Politika kriptografskih kontrol – SME

Politika kriptografskih kontrol P18S je specializirana politika, zasnovana za mala in srednje velika podjetja (SME), jasno prilagojena poenostavljenim vlogam in procesom, predvsem vlogi »generalni direktor«, namesto nazivov, značilnih za velika podjetja, kot sta CISO ali SOC. Zagotavlja, da te organizacije uvedejo robustne kriptografske kontrole, ki varujejo zaupnost, celovitost in avtentičnost poslovnih in osebnih podatkov. Osnovni namen te politike je opredeliti obvezne zahteve za šifriranje in druge kriptografske ukrepe, neposredno usklajene s potrebami za certificiranje ISO/IEC 27001:2022 in regulativnimi okviri, kot so GDPR, Direktiva NIS2 in EU DORA. Obseg politike zajema vse osebje, vključno z zaposlenimi, pogodbenimi izvajalci in tretjimi osebami, ki ravnajo s podatki podjetja, ter pokriva vsak poslovni sistem, končno točko ali oblačno platformo, ki shranjuje, prenaša ali dostopa do zaupnih informacij. Uporablja se za vse razvrščene podatke v skladu s politiko razvrščanja podatkov podjetja in zajema kriptografske kontrole, kot so metode šifriranja, certifikati, ključi, gesla in varnostni moduli. Zahteve zaščite se raztezajo na podatke v mirovanju, med prenosom in v uporabi ter vključujejo šifriranje za varnostne kopije, e-pošto, zunanje prenose in organizacijska spletna mesta. Cilji politike so jasni: zaščititi občutljive in regulirane podatke z ustreznimi kriptografskimi ukrepi; vzpostaviti pooblastila in odgovornost za izbiro orodij, konfiguracijo in upravljanje ključev; ter zagotoviti močne preventivne kontrolne ukrepe proti nepooblaščenemu dostopu, posegom ali izgubi podatkov. Politika poudarja strogo upoštevanje zakonskih in regulativnih obveznosti, ki zahtevajo šifriranje, ter ohranja pomen učinkovitega upravljanja certifikatov in ključev za operativno varnost. Vloge in odgovornosti so poenostavljene za kontekst SME: generalni direktor (GM) prevzame lastništvo politike ter nadzira uveljavljanje in odobritev izjem. Ponudnik IT podpore ali notranji IT-administrator skrbi za dnevno delovanje in vzdrževanje tehnologij šifriranja, certifikatov in zaščite varnostnih kopij. Koordinator za zasebnost ali varnost zagotavlja stalno skladnost z obveznostmi glede varstva podatkov, obvladovanjem tveganj in pravno obrambnostjo. Vse osebje in pogodbeni izvajalci morajo upoštevati odobreno uporabo šifriranja in ne smejo obiti nobenega varnostnega mehanizma. Ključne značilnosti upravljanja vključujejo letni pregled politike (ali ob večji kršitvi ali spremembi), popolno dokumentacijo vseh dejavnosti šifriranja/upravljanja ključev ter stroge zahteve za uporabo industrijsko standardnih kriptografskih algoritmov (kot so AES-256, RSA 2048 in TLS 1.2 ali novejši). Zastareli ali nezavarovani protokoli morajo biti blokirani, vsi ključi pa morajo biti varno shranjeni z nadzorovanim, redno pregledovanim dostopom in nikoli v nešifrirani obliki. Šifriranje varnostnih kopij, upravljanje certifikatov, načrtovanje scenarijev tveganj in dobro dokumentiran postopek obravnave izjem so osrednje zahteve. Kršitve imajo opredeljene posledice, vse kriptografske odpovedi pa se revizijsko beležijo, preiskujejo in obravnavajo kot del postopkov obravnave kršitev. Ta politika ustreza predlogi SME, zato je posebej primerna za organizacije z manj viri ali brez varnostno specializiranega osebja, hkrati pa zagotavlja popolno usklajenost z ISO/IEC 27001:2022 in relevantnimi regulativnimi zahtevami.