Politika kryptografických opatrení

Politika kryptografických opatrení (P18) stanovuje povinné opatrenia, ktoré riadia používanie kryptografických mechanizmov v celej organizácii s cieľom zabezpečiť dôvernosť, integritu a autentickosť všetkých citlivých a regulovaných informácií. Keďže kryptografia je základom bezpečnej komunikácie, dodržiavania predpisov a ochrany údajov, táto politika opisuje podrobné požiadavky zosúladené s poprednými globálnymi normami a vyvíjajúcimi sa regulačnými mandátmi. Primárnym účelom je zaručiť, že vhodné kryptografické metódy sa konzistentne uplatňujú všade tam, kde sa citlivé údaje prenášajú, spracúvajú alebo uchovávajú, čím sa buduje dôvera organizácie a podporuje bezpečná prevádzka vo všetkých obchodných doménach. Politika sa uplatňuje v celej organizácii a zahŕňa všetky obchodné funkcie, personál a relevantných poskytovateľov služieb tretích strán zapojených do kryptografických operácií. Pokrytie sa vzťahuje na produkčné, vývojové, stagingové, zálohovacie systémy a prostredie obnovy po havárii, s explicitným odkazom na systémy spracúvajúce dôverné, vysoko dôverné alebo regulované údaje. Kryptografické prípady použitia zahŕňajú symetrické a asymetrické šifrovanie, digitálne podpisy, bezpečné hashovanie a šifrovanie na úrovni rozhrania API, ako aj robustné generovanie, distribúciu a ničenie kľúčov, vrátane technológií ako hardvérové bezpečnostné moduly (HSM), moduly dôveryhodnej platformy (TPM) a systémy správy kľúčov (KMS). Zavádza sa silný rámec správy a riadenia, vedený manažérom informačnej bezpečnosti alebo CISO, ktorý je vlastníkom politiky a zabezpečuje jej súlad s ISO/IEC 27001:2022, príloha A, kontrola 8.24, okrem iného. Vedúci kryptografických operácií udržiava zoznam schválených kryptografických metód (ACML) a register správy kľúčov, vedie preskúmanie a integráciu nových technológií. Priami nadriadení, správcovia systémov, vlastník aktíva, vývojári a poskytovatelia tretích strán majú jasne stanovené zodpovednosti za schvaľovanie, konfiguráciu, vynucovanie a preskúmanie kryptografických kontrol v rámci svojich oblastí. Pre všetky nové alebo upravené nasadenia sa vyžadujú ročné preskúmania a preskúmania kryptografického návrhu (CDR), čím sa zabezpečí zosúladenie s aktuálnymi hrozbami a regulačnými požiadavkami. Požiadavky na implementáciu politiky sú komplexné. Môžu sa používať iba organizáciou schválené algoritmy a protokoly vrátane AES-256 pre symetrické šifrovanie, RSA 2048+/ECC pre asymetrické, SHA-256/SHA-3 pre hashovanie a TLS 1.2+ pre prenos. Definuje sa formálny, centrálne riadený proces správy kľúčov, ktorý pokrýva bezpečné generovanie, uchovávanie, používanie, rotáciu, revokáciu, zničenie kľúčov a obnovu certifikátov. Oddelenie povinností a dvojitá správa pri citlivých operáciách zabezpečujú zodpovednosť a znižujú vnútorné riziko, zatiaľ čo nepretržité monitorovanie identifikuje vypršanie platnosti certifikátov, používanie zastaraných šifier a neoprávnený prístup ku kľúčom. Ošetrenie rizík, výnimiek a vynucovania je prísne. Odchýlka od štandardných algoritmov vyžaduje zdokumentovaný schvaľovací proces vrátane posúdenia rizík a kompenzačných kontrol. Ročné audity kryptografických kontrol, prísna eskalácia pri nesúlade alebo kompromitácii kľúčov a formálne disciplinárne alebo zmluvné nápravné opatrenia sú štandardným postupom. Politika sa pravidelne preskúmava a aktualizuje v reakcii na nové kryptografické zraniteľnosti, regulačné zmeny, prevádzkové audity alebo významné aktualizácie nástrojov, s centralizovanou komunikáciou a správou verzií prostredníctvom registra riadenia dokumentov ISMS.