policy Enterprise

Polityka zabezpieczeń kryptograficznych

Zapewnij poufność, integralność, dostępność (CIA) oraz autentyczność danych wrażliwych dzięki solidnym zabezpieczeniom kryptograficznym, zgodnym z ISO 27001, NIST, GDPR i innymi.

Przegląd

Niniejsza polityka ustanawia wymagania dotyczące bezpiecznego, zgodnego stosowania zabezpieczeń kryptograficznych w całej organizacji, opisując zarządzanie, zatwierdzanie algorytmów, zarządzanie kluczami, egzekwowanie oraz procesy audytowe zgodnie z wiodącymi normami i regulacjami.

Kompleksowa polityka szyfrowania

Określa obowiązkowe stosowanie kryptografii w celu ochrony danych wrażliwych i danych regulowanych w spoczynku, w tranzycie oraz podczas przetwarzania.

Zarządzanie kluczami

Standaryzuje cykl życia kluczy, zatwierdza metody kryptograficzne oraz egzekwuje rozdzielenie obowiązków i opiekę nad kluczami.

Zgodność regulacyjna

Zgodne z ISO/IEC 27001, NIST SP 800-53, GDPR, NIS2, DORA oraz COBIT w celu zapewnienia kompleksowej gotowości prawnej i gotowości do audytu.

Ciągły przegląd i monitorowanie

Wymaga corocznych przeglądów, monitorowania kondycji kryptograficznej oraz proaktywnej reakcji na podatności i niezgodność.

Czytaj pełny przegląd
Polityka zabezpieczeń kryptograficznych (P18) ustanawia obowiązkowe środki kontrolne regulujące stosowanie mechanizmów kryptograficznych w całej organizacji w celu zapewnienia poufności, integralności, dostępności (CIA) oraz autentyczności wszystkich informacji wrażliwych i danych regulowanych. Uznając, że kryptografia stanowi podstawę bezpiecznej komunikacji, zgodności regulacyjnej oraz ochrony danych, niniejsza polityka opisuje szczegółowe wymagania zgodne z wiodącymi globalnymi normami oraz zmieniającymi się wymogami regulacyjnymi. Głównym celem jest zagwarantowanie, że odpowiednie metody kryptograficzne są konsekwentnie stosowane wszędzie tam, gdzie dane wrażliwe są przesyłane, przetwarzane lub przechowywane, budując zaufanie organizacyjne i wspierając bezpieczne operacje we wszystkich obszarach biznesowych. Polityka ma zastosowanie w całej organizacji i obejmuje wszystkie funkcje biznesowe, cały personel oraz odpowiednich dostawców usług stron trzecich zaangażowanych w operacje kryptograficzne. Zakres obejmuje środowisko produkcyjne, środowiska rozwojowe, środowiska testowe, systemy kopii zapasowych oraz środowisko odtwarzania po awarii, z wyraźnym odniesieniem do systemów obsługujących dane poufne, wysoce poufne lub dane regulowane. Przypadki użycia kryptografii obejmują szyfrowanie symetryczne i asymetryczne, podpisy cyfrowe, bezpieczne haszowanie oraz szyfrowanie na poziomie interfejsów API, a także solidne generowanie, dystrybucję i niszczenie kluczy, w tym technologie takie jak moduły bezpieczeństwa sprzętowego (HSM), Trusted Platform Modules (TPM) oraz systemy zarządzania kluczami (KMS). Ustanowiono silne ramy zarządzania, prowadzone przez menedżera ds. bezpieczeństwa informacji lub CISO, który jest właścicielem polityki i zapewnia jej zgodność m.in. z ISO/IEC 27001:2022, załącznikiem A, środkiem kontrolnym 8.24. Kierownik ds. operacji kryptograficznych utrzymuje wykaz zatwierdzonych metod kryptograficznych (ACML) oraz rejestr zarządzania kluczami, prowadząc przegląd i integrację nowych technologii. Bezpośredni przełożony, administratorzy systemów, właściciel aktywów, programiści oraz dostawcy usług stron trzecich mają jasno określone obowiązki w zakresie zatwierdzania, konfiguracji, egzekwowania i przeglądu zabezpieczeń kryptograficznych w swoich obszarach. Wymagane są coroczne przeglądy oraz przeglądy projektu kryptograficznego (CDR) dla wszystkich nowych lub zmodyfikowanych wdrożeń, aby zapewnić zgodność z aktualnymi zagrożeniami i wymaganiami regulacyjnymi. Wymagania wdrożeniowe polityki są kompleksowe. Dozwolone jest wyłącznie stosowanie algorytmów i protokołów zatwierdzonych przez organizację, w tym AES-256 dla szyfrowania symetrycznego, RSA 2048+/ECC dla asymetrycznego, SHA-256/SHA-3 dla haszowania oraz TLS 1.2+ dla transportu. Zdefiniowano formalny, centralnie zarządzany proces zarządzania kluczami, obejmujący bezpieczne generowanie, przechowywanie, użycie, rotację, unieważnianie, niszczenie oraz odnawianie certyfikatów. Rozdzielenie obowiązków oraz podwójna kontrola dla operacji wrażliwych zapewniają rozliczalność i ograniczają zagrożenia wewnętrzne, a ciągłe monitorowanie identyfikuje wygaśnięcie certyfikatów, użycie przestarzałych szyfrów oraz nieautoryzowany dostęp do kluczy. Postępowanie z ryzykiem, wyjątkami i egzekwowaniem jest rygorystyczne. Odstępstwo od standardowych algorytmów wymaga udokumentowanego procesu zatwierdzania, w tym oceny ryzyka oraz kontroli kompensacyjnych. Coroczny audyt zabezpieczeń kryptograficznych, ścisła eskalacja w przypadku niezgodności lub kompromitacji klucza oraz formalne środki dyscyplinarne lub umowne środki zaradcze stanowią standardową procedurę. Polityka jest regularnie przeglądana i aktualizowana w odpowiedzi na nowe podatności kryptograficzne, zmiany regulacyjne, audyty operacyjne lub istotne aktualizacje narzędzi, z centralną komunikacją i kontrolą wersji poprzez rejestr kontroli dokumentów SZBI.

Diagram polityki

Diagram ilustrujący proces zabezpieczeń kryptograficznych w przedsiębiorstwie: własność polityki, przegląd architektury bezpieczeństwa, rejestracja zarządzania kluczami, bieżące monitorowanie kondycji, obsługa wyjątków oraz coroczne aktualizacje norm.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres i zasady współpracy

Role i odpowiedzialności

Zatwierdzone algorytmy i protokoły

Cykl życia zarządzania kluczami

Obsługa wyjątków i proces

Procedury audytu i niezgodności

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Powiązane polityki

Polityka bezpieczeństwa informacji

Zapewnia podstawowe zarządzanie dla wszystkich środków bezpieczeństwa, w tym egzekwowania zabezpieczeń kryptograficznych, ochrony aktywów i bezpiecznej komunikacji.

Polityka kontroli dostępu

Zapewnia, że dostęp logiczny do materiałów kryptograficznych i systemów zarządzania szyfrowaniem jest ściśle ograniczony zgodnie z zasadą najmniejszych uprawnień oraz rozdzieleniem obowiązków (SoD).

Polityka zarządzania ryzykiem

Wspiera ocenę ryzyka dla ryzyk zabezpieczeń kryptograficznych oraz dokumentuje strategię postępowania z ryzykiem dla wyjątków, przestarzałości algorytmów lub scenariuszy kompromitacji klucza.

Polityka zarządzania aktywami

Wymaga klasyfikacji aktywów danych wrażliwych i aktywów fizycznych, co bezpośrednio determinuje wymagania kryptograficzne oraz obowiązki opieki nad kluczami.

Polityka klasyfikacji i etykietowania danych

Definiuje poziomy klasyfikacji danych (np. poufne, dane regulowane), które uruchamiają konkretne wymagania szyfrowania w tranzycie i w spoczynku.

Polityka retencji danych i utylizacji

Określa procedury bezpiecznej utylizacji zaszyfrowanych nośników danych oraz materiału kluczy kryptograficznych po zakończeniu cyklu życia.

Polityka reagowania na incydenty (P30)

Opisuje strategię reagowania na incydenty organizacji w przypadku kompromitacji klucza, niewłaściwego użycia certyfikatu lub podejrzenia podatności algorytmicznych, w tym szybkiego unieważniania i zgłaszania naruszeń.

O politykach Clarysec - Polityka zabezpieczeń kryptograficznych

Skuteczne zarządzanie bezpieczeństwem wymaga czegoś więcej niż samych deklaracji — wymaga jasności, rozliczalności oraz struktury, która skaluje się wraz z organizacją. Ogólne szablony często zawodzą, tworząc niejednoznaczność poprzez długie akapity i nieokreślone role. Ta polityka została zaprojektowana jako operacyjny fundament programu bezpieczeństwa. Przypisujemy odpowiedzialności do konkretnych ról spotykanych w nowoczesnym przedsiębiorstwie, w tym CISO, zespołów IT i bezpieczeństwa informacji oraz odpowiednich komitetów, zapewniając jednoznaczną rozliczalność. Każde wymaganie jest unikalnie ponumerowaną klauzulą (np. 5.1.1, 5.1.2). Taka atomowa struktura ułatwia wdrożenie, audytowanie względem konkretnych środków kontrolnych oraz bezpieczne dostosowanie bez naruszania integralności dokumentu, przekształcając go z dokumentu statycznego w dynamiczne, wykonalne ramy.

Nadzór kryptograficzny oparty na rolach

Przypisuje i egzekwuje jasne odpowiedzialności za zabezpieczenia kryptograficzne wśród CISO, zespołów IT i bezpieczeństwa informacji, właścicieli kontroli oraz dostawców usług stron trzecich.

Scentralizowany rejestr zarządzania kluczami

Wdraża ujednolicony rejestr śledzący wszystkie klucze kryptograficzne, status cyklu życia, opiekunów oraz kontekst zgodności.

Rygorystyczna obsługa wyjątków

Formalizuje wnioski o odstępstwo, przegląd ryzyka oraz kontrole kompensacyjne dla niestandardowego szyfrowania, udokumentowane i audytowalne.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

operacje IT Bezpieczeństwo Zgodność

🏷️ Zakres tematyczny

Kryptografia Zarządzanie kluczami Zarządzanie zgodnością Ochrona danych Bezpieczna komunikacja
€49

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje
Cryptographic Controls Policy

Szczegóły produktu

Typ: policy
Kategoria: Enterprise
Standardy: 7