Kriptografinių kontrolės priemonių politika – SVV

P18S Kriptografinių kontrolės priemonių politika yra specializuota politika, sukurta mažoms ir vidutinėms įmonėms (SVV), aiškiai pritaikyta supaprastintiems vaidmenims ir procesams, ypač „Generalinio direktoriaus“ vaidmeniui, o ne įmonėms būdingiems pareigybių pavadinimams, tokiems kaip CISO ar Saugumo operacijų centras (SOC). Ji užtikrina, kad šios organizacijos įgyvendintų tvirtas kriptografines kontrolės priemones, kurios saugo verslo ir asmens duomenų konfidencialumą, vientisumą, prieinamumą ir autentiškumą. Pagrindinis šios politikos tikslas – apibrėžti privalomus reikalavimus šifravimui ir kitoms kriptografinėms priemonėms, tiesiogiai suderinant su ISO/IEC 27001:2022 sertifikavimo poreikiais ir reglamentavimo sistemomis, tokiomis kaip GDPR, NIS2 direktyva ir ES DORA. Politikos taikymo sritis apima visą personalą, įskaitant darbuotojus, rangovus ir trečiąsias šalis, tvarkančius įmonės duomenis, ir apima kiekvieną verslo sistemą, galinį įrenginį ar debesijos platformą, kuri saugo, perduoda ar pasiekia konfidencialią informaciją. Ji taikoma visiems klasifikuotiems duomenims pagal įmonės Duomenų klasifikavimo politiką ir apima kriptografines kontrolės priemones, tokias kaip šifravimo metodai, sertifikatai, raktai, slaptažodžiai ir saugumo moduliai. Apsaugos reikalavimai taikomi duomenims ramybės būsenoje, perdavimo metu ir naudojimo metu, įskaitant atsarginių kopijų, el. pašto, išorinių perdavimų ir organizacijos svetainių šifravimą. Politikos tikslai yra aiškūs: apsaugoti jautrius ir reglamentuojamus duomenis tinkamomis kriptografinėmis priemonėmis; nustatyti įgaliojimus ir atskaitomybę už įrankių parinkimą, konfigūravimą ir raktų valdymą; ir užtikrinti stiprias prevencines kontrolės priemones nuo nesankcionuotos prieigos, klastojimo ar duomenų praradimo. Politika pabrėžia griežtą teisinių ir reglamentavimo įpareigojimų, reikalaujančių šifravimo, laikymąsi ir išryškina veiksmingo sertifikatų ir raktų valdymo svarbą operaciniam saugumui. Vaidmenys ir atsakomybės supaprastinti SVV kontekstui: Generalinis direktorius (GD) prisiima politikos savininkystę ir prižiūri vykdymo užtikrinimą bei išimčių patvirtinimą. IT paslaugų teikėjas arba vidinis IT administratorius vykdo kasdienę šifravimo technologijų, sertifikatų ir atsarginių kopijų apsaugos eksploataciją ir priežiūrą. Privatumo arba Saugumo koordinatorius užtikrina nuolatinę atitiktį duomenų apsaugos įsipareigojimams, rizikos valdymui ir teisinei gynybai. Visi darbuotojai ir rangovai privalo laikytis patvirtinto šifravimo naudojimo ir negali apeiti jokių saugumo mechanizmų. Pagrindinės valdysenos ypatybės apima kasmetinę politikos peržiūrą (arba po reikšmingo pažeidimo ar pakeitimo), pilną visų šifravimo / raktų valdymo veiklų dokumentavimą ir griežtus reikalavimus naudoti pramonės standartų kriptografinius algoritmus (pvz., AES-256, RSA 2048 ir TLS 1.2 ar naujesnį). Nesaugūs protokolai turi būti blokuojami, o visi raktai turi būti saugiai saugomi su kontroliuojama, reguliariai peržiūrima prieiga, niekada ne atviru tekstu. Atsarginių kopijų šifravimas, sertifikatų valdymas, rizikos scenarijų planavimas ir gerai dokumentuotas išimčių tvarkymo procesas yra esminiai reikalavimai. Pažeidimai sukelia apibrėžtas pasekmes, o visi kriptografiniai nesuveikimai registruojami žurnaluose, tiriami ir tvarkomi kaip pranešimo apie incidentus ir jų valdymo procedūrų dalis. Ši politika atitinka SVV šabloną, todėl ypač tinka organizacijoms, turinčioms mažiau išteklių ar saugumo specialistų, tačiau vis tiek užtikrina pilną suderinamumą su ISO/IEC 27001:2022 ir atitinkamais reglamentavimo reikalavimais.