Politica privind controalele criptografice

Politica privind controalele criptografice (P18) stabilește controalele obligatorii care guvernează utilizarea mecanismelor criptografice în întreaga organizație pentru a asigura confidențialitatea, integritatea și autenticitatea tuturor informațiilor sensibile și a datelor reglementate. Recunoscând că criptografia este fundamentală pentru comunicații securizate, conformitate cu reglementările și protecția datelor, această politică descrie cerințe detaliate aliniate cu standarde globale de referință și mandate de reglementare în evoluție. Scopul principal este de a garanta că metodele criptografice adecvate sunt aplicate consecvent oriunde datele sensibile sunt transmise, prelucrate sau stocate, consolidând încrederea organizațională și susținând operațiuni securizate în toate domeniile de afaceri. Politica se aplică la nivelul întregii organizații, incluzând toate funcțiile de afaceri, întregul personal și furnizorii terți de servicii relevanți implicați în operațiuni criptografice. Acoperirea se extinde asupra mediilor de producție, dezvoltare, staging, sistemelor de backup și mediului de recuperare în caz de dezastru, cu referire explicită la sisteme care gestionează date Confidențial, Foarte confidențial sau Date reglementate. Cazurile de utilizare criptografică includ criptare simetrică și asimetrică, semnături digitale, hashing securizat și criptare la nivel de API-uri, precum și generarea, distribuția și distrugerea robustă a cheilor, inclusiv tehnologii precum module de securitate hardware (HSM), module de platformă de încredere (TPM) și sisteme de management al cheilor (KMS). Este stabilit un cadru de guvernanță solid, condus de Managerul securității informației sau CISO, care deține politica și asigură conformitatea acesteia cu ISO/IEC 27001:2022, Anexa A, Controlul 8.24, printre altele. Responsabilul pentru operațiuni criptografice menține Lista metodelor criptografice aprobate (ACML) și Registrul de management al cheilor, conducând revizuirea și integrarea noilor tehnologii. Managerii direcți, administratorii de sistem, Proprietarul de activ, dezvoltatorii și furnizorii terți primesc responsabilități clare pentru aprobarea, configurarea, aplicarea și revizuirea controalelor criptografice în ariile lor. Sunt impuse revizuiri anuale și Revizuiri de proiectare criptografică (CDR) pentru toate implementările noi sau modificate, asigurând alinierea cu amenințările curente și cerințele de reglementare. Cerințele de implementare a politicii sunt cuprinzătoare. Pot fi utilizați doar algoritmi și protocoale aprobate de organizație, inclusiv AES-256 pentru criptare simetrică, RSA 2048+/ECC pentru criptare asimetrică, SHA-256/SHA-3 pentru hashing și TLS 1.2+ pentru transport. Este definit un proces formal, gestionat central, de management al cheilor, care acoperă generarea, stocarea, utilizarea, rotirea, revocarea, distrugerea cheilor și reînnoirea certificatelor. Separarea atribuțiilor și custodia dublă pentru operațiuni sensibile asigură autoritate și responsabilitate și reduc riscul intern, în timp ce monitorizarea continuă identifică expirarea certificatelor, utilizarea cifrurilor depreciate și accesul neautorizat la chei. Tratamentul riscului, excepțiile și aplicarea sunt riguroase. Abaterea de la algoritmii standard necesită un proces de aprobare documentat, inclusiv evaluarea riscurilor și controale compensatorii. Auditarea anuală a controalelor criptografice, escaladarea strictă pentru neconformitate sau compromiterea cheilor și remedii disciplinare sau contractuale formale sunt proceduri standard. Politica este revizuită și actualizată periodic ca răspuns la noi vulnerabilități criptografice, schimbări de reglementare, audituri operaționale sau upgrade-uri semnificative ale instrumentelor, cu comunicare centralizată și control al versiunilor prin Registrul de control al documentelor SMSI.