Политика за криптографски контролни мерки

Политиката за криптографски контролни мерки (P18) установява задължителните контроли, които управляват използването на криптографски механизми в цялата организация, за да се гарантира поверителност, цялостност и наличност (CIA) и автентичност на цялата чувствителна и регулирана информация. Като признава, че криптографията е основополагаща за сигурни комуникации, регулаторно съответствие и защита на данните, тази политика описва детайлни изисквания, съгласувани с водещи глобални стандарти и развиващи се регулаторни изисквания. Основната цел е да се гарантира, че подходящи криптографски методи се прилагат последователно навсякъде, където чувствителни данни се предават, обработват или съхраняват, като се изгражда организационно доверие и се подпомагат сигурни операции във всички бизнес домейни. Политиката се прилага в цялата организация и обхваща всички бизнес функции, целия персонал и съответните доставчици на услуги на трети страни, ангажирани с криптографски операции. Покритието се разпростира върху продукционна среда, разработка, staging, системи за резервно копиране и среда за аварийно възстановяване, с изрично позоваване на системи, обработващи поверително, строго поверително или регулирани данни. Криптографските случаи на употреба включват симетрично и асиметрично шифроване, цифрови подписи, сигурно хеширане и шифроване на ниво приложно-програмни интерфейси (API), както и надеждно генериране, разпространение и унищожаване на ключове, включително технологии като хардуерни модули за сигурност (HSM), доверени платформени модули (TPM) и системи за управление на ключове (KMS). Установява се силна рамка за управление, ръководена от мениджъра по информационна сигурност или директора по информационна сигурност (CISO), който е собственик на политиката и гарантира съответствието ѝ с ISO/IEC 27001:2022 Annex A Control 8.24, наред с други. Ръководителят на криптографските операции поддържа списък на одобрените криптографски методи (ACML) и регистър за управление на ключове, като ръководи прегледа и интеграцията на нови технологии. Преките ръководители, системни администратори, собственикът на актив, разработчици и доставчици на услуги на трети страни получават ясни отговорности за одобрение, конфигуриране, прилагане и преглед на криптографските контролни мерки в своите области. Задължителни са годишни прегледи и прегледи на криптографския дизайн (CDR) за всички нови или модифицирани внедрявания, като се гарантира съгласуваност с текущите заплахи и регулаторните изисквания. Изискванията за внедряване на политиката са всеобхватни. Могат да се използват само одобрени от организацията алгоритми и протоколи, включително AES-256 за симетрично шифроване, RSA 2048+/ECC за асиметрично, SHA-256/SHA-3 за хеширане и TLS 1.2+ за транспорт. Дефиниран е формален, централно управляван процес за управление на ключове, който обхваща сигурно генериране, съхранение, използване, ротация, отнемане, унищожаване и подновяване на сертификати. Разделение на задълженията и двойно попечителство за чувствителни операции осигуряват отчетност и намаляват риска от вътрешни заплахи, докато непрекъснатият мониторинг идентифицира изтичане на сертификати, използване на остарели шифри и неоторизиран достъп до ключове. Третирането на риска, изключенията и прилагането е строго. Отклонение от стандартните алгоритми изисква документиран процес на одобрение, включително оценка на риска и компенсиращи контролни мерки. Годишният одит на криптографските контролни мерки, строгата ескалация при несъответствие или компрометиране на ключове и формалните дисциплинарни или договорни мерки са стандартна процедура. Политиката се преглежда и актуализира регулярно в отговор на нови криптографски уязвимости, регулаторни промени, оперативни одити или значими надстройки на инструменти, с централизирана комуникация и контрол на версиите чрез регистър за контрол на документи на СУИС.