Politika kriptografskih kontrola – SME

Politika kriptografskih kontrola P18S je specijalizirana politika izrađena za mala i srednja poduzeća (SME), jasno prilagođena pojednostavljenim ulogama i procesima, ponajprije ulozi „glavni izvršni direktor”, umjesto naziva specifičnih za velika poduzeća poput glavnog službenika za informacijsku sigurnost (CISO) ili Centra za sigurnosne operacije (SOC). Osigurava da ove organizacije implementiraju robusne kriptografske kontrole koje štite povjerljivost, cjelovitost i autentičnost poslovnih i osobnih podataka. Temeljna svrha ove politike je definirati obvezne zahtjeve za šifriranje i druge kriptografske mjere, izravno usklađene s potrebama certifikacije ISO/IEC 27001:2022 i regulatornim okvirima kao što su GDPR, Direktiva NIS2 i EU DORA. Opseg politike obuhvaća svo osoblje, uključujući zaposlenike, izvođače i treće strane, koje postupa s podacima tvrtke, te pokriva svaki poslovni sustav, krajnju točku ili platformu u oblaku koja pohranjuje, prenosi ili pristupa povjerljivim informacijama. Primjenjuje se na sve klasificirane podatke prema politici klasifikacije podataka tvrtke te obuhvaća kriptografske kontrole kao što su metode šifriranja, certifikati, ključevi, lozinke i sigurnosni moduli. Zahtjevi zaštite proširuju se na podatke u mirovanju, u prijenosu i u uporabi, uključujući šifriranje za sigurnosne kopije, e-poštu, vanjske prijenose i web-stranice organizacije. Ciljevi politike su jasni: zaštititi osjetljive i regulirane podatke odgovarajućim kriptografskim mjerama; uspostaviti ovlasti i odgovornost za odabir alata, konfiguraciju i upravljanje ključevima; te osigurati snažne preventivne kontrole protiv neovlaštenog pristupa, neovlaštenih izmjena ili sprječavanja gubitka podataka (DLP). Politika naglašava strogo pridržavanje pravnih i regulatornih obveza koje zahtijevaju šifriranje te ističe važnost djelotvornog upravljanja certifikatima i ključevima za operativnu sigurnost. Uloge i odgovornosti su pojednostavljene za SME kontekst: glavni izvršni direktor (GM) preuzima vlasništvo nad politikom te nadzire provedbu i odobravanje iznimaka. Pružatelj IT podrške ili interni IT administrator upravlja svakodnevnim radom i održavanjem tehnologija šifriranja, certifikata i zaštite sigurnosnih kopija. Koordinator za privatnost ili sigurnost osigurava kontinuiranu usklađenost s obvezama zaštite podataka, upravljanje rizicima informacijske sigurnosti i pravnu obranu. Svo osoblje i izvođači obvezni su pridržavati se odobrene uporabe šifriranja i ne smiju zaobilaziti nijedan sigurnosni mehanizam. Ključne značajke upravljanja uključuju godišnji pregled politike (ili nakon veće povrede ili promjene), potpunu dokumentaciju svih aktivnosti šifriranja/upravljanja ključevima te stroge zahtjeve za uporabu industrijski standardnih kriptografskih algoritama (kao što su AES-256, RSA 2048 i TLS 1.2 ili noviji). Zastarjeli ili nesigurni protokoli moraju se blokirati, a svi ključevi moraju biti sigurno pohranjeni uz kontrolirani, redovito pregledavani pristup, nikada u običnom tekstu. Šifriranje sigurnosnih kopija, upravljanje certifikatima, planiranje scenarija rizika i dobro dokumentiran postupak iznimki središnji su zahtjevi. Kršenja podliježu definiranim posljedicama, a svi kriptografski neuspjesi bilježe se u log-zapisima, istražuju i na njih se odgovara kao dio postupaka postupanja s incidentima. Ova politika odgovara SME predlošku, što je čini posebno prikladnom za organizacije s manje resursa ili osoblja specijaliziranog za sigurnost, uz istodobno potpuno usklađivanje s ISO/IEC 27001:2022 i relevantnim regulatornim zahtjevima.