Politika kryptografických opatření – SME

Politika kryptografických opatření P18S je specializovaná politika vytvořená pro malé a střední podniky (SME), jednoznačně přizpůsobená zjednodušeným rolím a procesům, zejména roli „General Manager“, namísto podnikových titulů jako CISO nebo SOC. Zajišťuje, aby tyto organizace implementovaly robustní kryptografická opatření, která chrání důvěrnost, integritu, dostupnost a autenticitu podnikových a osobních dat. Hlavním účelem této politiky je definovat povinné požadavky na šifrování a další kryptografická opatření v přímém souladu s potřebami certifikace ISO/IEC 27001:2022 a regulačními rámci, jako jsou GDPR, směrnice NIS2 a EU DORA. Rozsah politiky zahrnuje veškerý personál, včetně zaměstnanců, dodavatelů a třetích stran, kteří nakládají s firemními daty, a pokrývá každý podnikový systém, koncový bod nebo cloudovou platformu, která ukládá, přenáší nebo přistupuje k důvěrným informacím. Vztahuje se na veškerá data klasifikovaná podle politiky klasifikace dat společnosti a zahrnuje kryptografická opatření, jako jsou metody šifrování, certifikáty, klíče, hesla a bezpečnostní moduly. Požadavky na ochranu se vztahují na data v klidu, při přenosu a při používání a zahrnují šifrování pro zálohy, e-mail, externí přenosy a webové stránky organizace. Cíle politiky jsou přímočaré: chránit citlivá a regulovaná data vhodnými kryptografickými opatřeními; stanovit pravomoc a odpovědnost za výběr nástrojů, konfiguraci a správu klíčů; a zajistit silné preventivní kontroly proti neoprávněnému přístupu, manipulaci nebo ztrátě dat. Politika zdůrazňuje přísné dodržování právních a regulačních povinností vyžadujících šifrování a zachovává důležitost účinné správy certifikátů a klíčů pro provozní bezpečnost. Role a odpovědnosti jsou zjednodušené pro kontext SME: General Manager (GM) přebírá vlastnictví politiky a dohlíží na vynucování a schvalování výjimek. Poskytovatel IT podpory nebo interní správci IT zajišťují každodenní provoz a údržbu šifrovacích technologií, certifikátů a ochrany záloh. Koordinátor ochrany osobních údajů nebo bezpečnosti zajišťuje průběžný soulad s povinnostmi ochrany údajů, řízení rizik a právní obhajitelnost. Všichni zaměstnanci a dodavatelé jsou povinni dodržovat schválené používání šifrování a nesmí obcházet žádný bezpečnostní mechanismus. Mezi klíčové prvky správy patří každoroční přezkum politiky (nebo při závažném porušení či změně), úplná dokumentace všech činností šifrování/správy klíčů a přísné požadavky na používání kryptografických algoritmů podle osvědčených postupů v odvětví (např. AES-256, RSA 2048 a TLS 1.2 nebo novější). Zastaralé nebo nezabezpečené protokoly musí být blokovány a všechny klíče musí být bezpečně uloženy s řízeným, pravidelně přezkoumávaným přístupem, nikdy v prostém textu. Šifrování záloh, správa certifikátů, plánování scénářů rizik a dobře zdokumentovaný proces výjimek jsou klíčové požadavky. Porušení mají definované důsledky a všechna kryptografická selhání jsou protokolována, vyšetřována a řešena jako součást postupů pro zvládání porušení. Tato politika odpovídá šabloně SME, takže je zvláště vhodná pro organizace s menšími zdroji nebo bez bezpečnostně specializovaného personálu, přičemž stále poskytuje plný soulad s ISO/IEC 27001:2022 a relevantními regulačními požadavky.