Политика за криптографски контролни мерки – SME

Политиката P18S за криптографски контролни мерки е специализирана политика, разработена за малки и средни предприятия (SME), ясно адаптирана към опростени роли и процеси, най-вече ролята „генерален мениджър“, вместо специфични за предприятията длъжности като CISO или Център за операции по сигурността (SOC). Тя гарантира, че тези организации внедряват устойчиви криптографски контролни мерки, които защитават поверителност, цялостност, наличност и автентичност на бизнес и лични данни. Основната цел на тази политика е да дефинира задължителни изисквания за шифроване и други криптографски мерки, като се съгласува директно с нуждите за сертифициране по ISO/IEC 27001:2022 и регулаторни рамки като GDPR, Директива NIS2 и EU DORA. Обхватът на политиката включва целия персонал, включително служители, изпълнители и трети страни, които боравят с данни на компанията, и покрива всяка бизнес система, крайна точка или облачна платформа, която съхранява, пренася или осъществява достъп до поверителна информация. Тя се прилага за всички данни, класифицирани съгласно политиката на компанията за класификация на данни, и обхваща криптографски контролни мерки като методи за шифроване, сертификати, ключове, пароли и модули за сигурност. Изискванията за защита се разпростират върху данни в покой, при пренос и при използване, включително шифроване за резервни копия, електронна поща, външни трансфери и уебсайтове на организацията. Целите на политиката са ясни: защита на чувствителни и регулирани данни с подходящи криптографски мерки; установяване на правомощия, отчетност и отговорности за избор на инструменти, конфигурация и управление на ключове; и осигуряване на силни превантивни контроли срещу неоторизиран достъп, подправяне или загуба на данни. Политиката подчертава стриктното спазване на правни и регулаторни задължения, изискващи шифроване, и поддържа значимостта на ефективното управление на сертификати и ключове за оперативната сигурност. Ролите и отговорностите са оптимизирани за контекста на SME: генералният мениджър (GM) поема собствеността върху политиката и осъществява надзор върху прилагането и одобрението на изключения. Доставчикът на ИТ поддръжка или вътрешен ИТ администратор управлява ежедневната експлоатация и поддръжка на технологиите за шифроване, сертификатите и защитата на резервните копия. Координаторът по защита на личните данни или сигурността осигурява текущо съответствие със задълженията за защита на данните, управление на риска и правна защита. Всички служители и изпълнители са длъжни да спазват одобреното използване на шифроване и не трябва да заобикалят какъвто и да е механизъм за сигурност. Ключовите характеристики на управлението включват годишен преглед на политиката (или при значително нарушение или промяна), пълна документация на всички дейности по шифроване/управление на ключове и строги изисквания за използване на индустриално стандартни криптографски алгоритми (като AES-256, RSA 2048 и TLS 1.2 или по-нов). Несигурни протоколи трябва да бъдат блокирани, а всички ключове трябва да се съхраняват сигурно с контролиран, регулярно преглеждан достъп, никога в обикновен текст. Шифроването на резервните копия, управлението на сертификати, планирането на рискови сценарии и добре документиран процес за управление на изключенията са централни изисквания. Нарушенията водят до определени последствия, а всички криптографски откази се регистрират, разследват и се предприемат действия за реагиране като част от процедурите за обработване на нарушения. Тази политика съответства на шаблона за SME, което я прави особено подходяща за организации с по-малко ресурси или персонал, специализиран по сигурността, като същевременно осигурява пълно съгласуване с ISO/IEC 27001:2022 и приложимите регулаторни изисквания.