областей.
• Определение 11 областей требований: спецификация модуля; порты и интерфейсы; роли/сервисы/аутентификация; конечная модель состояний; физическая безопасность; операционная среда; управление ключами; самопроверки; проектная надёжность; смягчение побочных каналов; дополнительные меры защиты.
• Требования к управлению и хранению криптографических ключей, процедурам генерации, импорта/экспорта, уничтожения и резервного копирования.
• Физические и логические меры защиты (защита корпуса, реакция на вскрытие, защитные механизмы против побочных каналов и других атак).
• Самотесты и процедуры инициализации/восстановления для подтверждения корректности работы модуля.
• Требования к документации и спецификациям модуля, включая описания интерфейсов и ограничений эксплуатации.
• Взаимосвязь с методиками тестирования, описанными в стандартах тестирования (например, ISO/IEC 24759:2025).

Применение и пользователи

Основные пользователи стандарта: разработчики и производители криптографических модулей, лаборатории по тестированию и подтверждению соответствия, органы сертификации, интеграторы систем безопасности, государственные и регулирующие организации, заказчики и специалисты по закупкам безопасности. Стандарт служит основой для требований к продуктам и для оценки соответствия при сертификации.

Связанные стандарты

Ключевые связанные документы: ISO/IEC 24759:2025 — требования к тестированию криптографических модулей (методы проверки соответствия требованиям ISO/IEC 19790:2025); прежние редакции ISO/IEC 19790 (2012, 2006) — выведены из употребления; технические спецификации и руководства ISO/IEC JTC 1/SC 27; национальные стандарты и программы (например, FIPS 140-3 в США, который исторически ссылался на ISO/IEC 19790/24759).

Ключевые слова

криптографический модуль, безопасность, криптография, управление ключами, физическая безопасность, тестирование, сертификация, ISO/IEC JTC 1/SC 27, уровни безопасности, ISO/IEC 19790.

FAQ

В: Что это за стандарт?

О: Международный стандарт, формализующий требования безопасности для криптографических модулей (аппаратных и программных) — ISO/IEC 19790 в редакции 2025 года.

В: Что он регулирует?

О: Он определяет набор требований (по 11 областям) и четыре уровня безопасности для оценки и классификации криптографических модулей, включая физические, логические и процедурные меры защиты, а также требования к управлению ключами и самотестам.

В: Кто обычно использует?

О: Производители модулей, поставщики встроенных криптосистем, испытательные лаборатории, органы сертификации, интеграторы, правительства и организации с высокими требованиями к защите данных.

В: Он актуален или заменён?

О: Редакция 2025 года является действующей (опубликована в феврале 2025 г.) и заменила предыдущую редакцию 2012 года, которая выведена из обращения. Для процедур тестирования актуален связанный стандарт ISO/IEC 24759:2025.

В: Это часть серии?

О: Да. ISO/IEC 19790 входит в набор документов по безопасности криптографических модулей и связан с ISO/IEC 24759 (тестирование), а также с другими публикациями JTC 1/SC 27 и национальными требованиями (например, FIPS 140‑3). Кроме того, могут существовать технические спецификации и руководства для полевой проверки и процедур (например, ISO/IEC TS 20540 и пр.).

В: Какие ключевые слова?

О: криптографический модуль, управление ключами, физическая защита, самопроверки, уровни безопасности, тестирование, сертификация, ISO/IEC JTC 1/SC 27.