Politika kryptografických opatření

Politika kryptografických opatření (P18) stanovuje povinná opatření, která řídí používání kryptografických mechanismů v celé organizaci s cílem zajistit důvěrnost, integritu a autenticitu všech citlivých a regulovaných informací. S ohledem na to, že kryptografie je základním prvkem bezpečné komunikace, souladu s právními předpisy a ochrany údajů, tato politika popisuje podrobné požadavky v souladu s předními globálními normami a vyvíjejícími se regulačními požadavky. Hlavním účelem je zaručit, že vhodné kryptografické metody jsou konzistentně uplatňovány všude tam, kde jsou citlivá data přenášena, zpracovávána nebo ukládána, čímž se buduje důvěra v organizaci a podporuje bezpečný provoz napříč všemi oblastmi podnikání. Politika se vztahuje na celou organizaci a zahrnuje všechny obchodní funkce, veškerý personál a relevantní poskytovatele služeb třetích stran zapojené do kryptografických operací. Pokrytí se vztahuje na produkční, vývojové, stagingové, záložní systémy a prostředí pro obnovu po havárii, s výslovným odkazem na systémy zpracovávající data klasifikovaná jako Důvěrné, Vysoce důvěrné nebo Regulovaná. Kryptografické případy použití zahrnují symetrické a asymetrické šifrování, digitální podpisy, bezpečné hashování a šifrování na úrovni API, stejně jako robustní generování, distribuci a ničení klíčů, včetně technologií jako Hardware Security Modules (HSMs), Trusted Platform Modules (TPMs) a Key Management Systems (KMS). Je zaveden silný rámec správy a řízení, vedený manažerem bezpečnosti informací nebo ředitelem informační bezpečnosti (CISO), který je vlastníkem politiky a zajišťuje její soulad mimo jiné s ISO/IEC 27001:2022 Příloha A, opatření 8.24. Vedoucí kryptografických operací udržuje Seznam schválených kryptografických metod (ACML) a Registr správy klíčů a řídí přezkum a integraci nových technologií. Přímí nadřízení, správci systémů, vlastník aktiva, vývojáři a poskytovatelé třetích stran mají jasně stanovené odpovědnosti za schvalování, konfiguraci, vynucování a přezkum kryptografických opatření ve svých oblastech. Pro všechna nová nebo upravená nasazení jsou nařízeny každoroční přezkumy a kryptografické přezkumy návrhu (CDR), které zajišťují soulad s aktuálními hrozbami a regulačními požadavky. Požadavky na implementaci politiky jsou komplexní. Lze používat pouze organizací schválené algoritmy a protokoly, včetně AES-256 pro symetrické šifrování, RSA 2048+/ECC pro asymetrické, SHA-256/SHA-3 pro hashování a TLS 1.2+ pro přenos. Je definován formální, centrálně řízený proces správy klíčů, který pokrývá bezpečné generování, ukládání, používání, rotaci, revokaci, ničení a obnovu certifikátů. Oddělení povinností a dvojí správa pro citlivé operace zajišťují pravomoc a odpovědnost a snižují riziko vnitřních hrozeb, zatímco průběžné monitorování identifikuje vypršení platnosti certifikátů, používání zastaralých šifer a neoprávněný přístup ke klíčům. Ošetření rizik, výjimek a vynucování je přísné. Odchylka od standardních algoritmů vyžaduje dokumentovaný schvalovací proces, včetně posouzení rizik a kompenzačních opatření. Každoroční audit kryptografických opatření, přísná eskalace při nesouladu nebo kompromitaci klíčů a formální disciplinární nebo smluvní nápravná opatření jsou standardním postupem. Politika je pravidelně přezkoumávána a aktualizována v reakci na nové kryptografické zranitelnosti, regulační změny, provozní audity nebo významné upgrady nástrojů, s centralizovanou komunikací a správou verzí prostřednictvím Registru řízení dokumentů ISMS.