Kriptográfiai kontrollok szabályzat – KKV

A P18S Kriptográfiai kontrollok szabályzat egy kifejezetten kis- és középvállalkozások (KKV-k) számára kialakított, specializált szabályzat, amely egyszerűsített szerepkörökre és folyamatokra van szabva, különösen az „ügyvezető igazgató” szerepkörre, nem pedig vállalatspecifikus megnevezésekre, mint a CISO vagy a SOC. Biztosítja, hogy ezek a szervezetek robusztus kriptográfiai kontrollokat vezessenek be, amelyek védik az üzleti és személyes adatok bizalmasságát, sértetlenségét és hitelességét. A szabályzat alapvető célja a titkosítás és egyéb kriptográfiai intézkedések kötelező követelményeinek meghatározása, közvetlen összhangban az ISO/IEC 27001:2022 tanúsítási igényekkel és olyan szabályozási keretrendszerekkel, mint a GDPR, a NIS2 irányelv és az EU DORA. A szabályzat hatálya kiterjed valamennyi munkatársra, beleértve a munkavállalókat, vállalkozókat és harmadik feleket, akik vállalati adatokat kezelnek, és lefed minden üzleti rendszert, végpontot vagy felhőplatformot, amely bizalmas információt tárol, továbbít vagy elér. Alkalmazandó a vállalat adatosztályozási szabályzata szerinti valamennyi osztályozott adatra, és lefedi a kriptográfiai kontrollokat, például a titkosítási módszereket, tanúsítványokat, kulcsokat, jelszavakat és biztonsági modulokat. Védelmi követelményei kiterjednek a tárolt, átvitel alatt álló és használatban lévő adatokra, beleértve a biztonsági mentések, az e-mail, a külső adattovábbítások és a szervezeti weboldalak titkosítását. A szabályzat célkitűzései egyértelműek: az érzékeny és szabályozott adatok védelme megfelelő kriptográfiai intézkedésekkel; az eszközválasztás, konfiguráció és kulcskezelés hatáskörének és elszámoltathatóságának meghatározása; valamint erős megelőző kontrollok biztosítása a jogosulatlan hozzáférés, manipuláció vagy adatvesztés ellen. A szabályzat hangsúlyozza a titkosítást előíró jogi és szabályozási kötelezettségek szigorú betartását, és kiemeli a hatékony tanúsítvány- és kulcskezelés jelentőségét az operatív biztonság szempontjából. A szerepek és felelősségek KKV-környezetre egyszerűsítettek: az ügyvezető igazgató (GM) a szabályzat tulajdonosa, és felügyeli az érvényesítést, valamint a kivételek jóváhagyását. Az IT-támogatási szolgáltató vagy a belső informatikai rendszergazdák végzik a titkosítási technológiák, tanúsítványok és a biztonsági mentések védelmének napi üzemeltetését és karbantartását. Az adatvédelmi koordinátor vagy biztonsági koordinátor biztosítja az adatvédelemhez kapcsolódó kötelezettségeknek való folyamatos megfelelést, az információbiztonsági kockázatkezelést és a jogi védelmet. Valamennyi munkatársnak és vállalkozónak be kell tartania a jóváhagyott titkosítási használatot, és nem kerülheti meg a biztonsági mechanizmusokat. A kulcsfontosságú irányítási jellemzők közé tartozik az éves szabályzatfelülvizsgálat (vagy jelentős incidens vagy változás esetén), a titkosítási/kulcskezelési tevékenységek teljes körű dokumentálása, valamint az iparági legjobb gyakorlatok szerinti kriptográfiai algoritmusok (például AES-256, RSA 2048 és TLS 1.2 vagy újabb) használatára vonatkozó szigorú követelmények. A nem biztonságos protokollokat tiltani kell, és minden kulcsot biztonságosan, kontrollált és rendszeresen felülvizsgált hozzáféréssel kell tárolni, soha nem egyszerű szövegként. A biztonsági mentések titkosítása, a tanúsítványkezelés, a kockázati forgatókönyv-tervezés és a jól dokumentált kivételkezelés központi követelmények. A szabályszegések meghatározott következményekkel járnak, és minden kriptográfiai meghibásodást naplózni, kivizsgálni és kezelni kell a bejelentésköteles incidensek kezelésére vonatkozó eljárások részeként. Ez a szabályzat a KKV-sablonnak felel meg, így különösen alkalmas kevesebb erőforrással vagy biztonsági szakterületi munkatársak nélkül működő szervezetek számára, miközben teljes összhangot biztosít az ISO/IEC 27001:2022-vel és a releváns szabályozási elvárásokkal.