policy Enterprise

Politika kriptografskih kontrola

Osigurajte povjerljivost, cjelovitost i autentičnost osjetljivih podataka uz robusne kriptografske kontrole, usklađene s ISO 27001, NIST-om, GDPR-om i drugim standardima.

Pregled

Ova politika uspostavlja zahtjeve za sigurnu, usklađenu uporabu kriptografskih kontrola u cijeloj organizaciji, uključujući upravljanje, odobravanje algoritama, upravljanje ključevima, provedbu i revizijske procese, u skladu s vodećim standardima i propisima.

Sveobuhvatna politika šifriranja

Definira obveznu uporabu kriptografije za zaštitu osjetljivih i reguliranih podataka u mirovanju, u prijenosu i tijekom obrade.

Upravljanje i upravljanje ključevima

Standardizira životni ciklus ključeva, odobrava kriptografske metode te provodi razdvajanje uloga i skrbništvo.

Usklađenost s propisima

Usklađuje se s ISO/IEC 27001, NIST SP 800-53, GDPR-om, NIS2, DORA-om i COBIT-om radi sveobuhvatne pravne spremnosti i spremnosti za reviziju.

Kontinuirani pregled i praćenje

Propisuje godišnje preglede, praćenje kriptografskog stanja i proaktivan odgovor na ranjivosti i neusklađenost.

Pročitaj cijeli pregled
Politika kriptografskih kontrola (P18) uspostavlja obvezne kontrole koje upravljaju uporabom kriptografskih mehanizama u cijeloj organizaciji kako bi se osigurala povjerljivost, cjelovitost i autentičnost svih osjetljivih i reguliranih informacija. Prepoznajući da je kriptografija temelj sigurne komunikacije, usklađenosti s propisima i zaštite podataka, ova politika opisuje detaljne zahtjeve usklađene s vodećim globalnim standardima i promjenjivim regulatornim zahtjevima. Primarna svrha je jamčiti da se odgovarajuće kriptografske metode dosljedno primjenjuju gdje god se osjetljivi podaci prenose, obrađuju ili pohranjuju, jačajući povjerenje organizacije i podržavajući sigurne operacije u svim poslovnim domenama. Politika se primjenjuje na razini cijele organizacije te obuhvaća sve poslovne funkcije, svo osoblje i relevantne pružatelje usluga treće strane uključene u kriptografske operacije. Obuhvat se proteže na produkcijsko okruženje, razvoj, staging, sustave za sigurnosno kopiranje i okruženje za oporavak od katastrofe, uz izričito upućivanje na sustave koji obrađuju Povjerljivo, Visoko povjerljivo ili regulirane podatke. Kriptografski slučajevi uporabe uključuju simetrično i asimetrično šifriranje, digitalne potpise, sigurnu provjeru sažetka, šifriranje na razini sučelja za programiranje aplikacija te robusnu izradu, distribuciju i uništavanje ključeva, uključujući tehnologije kao što su Hardware Security Modules (HSMs), Trusted Platform Modules (TPMs) i Key Management Systems (KMS). Uspostavlja se snažan okvir upravljanja, pod vodstvom Voditelja informacijske sigurnosti ili CISO-a, koji je vlasnik politike i osigurava njezinu usklađenost s ISO/IEC 27001:2022 Prilogom A, kontrolom 8.24, među ostalim. Voditelj kriptografskih operacija održava Popis odobrenih kriptografskih metoda (ACML) i Registar upravljanja ključevima te vodi pregled i integraciju novih tehnologija. Neposredni rukovoditelji, administratori sustava, vlasnik imovine, razvijatelji i pružatelji treće strane imaju jasno definirane odgovornosti za odobravanje, konfiguraciju, provedbu i pregled kriptografskih kontrola u svojim područjima. Propisuju se godišnji pregledi i pregledi kriptografskog dizajna (CDR) za sva nova ili izmijenjena uvođenja, uz osiguranje usklađenosti s aktualnim prijetnjama i regulatornim zahtjevima. Zahtjevi implementacije politike su sveobuhvatni. Smiju se koristiti samo algoritmi i protokoli koje je odobrila organizacija, uključujući AES-256 za simetrično šifriranje, RSA 2048+/ECC za asimetrično, SHA-256/SHA-3 za provjeru sažetka i TLS 1.2+ za transport. Definira se formalni, centralno upravljan postupak upravljanja ključevima, koji obuhvaća sigurnu izradu ključeva, pohranu, uporabu, periodičnu promjenu, opoziv, uništavanje i obnovu certifikata. Razdvajanje uloga i dvostruko skrbništvo za osjetljive operacije osiguravaju odgovornost i smanjuju insajderske prijetnje, dok kontinuirano praćenje identificira istek certifikata, uporabu zastarjelih šifri i neovlašteni pristup ključevima. Postupanje s rizikom, iznimkama i provedbom je strogo. Odstupanje od standardnih algoritama zahtijeva dokumentirani postupak odobravanja, uključujući procjenu rizika i kompenzacijske kontrole. Godišnja revizija kriptografskih kontrola, stroga eskalacija za neusklađenost ili kompromitaciju ključa te formalne disciplinske mjere ili ugovorne mjere standardni su postupak. Politika se redovito pregledava i ažurira kao odgovor na nove kriptografske ranjivosti, regulatorne promjene, operativne revizije ili značajne nadogradnje alata, uz centraliziranu komunikaciju i upravljanje verzijama putem Registra kontrole dokumenata ISMS-a.

Dijagram politike

Dijagram koji prikazuje proces kriptografskih kontrola u poduzeću: vlasništvo politike, pregled kriptografskog dizajna, registracija upravljanja ključevima, kontinuirano praćenje stanja, postupanje s iznimkama i godišnja ažuriranja standarda.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg i pravila angažmana

Uloge i odgovornosti

Odobreni algoritmi i protokoli

Životni ciklus upravljanja ključevima

Postupanje s iznimkama i postupak

Postupci revizije i neusklađenosti

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Povezane politike

Politika informacijske sigurnosti

Pruža temeljno upravljanje za sve sigurnosne mjere, uključujući provedbu kriptografskih kontrola, zaštitu imovine i sigurnu komunikaciju.

Politika kontrole pristupa

Osigurava da je logički pristup kriptografskom materijalu i sustavima za upravljanje šifriranjem strogo ograničen na temelju načela najmanjih privilegija i razdvajanja dužnosti.

Politika upravljanja rizicima

Podržava procjenu rizika kriptografskih kontrola i dokumentira strategiju obrade rizika za iznimke, zastarijevanje algoritama ili scenarije kompromitacije ključa.

Politika upravljanja imovinom

Propisuje klasifikaciju imovine osjetljivih podataka i hardverske imovine, što izravno određuje kriptografske zahtjeve i obveze skrbništva nad ključevima.

Politika klasifikacije i označavanja podataka

Definira razine klasifikacije (npr. Povjerljivo, regulirani podaci) koje aktiviraju specifične zahtjeve šifriranja u prijenosu i u mirovanju.

Politika zadržavanja i zbrinjavanja podataka

Navodi postupke za sigurno zbrinjavanje šifriranih medija za pohranu i kriptografskog ključnog materijala na kraju životnog vijeka.

Politika odgovora na incidente (P30)

Opisuje strategiju odgovora organizacije na kompromitaciju ključa, zlouporabu certifikata ili sumnju na algoritamske ranjivosti, uključujući brzi opoziv i prijavljivanje povreda.

O Clarysec politikama - Politika kriptografskih kontrola

Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, odgovornost i strukturu koja se može skalirati s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće kroz duge odlomke i nedefinirane uloge. Ova politika je osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama prisutnima u modernom poduzeću, uključujući CISO-a, IT sigurnost i relevantne odbore, osiguravajući jasnu odgovornost. Svaki zahtjev je jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurnu prilagodbu bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.

Nadzor kriptografije temeljen na ulogama

Dodjeljuje i provodi jasne odgovornosti za kriptografske kontrole kroz CISO-a, IT, vlasnike kontrola i pružatelje treće strane.

Centralizirani registar upravljanja ključevima

Implementira jedinstveni registar koji prati sve kriptografske ključeve, status životnog ciklusa, skrbnike i kontekst usklađenosti.

Strogo postupanje s iznimkama

Formalizira zahtjeve za iznimke, pregled rizika i kompenzacijske kontrole za nestandardno šifriranje, dokumentirano i revizibilno.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT Sigurnost Usklađenost

🏷️ Tematska pokrivenost

Kriptografija Upravljanje ključevima Upravljanje usklađenošću Zaštita podataka Sigurna komunikacija
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja
Cryptographic Controls Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: Enterprise
Standardi: 7