policy Enterprise

Kriptográfiai kontrollok szabályzat

Biztosítsa az érzékeny adatok bizalmasságát, sértetlenségét és hitelességét robusztus kriptográfiai kontrollokkal, az ISO 27001, NIST, GDPR és további követelményekkel összhangban.

Áttekintés

Ez a szabályzat meghatározza a kriptográfiai kontrollok biztonságos, megfelelőségi szempontból megfelelő használatának követelményeit a szervezet egészében, részletezve az irányítást, az algoritmusok jóváhagyását, a kulcskezelést, a kikényszerítést és az auditfolyamatokat a vezető szabványokkal és szabályozásokkal összhangban.

Átfogó titkosítási szabályzat

Meghatározza a kriptográfia kötelező használatát az érzékeny és szabályozott adatok védelmére nyugalmi állapotban, átvitel közben és feldolgozás során.

Irányítás és kulcskezelés

Szabványosítja a kulcsok életciklusát, jóváhagyja a kriptográfiai módszereket, és kikényszeríti a feladatkörök szétválasztását és a letétkezelést.

Jogszabályi megfelelés

Összhangban van az ISO/IEC 27001, NIST SP 800-53, GDPR, NIS2, DORA és COBIT követelményeivel az átfogó jogi és auditfelkészültség érdekében.

Folyamatos felülvizsgálat és monitorozás

Előírja az éves felülvizsgálatokat, a kriptográfiai állapot monitorozását, valamint a sérülékenységekre és a meg nem felelésre adott proaktív reagálást.

Teljes áttekintés olvasása
A Kriptográfiai kontrollok szabályzat (P18) meghatározza azokat a kötelező kontrollokat, amelyek a kriptográfiai mechanizmusok használatát irányítják a szervezet egészében annak érdekében, hogy biztosítsák valamennyi érzékeny és szabályozott információ bizalmasságát, sértetlenségét és hitelességét. Felismerve, hogy a kriptográfia alapvető a biztonságos kommunikációhoz, a jogszabályi megfeleléshez és az adatvédelemhez, a szabályzat részletes követelményeket ír le, amelyek összhangban vannak a vezető globális szabványokkal és a folyamatosan változó szabályozási előírásokkal. Elsődleges célja annak garantálása, hogy a megfelelő kriptográfiai módszerek következetesen alkalmazásra kerüljenek minden olyan esetben, amikor érzékeny adatot továbbítanak, dolgoznak fel vagy tárolnak, erősítve a szervezeti bizalmat és támogatva a biztonságos működést valamennyi üzleti területen. A szabályzat szervezeti szinten alkalmazandó, kiterjed valamennyi üzleti funkcióra, valamennyi munkatársra, valamint a kriptográfiai műveletekben részt vevő releváns harmadik fél szolgáltatókra. A lefedettség kiterjed az éles környezetre, a fejlesztési, a staging, a biztonsági mentési rendszerek és a vészhelyzeti helyreállítási környezet területeire, kifejezett hivatkozással a bizalmas, kiemelten bizalmas vagy szabályozott adatokat kezelő rendszerekre. A kriptográfiai felhasználási esetek a szimmetrikus és aszimmetrikus titkosítástól, a digitális aláírásokon és a biztonságos hashelésen át az API-szintű titkosításig terjednek, valamint a robusztus kulcselőállítás, -terjesztés és -megsemmisítés követelményeit is magukban foglalják, beleértve az olyan technológiákat, mint a hardveres biztonsági modulok (HSM-ek), a Trusted Platform Modules (TPM-ek) és a Key Management Systems (KMS). Erős irányítási keretrendszer kerül kialakításra, amelyet az információbiztonsági vezető (CISO) vezet, aki a szabályzat gazdája, és biztosítja annak megfelelését többek között az ISO/IEC 27001:2022 A melléklet 8.24. kontrolljának. A kriptográfiai műveleti vezető fenntartja a jóváhagyott kriptográfiai módszerek listáját (ACML) és a kulcskezelési nyilvántartást, és vezeti az új technológiák felülvizsgálatát és integrációját. A közvetlen felettesek, a rendszergazdák, az eszköztulajdonosok, a fejlesztők és a harmadik fél szolgáltatók egyértelmű felelősségeket kapnak a kriptográfiai kontrollok jóváhagyására, konfigurálására, kikényszerítésére és felülvizsgálatára a saját területükön. Éves felülvizsgálatok és kriptográfiai tervezési felülvizsgálatok (CDR-ek) kötelezőek minden új vagy módosított telepítés esetén, biztosítva az összhangot az aktuális fenyegetésekkel és szabályozási követelményekkel. A szabályzat bevezetési követelményei átfogóak. Kizárólag a szervezet által jóváhagyott algoritmusok és protokollok használhatók, beleértve az AES-256-ot szimmetrikus titkosításhoz, az RSA 2048+/ECC-t aszimmetrikushoz, a SHA-256/SHA-3-at hasheléshez, valamint a TLS 1.2+-t az átvitelhez. Formális, központilag kezelt kulcskezelési folyamat kerül meghatározásra, amely lefedi a biztonságos kulcselőállítást, tárolást, használatot, rotációt, visszavonást, megsemmisítést és a tanúsítványok megújítását. A feladatkörök szétválasztása és a kettős letétkezelés az érzékeny műveletek esetén biztosítja az elszámoltathatóságot és csökkenti a belső fenyegetések kockázatát, míg a folyamatos monitorozás azonosítja a tanúsítványok lejáratát, az elavult titkosítási eljárások használatát és a jogosulatlan kulcshozzáférést. A kockázatok kezelése, a kivételek és az érvényesítés szigorú. A standard algoritmusoktól való eltérés dokumentált jóváhagyási folyamatot igényel, beleértve a kockázatértékelést és a kompenzáló kontrollok alkalmazását. A kriptográfiai kontrollok éves auditálása, a meg nem felelés vagy kulcskompromittálódás esetén alkalmazott szigorú eszkaláció, valamint a formális fegyelmi vagy szerződéses jogorvoslatok mind standard eljárások. A szabályzatot rendszeresen felülvizsgálják és frissítik új kriptográfiai sérülékenységek, szabályozási változások, operatív auditok vagy jelentős eszközfrissítések esetén, központosított kommunikációval és verziókezeléssel az ISMS dokumentumkezelési nyilvántartáson keresztül.

Irányelv-diagram

Diagram, amely bemutatja a vállalati kriptográfiai kontrollok folyamatát: szabályzatgazda, kriptográfiai tervezési felülvizsgálat, kulcskezelési nyilvántartásba vétel, folyamatos állapotfelügyelet, kivételkezelés és éves szabványfrissítések.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Szerepek és felelősségek

Jóváhagyott algoritmusok és protokollok

Kulcskezelési életciklus

Kivételkezelés és folyamat

Audit és meg nem felelési eljárások

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Kapcsolódó irányelvek

Információbiztonsági politika

Alapvető irányítást biztosít valamennyi biztonsági intézkedéshez, beleértve a kriptográfiai kontrollok kikényszerítését, az eszközvédelem és a biztonságos kommunikáció területeit.

Hozzáférés-vezérlési szabályzat

Biztosítja, hogy a kriptográfiai anyagokhoz és a titkosításkezelő rendszerekhez való logikai hozzáférés szigorúan korlátozott legyen a legkisebb jogosultság elve és a feladatkörök szétválasztása alapján.

Kockázatkezelési szabályzat

Támogatja a kriptográfiai kontrollok kockázatainak értékelését, és dokumentálja a kockázatkezelési stratégiát kivételek, algoritmus-elavulás vagy kulcskompromittálódás forgatókönyvek esetén.

Eszközkezelési szabályzat

Előírja az érzékeny adatok és hardvereszközök eszközosztályozását, amely közvetlenül meghatározza a kriptográfiai követelményeket és a kulcsletétkezelési kötelezettségeket.

Adatosztályozási és címkézési szabályzat

Meghatározza az információosztályozási szinteket (pl. bizalmas, szabályozott), amelyek konkrét titkosítási követelményeket váltanak ki átvitel közben és nyugalmi állapotban.

Adatmegőrzési és selejtezési szabályzat

Meghatározza az eljárásokat a titkosított tárolóeszközök és a kriptográfiai kulcsanyagok biztonságos selejtezésére életciklus-végi eszközök esetén.

Incidenskezelési szabályzat

Ismerteti a szervezet incidensreagálási stratégiáját kulcskompromittálódás, tanúsítványokkal való visszaélés vagy feltételezett algoritmikus sérülékenységek esetén, beleértve a gyors visszavonást és a bejelentésköteles incidensek bejelentését.

A Clarysec irányelveiről - Kriptográfiai kontrollok szabályzat

A hatékony biztonsági irányítás több mint puszta megfogalmazás; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran nem működnek, mert hosszú bekezdésekkel és meghatározatlan szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy az Ön biztonsági programjának operatív gerince legyen. A felelősségeket a modern vállalatokban megtalálható konkrét szerepkörökhöz rendeljük, beleértve az információbiztonsági vezető (CISO), az IT- és információbiztonsági csapatok, valamint a releváns bizottságok szerepét, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedileg számozott záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a szabályzat bevezetését, az egyes kontrollok szerinti auditálást, valamint a dokumentum sértetlenségének veszélyeztetése nélküli biztonságos testreszabást, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Szerepkör-alapú kriptográfiai felügyelet

Egyértelmű felelősségeket rendel és kikényszerít a kriptográfiai kontrollokhoz az információbiztonsági vezető (CISO), az IT, a kontrollgazdák és a harmadik fél szolgáltatók között.

Központosított kulcskezelési nyilvántartás

Egységes nyilvántartást vezet be, amely nyomon követi valamennyi kriptográfiai kulcsot, az életciklus-állapotot, a letétkezelőket és a megfelelőségi kontextust.

Szigorú kivételkezelés

Formalizálja a kivételkérelmeket, a kockázati felülvizsgálatot és a kompenzáló kontrollok alkalmazását a nem standard titkosítás esetén, dokumentáltan és auditálható módon.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés

🏷️ Témafedezet

Kriptográfia Kulcskezelés Megfelelőségkezelés Adatvédelem Biztonságos kommunikáció
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Cryptographic Controls Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7