Kriptogrāfisko kontroles pasākumu politika – MVU

P18S Kriptogrāfisko kontroles pasākumu politika ir specializēta politika, kas izstrādāta mazajiem un vidējiem uzņēmumiem (MVU) un ir skaidri pielāgota vienkāršotām lomām un procesiem, jo īpaši “ģenerāldirektora” lomai, nevis uzņēmumu specifiskiem amatiem, piemēram, CISO vai drošības operāciju centram (SOC). Tā nodrošina, ka šīs organizācijas ievieš stabilus kriptogrāfiskos kontroles pasākumus, kas aizsargā biznesa un personas datu konfidencialitāti, integritāti un autentiskumu. Šīs politikas pamatmērķis ir definēt obligātās prasības šifrēšanai un citiem kriptogrāfiskiem pasākumiem, tieši saskaņojot tās ar ISO/IEC 27001:2022 sertifikācijas vajadzībām un regulatīvajiem ietvariem, piemēram, GDPR, NIS2 direktīvu un ES DORA. Politikas darbības joma aptver visu personālu, tostarp darbiniekus, līgumslēdzējus un trešās puses, kas apstrādā uzņēmuma datus, un ietver katru biznesa sistēmu, galapunktu vai mākoņplatformu, kas glabā, pārsūta vai piekļūst konfidenciālai informācijai. Tā attiecas uz visiem klasificētajiem datiem saskaņā ar uzņēmuma datu klasifikācijas politiku un aptver kriptogrāfiskos kontroles pasākumus, piemēram, šifrēšanas metodes, sertifikātus, atslēgas, paroles un drošības moduļus. Aizsardzības prasības attiecas uz datiem miera stāvoklī, pārsūtē un lietošanā, ietverot šifrēšanu rezerves kopijām, e-pastam, ārējām pārsūtēm un organizācijas tīmekļvietnēm. Politikas mērķi ir vienkārši: aizsargāt sensitīvus un reglamentētus datus ar atbilstošiem kriptogrāfiskiem pasākumiem; noteikt pilnvaras un pārskatatbildību par rīku atlasi, konfigurēšanu un atslēgu pārvaldību; un nodrošināt spēcīgas preventīvās kontroles pret nesankcionētu piekļuvi, iejaukšanos vai datu zudumu. Politika uzsver stingru juridisko un regulatīvo pienākumu ievērošanu, kas prasa šifrēšanu, un uztur efektīvas sertifikātu un atslēgu pārvaldības nozīmi operatīvajai drošībai. Lomas un pienākumi ir optimizēti MVU kontekstam: ģenerāldirektors (GM) uzņemas atbildību par politiku un uzrauga izpildi un izņēmumu apstiprināšanu. IT atbalsta pakalpojumu sniedzējs vai iekšējais IT administrators nodrošina ikdienas darbību un šifrēšanas tehnoloģiju, sertifikātu un rezerves kopiju aizsardzības uzturēšanu. Datu privātuma vai drošības koordinators nodrošina nepārtrauktu atbilstību datu aizsardzības pienākumiem, risku pārvaldībai un tiesiskajai aizsardzībai. Visiem darbiniekiem un līgumslēdzējiem ir jāievēro apstiprināta šifrēšanas izmantošana un nedrīkst apiet nevienu drošības mehānismu. Galvenās pārvaldības iezīmes ietver ikgadēju politikas pārskatīšanu (vai pēc būtiska pārkāpuma vai izmaiņām), pilnīgu visu šifrēšanas/atslēgu pārvaldības darbību dokumentēšanu un stingras prasības nozares standarta kriptogrāfisko algoritmu izmantošanai (piemēram, AES-256, RSA 2048 un TLS 1.2 vai jaunāks). Novecojuši vai nedroši protokoli ir jābloķē, un visas atslēgas ir droši jāglabā ar kontrolētu, regulāri pārskatītu piekļuvi, nekad atklātā tekstā. Rezerves kopiju šifrēšana, sertifikātu pārvaldība, riska scenāriju plānošana un labi dokumentēts izņēmumu process ir centrālās prasības. Pārkāpumiem ir noteiktas sekas, un visas kriptogrāfiskās kļūmes tiek reģistrētas žurnālos, izmeklētas un apstrādātas kā daļa no pārkāpumu apstrādes procedūrām. Šī politika atbilst MVU veidnei, padarot to īpaši piemērotu organizācijām ar mazākiem resursiem vai bez drošības specializēta personāla, vienlaikus nodrošinot pilnu saskaņotību ar ISO/IEC 27001:2022 un attiecīgajām regulatīvajām prasībām.