policy Enterprise

Kriptografinių kontrolės priemonių politika

Užtikrinkite konfidencialumą, vientisumą ir autentiškumą jautriems duomenims taikydami patikimas kriptografines kontrolės priemones, suderintas su ISO 27001, NIST, BDAR ir kt.

Apžvalga

Ši politika nustato reikalavimus saugiam, atitiktį užtikrinančiam kriptografinių kontrolės priemonių naudojimui visoje organizacijoje, aprašant valdyseną, algoritmų patvirtinimą, raktų valdymą, vykdymo užtikrinimą ir audito procesus, suderintus su pagrindiniais standartais ir reglamentavimo reikalavimais.

Išsami šifravimo politika

Apibrėžia privalomą kriptografijos naudojimą jautriems ir reglamentuojamiems duomenims apsaugoti saugojimo metu, perdavimo metu ir tvarkymo metu.

Valdysena ir raktų valdymas

Standartizuoja raktų gyvavimo ciklą, patvirtina kriptografinius metodus ir užtikrina pareigų atskyrimą bei saugotojų atsakomybę.

Atitiktis reglamentavimo reikalavimams

Suderinama su ISO/IEC 27001, NIST SP 800-53, BDAR, NIS2, DORA ir COBIT, siekiant visapusiško teisinio ir audito pasirengimo.

Nuolatinė peržiūra ir stebėsena

Numato kasmetines peržiūras, kriptografinės būklės stebėseną ir proaktyvų reagavimą į pažeidžiamumus ir neatitiktį.

Skaityti visą apžvalgą
Kriptografinių kontrolės priemonių politika (P18) nustato privalomas kontrolės priemones, reglamentuojančias kriptografinių mechanizmų naudojimą visoje organizacijoje, siekiant užtikrinti visos jautrios ir reglamentuojamos informacijos konfidencialumą, vientisumą ir autentiškumą. Pripažįstant, kad kriptografija yra esminė saugių ryšių, atitikties reglamentavimo reikalavimams ir duomenų apsaugos dalis, ši politika aprašo išsamius reikalavimus, suderintus su pagrindiniais pasauliniais standartais ir kintančiais reglamentavimo įpareigojimais. Pagrindinis tikslas – užtikrinti, kad tinkami kriptografiniai metodai būtų nuosekliai taikomi visur, kur jautrūs duomenys perduodami, tvarkomi ar saugomi, didinant organizacijos pasitikėjimą ir palaikant saugias operacijas visose verslo srityse. Politika taikoma visoje organizacijoje, apimant visas verslo funkcijas, visą personalą ir atitinkamus trečiųjų šalių paslaugų teikėjus, dalyvaujančius kriptografinėse operacijose. Aprėptis apima gamybos, kūrimo, parengiamąsias, atsarginių kopijų ir atkūrimo po katastrofos aplinkas, aiškiai nurodant sistemas, tvarkančias konfidencialius, labai konfidencialius arba reglamentuojamus duomenis. Kriptografijos naudojimo atvejai apima simetrinį ir asimetrinį šifravimą, skaitmeninius parašus, saugų maišos skaičiavimą ir API lygmens šifravimą, taip pat patikimą raktų generavimą, platinimą ir sunaikinimą, įskaitant tokias technologijas kaip aparatinės įrangos saugumo moduliai (HSM), patikimos platformos moduliai (TPM) ir raktų valdymo sistemos (KMS). Nustatoma tvirta valdysenos sistema, kuriai vadovauja Informacijos saugos vadovas arba Vyriausiasis informacijos saugumo pareigūnas (CISO), kuris yra politikos savininkas ir užtikrina jos atitiktį ISO/IEC 27001:2022 A priedo kontrolei 8.24 ir kt. Kriptografinių operacijų vadovas prižiūri Patvirtintų kriptografinių metodų sąrašą (ACML) ir Raktų valdymo registrą, vadovauja naujų technologijų peržiūrai ir integracijai. Tiesioginiai vadovai, sistemų administratoriai, turto savininkas, kūrėjai ir trečiųjų šalių paslaugų teikėjai turi aiškiai apibrėžtas atsakomybes dėl kriptografinių kontrolės priemonių patvirtinimo, konfigūravimo, vykdymo užtikrinimo ir peržiūros savo srityse. Privalomos kasmetinės peržiūros ir Kriptografinio dizaino peržiūros (CDR) visiems naujiems ar pakeistiems diegimams, užtikrinant suderinamumą su aktualiomis grėsmėmis ir reglamentavimo reikalavimais. Politikos įgyvendinimo reikalavimai yra išsamūs. Leidžiama naudoti tik organizacijos patvirtintus algoritmus ir protokolus, įskaitant AES-256 simetriniam šifravimui, RSA 2048+/ECC asimetriniam, SHA-256/SHA-3 maišos skaičiavimui ir TLS 1.2+ transportui. Apibrėžiamas formalus, centralizuotai valdomas raktų valdymo procesas, apimantis saugų raktų generavimą, saugojimą, naudojimą, rotaciją, atšaukimą, sunaikinimą ir sertifikatų atnaujinimą. Pareigų atskyrimas ir dviguba globa jautrioms operacijoms užtikrina atskaitomybę ir mažina vidinių grėsmių riziką, o nuolatinė stebėsena identifikuoja sertifikatų galiojimo pabaigą, pasenusių šifrų naudojimą ir nesankcionuotą prieigą prie raktų. Rizikos, išimčių ir vykdymo užtikrinimo tvarkymas yra griežtas. Nukrypimui nuo standartinių algoritmų reikalingas dokumentuotas patvirtinimo procesas, įskaitant rizikos vertinimą ir kompensacines kontrolės priemones. Kasmetinis kriptografinių kontrolės priemonių auditas, griežtas eskalavimas dėl neatitikties ar raktų kompromitavimo ir formalios drausminės ar sutartinės priemonės yra standartinė procedūra. Politika reguliariai peržiūrima ir atnaujinama reaguojant į naujus kriptografinius pažeidžiamumus, reglamentavimo pokyčius, operacinius auditus ar reikšmingus įrankių atnaujinimus, užtikrinant centralizuotą komunikaciją ir versijų valdymą per ISVS dokumentų kontrolės registrą.

Politikos diagrama

Diagrama, iliustruojanti įmonės kriptografinių kontrolės priemonių procesą: politikos savininkystė, kriptografinio dizaino peržiūra, raktų valdymo registravimas, nuolatinė būklės stebėsena, išimčių tvarkymas ir kasmetiniai standartų atnaujinimai.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įsitraukimo taisyklės

Vaidmenys ir atsakomybės

Patvirtinti algoritmai ir protokolai

Raktų valdymo gyvavimo ciklas

Išimčių tvarkymas ir procesas

Audito ir neatitikties procedūros

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Susijusios politikos

Informacijos saugos politika

Suteikia bazinę valdyseną visoms saugumo priemonėms, įskaitant kriptografinių kontrolės priemonių vykdymo užtikrinimą, turto apsaugą ir saugius ryšius.

Prieigos kontrolės politika

Užtikrina, kad loginė prieiga prie kriptografinės medžiagos ir šifravimo valdymo sistemų būtų griežtai ribojama pagal mažiausių privilegijų principą ir pareigų atskyrimą.

Rizikos valdymo politika

Palaiko kriptografinių kontrolės priemonių rizikų vertinimą ir dokumentuoja rizikos tvarkymo strategiją išimtims, algoritmų pasenimui ar raktų kompromitavimo scenarijams.

Turto valdymo politika

Numato jautrių duomenų ir aparatinės įrangos turto klasifikavimą, kuris tiesiogiai nustato kriptografinius reikalavimus ir raktų globos įsipareigojimus.

Duomenų klasifikavimo ir ženklinimo politika

Apibrėžia klasifikavimo lygius (pvz., konfidencialūs, reglamentuojami), kurie suaktyvina konkrečius šifravimo reikalavimus perdavimo metu ir saugojimo metu.

Duomenų saugojimo ir šalinimo politika

Nurodo procedūras saugiam šifruotų laikmenų ir kriptografinių raktų medžiagos šalinimui pasibaigus eksploatavimo laikui.

Reagavimo į incidentus politika

Aprašo organizacijos reagavimo strategiją raktų kompromitavimui, sertifikatų piktnaudžiavimui ar įtariamiems algoritminiams pažeidžiamumams, įskaitant greitą atšaukimą ir pranešimą apie pažeidimus.

Apie Clarysec politikas - Kriptografinių kontrolės priemonių politika

Efektyvi saugumo valdysena reikalauja daugiau nei tik formuluočių; ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri gali augti kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, nes sukuria dviprasmybes dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip jūsų saugumo programos operacinis pagrindas. Atsakomybes priskiriame konkretiems vaidmenims, būdingiems šiuolaikinei įmonei, įskaitant CISO, IT saugumą ir atitinkamus komitetus, užtikrinant aiškią atskaitomybę. Kiekvienas reikalavimas pateikiamas kaip unikaliai sunumeruota nuostata (pvz., 5.1.1, 5.1.2). Ši atominė struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepaveikiant dokumento vientisumo, paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Konkretiems vaidmenims priskirta kriptografinė priežiūra

Priskiria ir užtikrina aiškias atsakomybes už kriptografines kontrolės priemones tarp CISO, IT, kontrolės savininkų ir trečiųjų šalių paslaugų teikėjų.

Centralizuotas raktų valdymo registras

Įgyvendina vieningą registrą, kuriame sekami visi kriptografiniai raktai, jų gyvavimo ciklo būsena, saugotojai ir atitikties kontekstas.

Griežtas išimčių tvarkymas

Formalizuoja išimčių užklausas, rizikos peržiūrą ir kompensacines kontrolės priemones nestandartiniam šifravimui; viskas dokumentuojama ir yra audituojama.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis

🏷️ Teminė aprėptis

Kriptografija Raktų valdymas Atitikties valdymas Duomenų apsauga Saugūs ryšiai
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Cryptographic Controls Policy

Produkto informacija

Tipas: policy
Kategorija: Enterprise
Standartai: 7