Politika kryptografických kontrol – SME

Politika kryptografických kontrol P18S je špecializovaná politika vytvorená pre malé a stredné podniky (SME), jednoznačne prispôsobená zjednodušeným rolám a procesom, najmä roli „generálny manažér“, namiesto podnikových titulov, ako sú CISO alebo centrum bezpečnostných operácií (SOC). Zabezpečuje, aby tieto organizácie implementovali robustné kryptografické kontrolné opatrenia, ktoré chránia dôvernosť, integritu a autentickosť podnikových a osobných údajov. Hlavným účelom tejto politiky je definovať povinné požiadavky na šifrovanie a ďalšie kryptografické opatrenia v priamom súlade s potrebami certifikácie ISO/IEC 27001:2022 a regulačnými rámcami, ako sú GDPR, smernica NIS2 a EÚ DORA. Rozsah politiky zahŕňa všetok personál vrátane zamestnancov, dodávateľov a tretích strán, ktorí nakladajú s údajmi spoločnosti, a pokrýva každý podnikový systém, koncový bod alebo cloudovú platformu, ktorá ukladá, prenáša alebo pristupuje k dôverným informáciám. Vzťahuje sa na všetky klasifikované údaje podľa politiky klasifikácie údajov spoločnosti a pokrýva kryptografické kontrolné opatrenia, ako sú metódy šifrovania, certifikáty, kľúče, heslá a bezpečnostné moduly. Požiadavky na ochranu sa vzťahujú na údaje v pokoji, pri prenose a pri používaní, vrátane šifrovania záloh, e-mailu, externých prenosov a webových stránok organizácie. Ciele politiky sú priamočiare: chrániť citlivé a regulované údaje vhodnými kryptografickými opatreniami; stanoviť právomoc a zodpovednosť za výber nástrojov, konfiguráciu a správu kľúčov; a zabezpečiť silné preventívne kontroly proti neoprávnenému prístupu, manipulácii alebo strate údajov. Politika zdôrazňuje prísne dodržiavanie zákonných a regulačných povinností vyžadujúcich šifrovanie a zachováva dôležitosť účinnej správy certifikátov a kľúčov pre prevádzkovú bezpečnosť. Roly a zodpovednosti sú zjednodušené pre kontext SME: generálny manažér (GM) preberá vlastníctvo politiky a dohliada na vynucovanie a schvaľovanie výnimiek. Poskytovateľ IT podpory alebo interný IT administrátor zabezpečuje každodennú prevádzku a údržbu šifrovacích technológií, certifikátov a ochrany záloh. Koordinátor ochrany údajov alebo bezpečnosti zabezpečuje priebežný súlad s povinnosťami ochrany údajov, riadením rizík a právnou obhájiteľnosťou. Všetci zamestnanci a dodávatelia sú povinní dodržiavať schválené používanie šifrovania a nesmú obchádzať žiadny bezpečnostný mechanizmus. Kľúčové prvky správy zahŕňajú ročné preskúmanie politiky (alebo pri závažnom porušení alebo zmene), úplnú dokumentáciu všetkých činností šifrovania/správy kľúčov a prísne požiadavky na používanie odvetvových osvedčených postupov kryptografických algoritmov (napr. AES-256, RSA 2048 a TLS 1.2 alebo novší). Nezabezpečené protokoly musia byť blokované a všetky kľúče musia byť bezpečne uložené s riadeným, pravidelne preskúmavaným prístupom, nikdy v otvorenom texte. Šifrovanie záloh, správa certifikátov, plánovanie rizikových scenárov a dobre zdokumentovaný proces žiadosti o výnimku sú kľúčové požiadavky. Porušenia majú definované dôsledky a všetky kryptografické zlyhania sú zaznamenané, vyšetrované a riešené ako súčasť postupov riešenia porušení. Táto politika zodpovedá šablóne SME, vďaka čomu je obzvlášť vhodná pre organizácie s menšími zdrojmi alebo bez bezpečnostne špecializovaného personálu, pričom stále poskytuje plné zosúladenie s ISO/IEC 27001:2022 a relevantnými regulačnými požiadavkami.