policy Enterprise

Krüptograafiliste kontrollimeetmete poliitika

Tagage tundlike andmete konfidentsiaalsus, terviklus ja autentsus tugevate krüptograafiliste kontrollimeetmetega, kooskõlas ISO 27001, NIST, GDPR ja muuga.

Ülevaade

See poliitika kehtestab nõuded krüptograafiliste kontrollimeetmete turvaliseks ja nõuetele vastavaks kasutamiseks kogu organisatsioonis, kirjeldades juhtimist, algoritmide heakskiitmist, võtmehaldust, jõustamist ja auditiprotsesse kooskõlas juhtivate standardite ja regulatsioonidega.

Põhjalik krüpteerimispoliitika

Määratleb krüptograafia kohustusliku kasutamise tundlike ja reguleeritud andmete kaitsmiseks puhkeolekus, edastamisel ja töötlemise ajal.

Juhtimine ja võtmehaldus

Standardiseerib võtmete elutsükli, kiidab heaks krüptograafilised meetodid ning jõustab rollide eraldamise ja hoidjapõhimõtte.

Õigusnormidele vastavus

Kooskõlastub standarditega ISO/IEC 27001, NIST SP 800-53, GDPR, NIS2, DORA ja COBIT, et tagada terviklik õigus- ja auditivalmidus.

Pidev läbivaatamine ja seire

Nõuab iga-aastaseid ülevaatusi, krüptograafilise tervise seiret ning ennetavat reageerimist haavatavustele ja mittevastavusele.

Loe täielikku ülevaadet
Krüptograafiliste kontrollimeetmete poliitika (P18) kehtestab kohustuslikud kontrollimeetmed, mis reguleerivad krüptograafiliste mehhanismide kasutamist kogu organisatsioonis, et tagada kogu tundliku ja reguleeritud teabe konfidentsiaalsus, terviklus ja autentsus. Tunnistades, et krüptograafia on turvalise teabevahetuse, õigusnormidele vastavuse ja andmekaitse alus, kirjeldab see poliitika üksikasjalikke nõudeid, mis on kooskõlas juhtivate ülemaailmsete standardite ja arenevate regulatiivsete nõuetega. Peamine eesmärk on tagada, et asjakohaseid krüptograafilisi meetodeid rakendatakse järjepidevalt kõikjal, kus tundlikke andmeid edastatakse, töödeldakse või säilitatakse, suurendades organisatsioonilist usaldust ja toetades turvalisi operatsioone kõigis ärivaldkondades. Poliitika kehtib kogu organisatsioonis, hõlmates kõiki ärifunktsioone, kogu personali ja asjakohaseid kolmanda osapoole teenuseosutajaid, kes osalevad krüptograafilistes tegevustes. Käsitlusala hõlmab tootmis-, arendus- ja eelproduktsioonikeskkonda, varundussüsteeme ja katastroofitaastekeskkonda, viidates selgesõnaliselt süsteemidele, mis käitlevad konfidentsiaalseid, väga konfidentsiaalseid või reguleeritud andmeid. Krüptograafilised kasutusjuhud ulatuvad sümmeetrilisest ja asümmeetrilisest krüpteerimisest, digiallkirjadest, turvalisest räsimisest ja API-taseme krüpteerimisest kuni tugeva võtmete genereerimise, jaotamise ja hävitamiseni, sh tehnoloogiad nagu riistvaralised turvamoodulid (HSM-id), usaldusväärse platvormi moodulid (TPM-id) ja võtmehaldussüsteemid (KMS). Kehtestatakse tugev juhtimisraamistik, mida juhib infoturbejuht või CISO, kes omab poliitikat ja tagab selle vastavuse muu hulgas standardi ISO/IEC 27001:2022 lisa A kontrollimeetmele 8.24. Krüptograafiliste operatsioonide juht haldab heakskiidetud krüptograafiliste meetodite loendit (ACML) ja võtmehaldusregistrit, juhtides uute tehnoloogiate ülevaatamist ja integreerimist. Vahetud juhid, süsteemiadministraatorid, vara omanikud, arendajad ja kolmanda osapoole teenuseosutajad saavad selged vastutused krüptograafiliste kontrollimeetmete heakskiitmise, seadistamise, jõustamise ja ülevaatamise eest oma valdkondades. Kõigi uute või muudetud juurutuste puhul on kohustuslikud iga-aastased ülevaatused ja krüptograafilise disaini ülevaatused (CDR-id), tagades kooskõla ajakohaste ohtude ja regulatiivsete nõuetega. Poliitika rakendamisnõuded on põhjalikud. Kasutada tohib ainult organisatsiooni poolt heakskiidetud algoritme ja protokolle, sh AES-256 sümmeetriliseks krüpteerimiseks, RSA 2048+/ECC asümmeetriliseks, SHA-256/SHA-3 räsimiseks ja TLS 1.2+ transpordiks. Määratletakse ametlik, keskelt juhitud võtmehaldusprotsess, mis hõlmab turvalist võtmete genereerimist, säilitamist, kasutamist, rotatsiooni, tühistamist, hävitamist ja sertifikaatide uuendamist. Rollide eraldamine ja kahekordne hoidmine tundlike toimingute puhul tagavad volitused ja aruandekohustuse ning vähendavad siseohtude riski, samal ajal kui pidev seire tuvastab sertifikaatide aegumise, aegunud šifrite kasutamise ja volitamata võtmetele juurdepääsu. Riski, erandite ja jõustamise käsitlemine on range. Kõrvalekaldumine standardalgoritmidest nõuab dokumenteeritud heakskiitmisprotsessi, sh riskihindamist ja kompenseerivaid kontrollimeetmeid. Krüptograafiliste kontrollimeetmete iga-aastane auditeerimine, range eskaleerimine mittevastavuse või võtmete kompromiteerimise korral ning ametlikud distsiplinaar- või lepingulised parandusmeetmed on standardprotseduur. Poliitikat vaadatakse regulaarselt läbi ja ajakohastatakse vastusena uutele krüptograafilistele haavatavustele, regulatiivsetele muudatustele, operatiivsetele audititele või olulistele tööriistauuendustele, kasutades tsentraliseeritud teabevahetust ja versioonihaldust ISMS-i dokumendihalduse registri kaudu.

Poliitika diagramm

Diagramm, mis illustreerib ettevõtte krüptograafiliste kontrollimeetmete protsessi: poliitika omanik, krüptograafilise disaini ülevaatus, võtmehalduse registreerimine, pidev terviseseire, erandite käsitlemine ja iga-aastased standardite ajakohastused.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Käsitlusala ja kaasamise reeglid

Rollid ja vastutused

Heakskiidetud algoritmid ja protokollid

Võtmehalduse elutsükkel

Erandite käsitlemine ja protsess

Auditi ja mittevastavuse protseduurid

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Seotud poliitikad

Infoturbepoliitika

Pakub alusjuhtimist kõigile turvameetmetele, sh krüptograafiliste kontrollimeetmete jõustamine, varade kaitse ja turvaline teabevahetus.

Juurdepääsukontrolli poliitika

Tagab, et loogiline juurdepääs krüptograafilisele materjalile ja krüpteerimise haldussüsteemidele on rangelt piiratud vähimate õiguste põhimõtte ja ülesannete lahususe alusel.

Riskijuhtimise poliitika

Toetab krüptograafiliste kontrollimeetmete riskide hindamist ja dokumenteerib riski käsitlemise strateegia erandite, algoritmide vananemise või võtmete kompromiteerimise stsenaariumide jaoks.

Varade halduse poliitika

Nõuab tundlike andmete ja riistvaravarade klassifitseerimist, mis määrab otseselt krüptograafilised nõuded ja võtmete hoidmise kohustused.

Andmete klassifitseerimise ja märgistamise poliitika

Määratleb klassifitseerimistasemed (nt konfidentsiaalne, reguleeritud), mis käivitavad konkreetsed krüpteerimisnõuded edastamisel ja puhkeolekus.

Andmete säilitamise ja kõrvaldamise poliitika

Täpsustab protseduurid krüpteeritud andmekandjate ja krüptograafilise võtmematerjali turvaliseks kõrvaldamiseks kasutusea lõpus.

Intsidentidele reageerimise poliitika (P30)

Kirjeldab organisatsiooni intsidentidele reageerimise strateegiat võtmete kompromiteerimise, sertifikaatide väärkasutuse või kahtlustatavate algoritmiliste haavatavuste korral, sh kiire tühistamine ja rikkumisest teavitamine.

Claryseci poliitikate kohta - Krüptograafiliste kontrollimeetmete poliitika

Tõhus turbejuhtimine nõuab enamat kui sõnu; see nõuab selgust, volitusi ja aruandekohustust ning struktuuri, mis skaleerub koos teie organisatsiooniga. Üldised mallid ebaõnnestuvad sageli, tekitades ebaselgust pikkade lõikude ja määratlemata rollidega. See poliitika on loodud olema teie turbeprogrammi operatiivne selgroog. Me määrame vastutused tänapäevases ettevõttes levinud konkreetsetele rollidele, sh CISO-le, IT-turbele ja asjakohastele komiteedele, tagades selge aruandekohustuse. Iga nõue on unikaalselt nummerdatud klausel (nt 5.1.1, 5.1.2). See atomaarne struktuur muudab poliitika lihtsaks rakendada, auditeerida konkreetsete kontrollimeetmete vastu ning turvaliselt kohandada ilma dokumendi terviklust mõjutamata, muutes selle staatilisest dokumendist dünaamiliseks, rakendatavaks raamistikuks.

Rollipõhine krüptograafiline järelevalve

Määrab ja jõustab selged vastutused krüptograafiliste kontrollimeetmete eest CISO, IT, Control Owners'i ja kolmanda osapoole teenuseosutajate lõikes.

Tsentraliseeritud võtmehaldusregister

Rakendab ühtse registri, mis jälgib kõiki krüptograafilisi võtmeid, elutsükli staatust, hoidjaid ja vastavuskonteksti.

Range erandite käsitlemine

Formaliseerib eranditaotlused, riskide ülevaatuse ja kompenseerivad kontrollimeetmed mittestandardse krüpteerimise jaoks, dokumenteeritult ja auditeeritavalt.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT Turvalisus Vastavus

🏷️ Temaatiline katvus

Krüptograafia Võtmehaldus Vastavuse juhtimine Andmekaitse Turvaline teabevahetus
€49

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Cryptographic Controls Policy

Toote üksikasjad

Tüüp: policy
Kategooria: Enterprise
Standardid: 7