Polityka środków kontroli kryptograficznych - MŚP

Polityka środków kontroli kryptograficznych P18S to wyspecjalizowana polityka opracowana dla małych i średnich przedsiębiorstw (MŚP), wyraźnie dostosowana do uproszczonych ról i procesów, w szczególności roli „dyrektora generalnego”, zamiast tytułów specyficznych dla przedsiębiorstw, takich jak Dyrektor ds. bezpieczeństwa informacji (CISO) czy centrum operacji bezpieczeństwa (SOC). Zapewnia ona, że organizacje te wdrażają solidne zabezpieczenia techniczne kryptograficzne, które chronią poufność, integralność, dostępność oraz autentyczność danych biznesowych i osobowych. Głównym celem tej polityki jest zdefiniowanie obowiązkowych wymagań dotyczących szyfrowania i innych środków kryptograficznych, w bezpośrednim dostosowaniu do potrzeb certyfikacji ISO/IEC 27001:2022 oraz ram regulacyjnych, takich jak GDPR, Dyrektywa NIS2 oraz unijna DORA. Zakres polityki obejmuje cały personel, w tym pracowników, wykonawców oraz strony trzecie, którzy postępują z danymi firmy, i obejmuje każdy system biznesowy, punkt końcowy lub platformę chmurową, która przechowuje, przesyła lub uzyskuje dostęp do informacji poufnych. Ma zastosowanie do wszystkich danych sklasyfikowanych zgodnie z Polityką klasyfikacji i postępowania z informacjami firmy oraz obejmuje środki kontroli kryptograficznych, takie jak metody szyfrowania, certyfikaty, klucze, hasła i moduły bezpieczeństwa. Wymagania ochrony obejmują dane w spoczynku, w tranzycie oraz w użyciu, w tym szyfrowanie kopii zapasowych, poczty elektronicznej, transferów zewnętrznych oraz stron internetowych organizacji. Cele polityki są jednoznaczne: chronić dane wrażliwe i dane regulowane przy użyciu odpowiednich środków kryptograficznych; ustanowić uprawnienia i rozliczalność oraz odpowiedzialność za dobór narzędzi, konfigurację i zarządzanie kluczami; oraz zapewnić silne kontrole zapobiegawcze przed nieuprawnionym dostępem, manipulacją lub utratą danych. Polityka podkreśla ścisłe przestrzeganie obowiązków prawnych i obowiązków regulacyjnych wymagających szyfrowania oraz utrzymuje znaczenie skutecznego zarządzania certyfikatami i kluczami dla bezpieczeństwa operacyjnego. Role i odpowiedzialności są uproszczone dla kontekstu MŚP: dyrektor generalny (GM) jest właścicielem polityki i nadzoruje egzekwowanie oraz zatwierdzanie odstępstw. Dostawca wsparcia IT lub wewnętrzny administrator IT odpowiada za codzienną obsługę i utrzymanie technologii szyfrowania, certyfikatów oraz ochrony kopii zapasowych. Koordynator ds. prywatności lub bezpieczeństwa zapewnia bieżącą zgodność z obowiązkami w zakresie postępowania z danymi, zarządzanie ryzykiem oraz obronę prawną. Wszyscy pracownicy i kontraktorzy są zobowiązani do przestrzegania zatwierdzonego użycia szyfrowania i nie mogą omijać żadnego mechanizmu bezpieczeństwa. Kluczowe elementy ładu obejmują coroczny przegląd polityki (lub po istotnym naruszeniu lub zmianie), pełną dokumentację wszystkich działań związanych z szyfrowaniem i zarządzaniem kluczami oraz rygorystyczne wymagania dotyczące stosowania najlepszych praktyk branżowych algorytmów kryptograficznych (takich jak AES-256, RSA 2048 oraz TLS 1.2 lub nowszy). Niezabezpieczone protokoły oraz protokoły przestarzałe muszą być blokowane, a wszystkie klucze muszą być bezpiecznie przechowywane przy kontrolowanym, regularnie przeglądanym dostępie, nigdy w postaci jawnej. Szyfrowanie kopii zapasowych, zarządzanie certyfikatami, planowanie scenariuszy ryzyka oraz dobrze udokumentowany proces obsługi wyjątków stanowią wymagania centralne. Naruszenia skutkują zdefiniowanymi konsekwencjami, a wszystkie awarie kryptograficzne są rejestrowane, badane i obsługiwane w ramach procedur obsługi naruszeń. Niniejsza polityka odpowiada szablonowi MŚP, dzięki czemu jest szczególnie odpowiednia dla organizacji o mniejszych zasobach lub bez personelu wyspecjalizowanego w bezpieczeństwie, przy jednoczesnym zachowaniu pełnego dostosowania do ISO/IEC 27001:2022 oraz odpowiednich wymagań regulacyjnych.