Politica de controale criptografice - IMM

Politica P18S de controale criptografice este o politică specializată construită pentru întreprinderi mici și mijlocii (IMM-uri), adaptată distinct pentru roluri și procese simplificate, în special rolul de „director general”, în locul titlurilor specifice întreprinderilor mari precum CISO sau SOC. Aceasta asigură că aceste organizații implementează controale criptografice robuste care protejează confidențialitatea, integritatea și autenticitatea datelor de afaceri și personale. Scopul principal al acestei politici este de a defini cerințe obligatorii pentru criptare și alte măsuri criptografice, aliniindu-se direct cu nevoile de certificare ISO/IEC 27001:2022 și cu cadrele de reglementare precum GDPR, Directiva NIS2 și DORA din UE. Domeniul de aplicare al politicii se extinde la întregul personal, inclusiv angajați, contractanți și terți, care gestionează datele companiei, și acoperă fiecare sistem de afaceri, punct terminal sau platformă cloud care stochează, transmite sau accesează informații confidențiale. Se aplică tuturor datelor clasificate conform politicii companiei de clasificare a datelor și acoperă controale criptografice precum metode de criptare, certificate, chei, parole și module de securitate. Cerințele sale de protecție se extind la date în repaus, în tranzit și în utilizare, incluzând criptarea pentru sisteme de backup, e-mail, transferuri externe și site-urile web ale organizației. Obiectivele politicii sunt directe: protejarea datelor sensibile și a datelor reglementate cu măsuri criptografice adecvate; stabilirea autorității și responsabilității pentru selectarea instrumentelor, configurare și managementul cheilor; și asigurarea unor controale preventive puternice împotriva accesului neautorizat, alterării sau pierderii datelor. Politica subliniază respectarea strictă a obligațiilor legale și a obligațiilor de reglementare care impun criptarea și menține importanța unui management eficace al certificatelor și cheilor pentru securitatea operațională. Rolurile și responsabilitățile sunt simplificate pentru contextul IMM: directorul general (DG) își asumă proprietatea asupra politicii și supraveghează aplicarea și aprobarea excepțiilor. Furnizorul de suport IT sau un administrator IT intern gestionează operarea zilnică și întreținerea tehnologiilor de criptare, a certificatelor și a protecției copiilor de rezervă. Un coordonator de confidențialitate sau securitate asigură conformitatea continuă cu obligațiile de protecție a datelor, managementul riscurilor și apărarea juridică. Toți angajații și contractanții sunt obligați să respecte utilizarea aprobată a criptării și nu trebuie să ocolească niciun mecanism de securitate. Caracteristicile-cheie de guvernanță includ revizuirea anuală a politicii (sau la o încălcare majoră ori schimbare), documentarea completă a tuturor activităților de criptare și management al cheilor și cerințe stricte pentru utilizarea algoritmilor criptografici standard din industrie (precum AES-256, RSA 2048 și TLS 1.2 sau mai nou). Protocoalele nesigure sau depreciate trebuie blocate, iar toate cheile trebuie stocate în siguranță, cu acces controlat și revizuit regulat, niciodată în text clar. Criptarea copiilor de rezervă, managementul certificatelor, planificarea scenariilor de risc și un proces de excepții bine documentat sunt cerințe centrale. Încălcările atrag consecințe definite, iar toate eșecurile criptografice sunt jurnalizate, investigate și tratate ca parte a procedurilor de gestionare a încălcărilor. Această politică corespunde șablonului pentru IMM-uri, fiind deosebit de potrivită pentru organizații cu resurse mai reduse sau fără personal specializat în securitate, oferind totodată aliniere completă cu ISO/IEC 27001:2022 și cerințele de reglementare relevante.